インダストリアルインターネット・コンソーシアムの会員企業とともに作成に携わった「IoT Security Maturity Model : Practitioner’s Guide」は、インダストリアルIoTの事業者が、自社のセキュリティ対策に関する目標やリスクへの考え方に基づいて、実現したいセキュリティ成熟度を定義する際の参考となるものです。
Kaspersky LabのICS CERT部門のエキスパートは、インダストリアルインターネット・コンソーシアム(以下IIC)のほか会員企業とともに「IoT Security Maturity Model : Practitioner’s Guide」の作成に携わりました。このガイドは、インダストリアルIoTの事業者が、自社のセキュリティ対策に関する目標やリスクへの考え方に基づいて、実現したいセキュリティ成熟度を定義する際の参考となるもので、IICより提供されます。

[今回提供を開始する「IoT Security Maturity Model : Practitioner’s Guide 」(英語)についてはこちらをご覧ください。https://www.iiconsortium.org/pdf/IoT_SMM_Practitioner_Guide_2019-02-25.pdf]

このセキュリティ成熟度モデルSecurity Maturity Model、以下SMM)は、2016年にIICが発行したIndustrial Internet Security Frameworkに基づいており、インダストリアルIoT向けのセキュリティについて考察した初のモデルです。ステークホルダー向けのセキュリティフレームワークをそれぞれのセキュリティレベルに基づいて明確化し、ガバナンステクノロジーシステム管理の観点から組織のIoTシステムの成熟度を評価します。これまでIoTセキュリティのいずれかを単独で扱うモデルはあっても、両者を同時に扱うモデルはありませんでした。このSMMはそのすべてをカバーするとともに、重複を避けるために既存モデルの要素についても適宜取り上げています。

今回提供する実践ガイドは、多種多様なインダストリアルIoTのステークホルダーを念頭に作成されました。情報システムに接続するIT機器も含めたインフラセキュリティ強化を重視するセキュリティ専門家だけでなく、産業用施設の運用者、専用ソフトウェアの開発者、ビジネスの意思決定者、規制当局なども含まれます。したがって、このSMMでは、従来の規制機関による基準や要件とは異なり、インダストリアルIoTの運用に関わるあらゆる組織や個人の関心事とセキュリティニーズが考慮されています。

この実践ガイドは、インダストリアルIoTの事業者が現況を評価し、目標に到達するために必要な手順を理解するのに役立ちます。ガイドに記載されている36項目に基づいてIoTシステムを評価し改善を継続することで、段階的にセキュリティを強化することができます。また、事例としてデータ駆動型の高性能瓶詰めライン、OTAアップデートが可能な車載ゲートウェイ、住宅用防犯カメラの3つを紹介しています。

Kaspersky Lab のICS CERT部門シニアシステムアナリスト、エカテリーナ・ルディナ(Ekaterina Rudina)は次のように述べています。「十分にセキュアなシステムにするためのセキュリティ対策、目標設定、そして戦略策定の優先順位付けは、組織の長期的な経済計画や投資や保険制度の選択、そのほか相反する要因に影響を及ぼします。このようなタスクへの最新のアプローチ方法の1つが、いわゆる『ナッジ(nudge)』の利用です。これは、ある特定領域での効率的な意思決定を促すような、選択肢のアーキテクチャを予め構築しておくものです。このSMMは、選択肢のアーキテクチャ(ナッジ)を、IoT情報セキュリティ分野で行うためのフレームワークです。大規模な製造設備でも、フィットネス用のウェアラブル端末でも、このSMMを参考にしてセキュアなシステムの実現に取り組むことができます」

このプロジェクトは、Kaspersky Labを含む専門家グループが約2年にわたって取り組んできました。今回提供を開始するガイドは、2018年に発行された「IoT SMM: Description and Intended Use White Paper」の実践編となっています。


■ 参考情報
IIC発行資料は以下をご覧ください。
2018年発行「IoT SMM: Description and Intended Use White Paper」(英語)
https://www.iiconsortium.org/pdf/SMM_Description_and_Intended_Use_FINAL_Updated_V1.1.pdf
2016年発行「Industrial Internet Security Framework」(英語)
https://www.iiconsortium.org/pdf/IIC_PUB_G4_V1.00_PB-3.pdf

Kaspersky Lab、ICS CERTの詳細についてはこちらをご覧ください。
https://ics-cert.kaspersky.com/

インダストリアルインターネット・コンソーシアム(IIC)についてはこちらをご覧ください。
https://www.iiconsortium.org/

###

Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。

配信元企業:株式会社カスペルスキー

企業プレスリリース詳細へ

PR TIMESトップへ