[M2M/IoT時代に登場した新たなセキュリティの脅威とその防衛策]

M2M/IoT時代に登場した新たなセキュリティの脅威とその防衛策 ― 第2回 米国におけるM2M/IoTサイバーセキュリティ政策の最新動向―

2015/10/11
(日)
佐々木 弘志 インテル セキュリティ(マカフィー株式会社) サイバー戦略室 CISSP

米国連邦取引委員会のワークショップ報告書

 次に、米国連邦取引委員が2013年11月に開催した、一般消費者が利用するIoT機器に関するセキュリティをテーマにしたワークショップの報告書について紹介する。

 このワークショップの成果として、IoT時代に求められるプライバシー保護やセキュリティ対策について、次の(1)〜(4)の4つの知見が得られたという報告がなされている。

(1)IoT機器のセキュリティに関しては6点を考慮

①機器の設計段階からセキュリティを考慮(Security by Design注11
②社員のセキュリティトレーニングの実施
③サービスプロバイダは、適切なセキュリティが提供できるところを利用
④セキュリティリスクの発見時は、多層防御の観点から対策を実施
⑤機器のデータ、ネットワークに関する適切なアクセス制御を実施
⑥機器のライフサイクル通じて監視し、必要ならパッチあてを実施

(2)データを最小化し、不要な情報漏えいのリスクを軽減

(3)プライバシー情報収集に際しては、ユーザーに選択させる通知を出す

(4)立法化については時期尚早

 一般消費者を対象にしたM2M/IoTのソリューションは、大半が「情報利用型」に当たると考えられるため、主にユーザーのプライバシー保護が焦点となった議論が展開されている。ただ、一覧してわかる通り、その内容は基本的な方針レベルにとどまっており、セキュリティに関しては、Security by Design やライフサイクル監視などM2M/IoTの機器ベンダに対して求める要件が特徴的ではあるが、ガイドラインなどに発展するにはまだまだ時間がかかるといった状態である。

 1点補足すると、プライバシーに関しては、米国では、国、業界、州などそれぞれのレベルでさまざまな法制化がなされており、基本的にはそれらに従うことが求められる。ところが、M2M/IoTの進展によって、現状の法体制ではカバーできない事案が出てきている。

 例えば、米国の医療業界には、患者の治療や健康状態に関する機微性の高い(センシティブ)情報を守るために、医療関係の事業者が順守すべき法律(HIPAA注12)があるが、これはあくまで、医療機関や保険会社が収集したデータに対して有効であり、例えばウェアラブル端末や医療系のアプリで収集したようなデータに対しては適用されない。

 今後も、M2M/IoTの進展によって、これまでの法体系ではカバーしきれないプライバシーの問題が出てくると考えられるが、本ワークショップでは、このような個人情報の収集に対しては、利用者に通知がなされて選択ができることが大切だと述べている。


▼ 注11
Security by Design:システム設計(デザイン)時からセキュリティを考慮しておくことを意味する。セキュリティを後付けするのは、技術的にも、コスト的にも不利になるという考え方。IoTセキュリティの基本となる考え方としてしばしば取り上げられる。

▼ 注12
HIPPA(ヒッパ):Health Insurance Portability and Accountability Act、「医療保険の携行性と責任に関する法律」のこと。米国保健社会福祉省(DHHS:Department of Health and Human Service)が策定した健康情報に関するプライバシールールおよびセキュリティルール。

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...