前回記事(IoTシステムがサイバー攻撃に遭ったら? 提供側のビジネスリスクを考える)では、企業が開発/導入したIoTシステムがサイバー攻撃に遭った場合に、どんなビジネス被害が想定されるのかを説明しました。
それでは、もう少し具体的に、IoTシステムのセキュリティ対策はどのように進めればよいのでしょうか。ここでも前回と同様に、一般的なITシステムと大きく異なる「デバイス」部分に注目して考えてみます。
“IoTデバイスならでは”の特徴を理解しておく必要がある
一般的なIT機器(PCやサーバーなど)と比較した場合の、IoTデバイスの特徴は次のとおりです。
■一般的なIT機器と比較した「IoTデバイスの特徴」
・搭載するCPUやメモリが小さく、高機能なソフトウェアが実装できない
・デバイスのライフサイクルが長く、長期にわたって使い続けられる
・運用時に監視が行き届かないことも多い
・出荷後のソフトウェアアップデート、機能追加が難しい
・設置場所が“現場”であり、物理的な保護やネットワーク側での保護が難しい
最後に挙げた「物理的保護、ネットワーク的な保護が難しい」というのは、工場や店舗、住宅の屋外や農場といった現場に設置される場合、物理的な攻撃(盗難、内部回路へのアクセスなど)のおそれがあるほか、企業内やデータセンター内のようにファイアウォールで守られた(セキュリティが担保された)ネットワークに接続できないこともある、という意味です。
前回と同様に、これらもIoTデバイスの種類や適用目的によっては当てはまらないケースがありますが、ひとまず「一般的なITセキュリティの考え方、取り組みだけでは不十分である」ということは理解しておきましょう。
IoTでは特に「セキュアバイデザイン」の考え方が重要
こうしたIoTデバイスの特徴をふまえて推奨されているのが「セキュアバイデザイン」(Secure by Design、セキュリティバイデザインとも)という考え方です。Designとは「設計」のこと。つまり「設計・開発の初期段階からセキュリティ対策を組み込む」という設計思想を指します。
もちろんこれは一般的なITシステムの開発でも推奨される考え方ですが、IoTデバイスでは特に推奨されます。高度な機能が実装できない、長期にわたって使われる、監視が行き届かない、出荷後のアップデートが難しいといった、セキュリティ対策にとっての“悪条件”が重なるからです。
日本政府のサイバーセキュリティを管轄する機関(総務省、経済産業省、NISC:内閣サイバーセキュリティセンター)でも、近年は欧米各国の動向も参考としながら、セキュアバイデザインを重点方針として取り入れています。
たとえば経済産業省とIPA(情報処理推進機構)では、2025年3月から「JC-STAR(IoT製品に対するセキュリティ適合性評価制度)」を開始しましたが、これはIoT製品について、セキュアバイデザインとセキュアバイデフォルト ※注の考え方にのっとったものかどうかを、実装されている機能を参照して評価するものです。
※セキュアバイデフォルト:製品を導入したユーザーが初期設定のままで利用しても、十分なセキュリティレベルが確保されるように設計されていること。たとえば「デフォルトパスワードの廃止」「HTTPS通信の強制」「自動アップデートの強制」など。
IoTシステムの設計や開発を進めるうえでは、さらに具体的な指針が必要となります。現在では政府の関係省庁からさまざまなガイドラインが発行されていますから、それらを参照して、具体的なセキュリティ対策を進めるのが確実です。次回はそうしたガイドラインの使い方を見ていきます。
コメント