[ニュース]

IPA、「IoT開発におけるセキュリティ設計の手引き」を公開

2016/05/12
(木)
SmartGridニューズレター編集部

2016年5月12日、独立行政法人情報処理推進機構(以下:IPA、東京都文京区、理事長:富田 達夫)は、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開した。

概要
IoT(Internet of Things)が多くの注目を集めている。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきている。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられる。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネットワークでつながることで生じうる様々な脅威や、それらを原因とするリスクや被害を予め踏まえておく必要がある。

同手引きでは、以下を掲載

  • 脅威とリスクを整理し、課題を抽出
    IoTの構成要素を「サービス提供サーバ・クラウド」「中継機器」「システム」「デバイス」「直接相互通信するデバイス」の5つに分類して定義し、IoTの全体像をモデル化した。その上で、各構成要素における課題の抽出・整理をおこなっている。(図参照)
     図 IoTの全体像

     
  • IoTにおけるセキュリティ設計を解説
    抽出された課題を踏まえ、IoT機器やサービスのセキュリティ設計にあたって行うべき「脅威分析」「対策検討」「脆弱性への対応」について解説。「対策の検討」では、主なセキュリティ対策候補の一覧を掲載し、どの対策がどのような脅威に有効かを例示することで、対策検討時の参考になるようにしている。
     
  • 具体的な脅威分析・対策検討の実施例を図解
    これ迄にIPAが蓄積してきた知見を基に、「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」の4分野を例に、具体的な脅威分析と対策検討の実施例を図解。
    図解では、脅威が想定される箇所と、認証や暗号化など有効な対策を明確化するとともに、業界のセキュリティガイドで述べられている要件との対応をマッピングしている。このような図解が、網羅的にセキュリティ要件を整理することが困難な組織や、今後IoTビジネスを模索する組織にとって、安全な機器・サービスの検討の材料になると考えている。
     
  • セキュリティの根幹を支える暗号技術の実装チェックリストを提供
    暗号技術は、IoT機器やサービスのセキュリティを実現する上で根幹を為すものである。同手引きでは、暗号技術が適切に実装されているか、安全性を客観的に確認するためのチェックリストを付録として添付する。開発者はこれを参照して暗号技術の利用・運用方針を明確化し、その安全性を評価することが容易になる。

■リンク
IPA

TOPに戻る
最新ニュース一覧

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...