安全なIoTに向けて セキュリティのガイドライン紹介
2月1日から3月18日は、政府が定めるサイバーセキュリティ月間。連日IoTとセキュリティについて紹介してきたこの特集もいよいよ最終回。最終回となる今回はこれまで扱ってきたIoTセキュリティにおけるガイドラインについて紹介する。
IoTセキュリティのガイドライン
ITは、本格的な普及が始まってからセキュリティ問題が深刻化し、対策が取られ始めたが、IoTは、普及の前から各種のガイドラインが発表されて、セキュリティの警鐘が鳴らされ、注意喚起が行われている。
我が国では、内閣サイバーセキュリティセンター(NISC)が2016年8月に定めた「安全なIoTセキュリティシステムのためのセキュリティに関する一般的枠組」が上位のガイドラインである。この枠組みは5ページと短い。不特定のモノと相互接続することにより情報セキュリティが安全性の問題につながることを意識して、設計・開発段階でセキュリティに配慮すること(セキュリティ・バイ・デザイン:Security by Design)、ネットワーク環境が変化するので将来の運用も含めた安全確保を考慮すること、モノとネットワークを一体としてセキュア化すること、障害発生時のサービス回復まで想定すること、IoTシステムが取り扱う情報の所有権を明確にすることなどの「一般的枠組み」を定めている。
次のレベルには、総務省、経済産業省の支援を得て活動する民間団体であるIoT推進コンソーシアムのIoTセキュリティワーキンググループが発表した、「IoTセキュリティガイドライン ver1.0」がある。こちらは59ページとかなり長く、5つの指針に21の要点を定めている。その元になったのがIPAが作成した「つながる世界の開発指針」が定めた17の指針である。この17指針を表1に掲げる。
一般社団法人重要生活機器連携セキュリティ協議会(CCDS)はさらに詳しく、機器群別のガイドラインを発表している。2019年現在、スマートホーム、車載器、IoT-GW(ゲートウェイ)、ATM端末、POS端末などのガイドラインができている。また、CCDSはIoT機器の脆弱性検査ツールの開発なども行っている。CCDSのメンバーらによる「企業リスクを避ける 押さえておくべきIoTセキュリティ」(荻野司、伊藤公祐、小野寺正)は、海外のガイドラインなども解説している。これらのガイドラインは、IoTセキュリティを俯瞰し、セキュアなIoT機器の設計・開発に重要な指針となるであろう。
(「IoTセキュリティ技術入門」より抜粋)
<執筆者>
松井俊浩(まつい としひろ)
情報セキュリティ大学院大学 教授 (工学博士)
1980年東京大学工学部計数工学科卒業、1982年東京大学大学院情報工学専門課程修士修了、1990年同大学院工学博士、1982年通商産業省工業技術院電子技術総合研究所に入所、知能ロボットのためのオブジェクト指向プログラム言語による幾何モデルを用いた動作計画等の研究。1991年~1999年米国スタンフォード大学、MIT、オーストラリア国立大学の客員研究員。2001年産業技術総合研究所企画本部、2003年産総研デジタルヒューマン研究センターにて分散型実時間計算システムの研究。2007年産総研副研究統括、2012年セキュアシステム研究部門長、2015年NEDO技術戦略研究センター電子情報機械システムユニット長。日本ロボット学会、計測自動制御学会等の論文賞等十数件。日本ロボット学会フェロー、情報セキュリティスペシャリスト、エンベディッドシステムスペシャリスト。2016年より、情報セキュリティ大学院大学教授、IoTとAIのセキュリティの研究に従事。岐阜県生まれ、茨城県つくば市および横浜市在住。趣味は、自転車づくり、サイクリング、アマチュア無線、サーバー管理など。
<主な著書>
『AI入門(KE養成講座)』(オーム社、1989年)
『岩波講座 ロボット学〈6〉ロボットフロンティア』「デジタルヒューマン技術」(岩波書店、2004年)
『IT-Textシリーズ 組込みシステム』「ロボット制御」(情報処理学会、2006年)
『AI白書』「次世代AIインフラストラクチャハードウェア」(IPA、2017年)など。
書籍紹介
IoTが広く社会に浸透した結果、セキュリティの問題が生まれた。現在発生しているサイバー攻撃のうち、半数以上はIoTデバイスを狙ったものであることから、その深刻さが伺える。本書では、製品、工場、自動車分野など様々に使われるIoTのセキュリティ技術について解説する。
書名:IoTセキュリティ技術入門
著者名:松井俊浩
判型:A5判
総頁数:184頁
税込み価格:2,200円