利用者側目線で策定したIoTセキュリティチェックシート、JSSECが無償公開IoTセキュリティ

日本スマートフォンセキュリティ協会(JSSEC)は、企業でIoT関連の機器やシステムを導入する場合のセキュリティ検討事項をまとめた「IoTセキュリティチェックシート」をWebサイトで無償公開した。

» 2018年03月08日 10時00分 公開
[朴尚洙MONOist]
A3用紙に印刷した「IoTセキュリティチェックシート」 A3用紙に印刷した「IoTセキュリティチェックシート」(クリックで拡大)

 日本スマートフォンセキュリティ協会(JSSEC)の利用部会は2018年3月8日、企業でIoT(モノのインターネット)関連の機器やシステムを導入する場合のセキュリティ検討事項を2ページのA3用紙(両面印刷で1枚に収まる)のPDFファイルとしてまとめた「IoTセキュリティチェックシート」をWebサイトで公開した。主に、スマートファクトリー、スマートオフィス、スマートロジスティクス、スマートリテールなど、IoT活用によるスマート化を目指すユーザーによる活用を想定している。PDFファイルは無償でダウンロードでき、ユーザー登録なども不要だ。今後はユーザーからの意見を募集し、2018年度内をめどにチェックシートの有効性を検証する方針。

 JSSEC 利用部会 部会長でラック サイバー・グリッド・ジャパン ICT利用環境啓発支援室の後藤悦夫氏は「IoTを提供する側のセキュリティガイドラインは既に幾つか出ているが、利用者側、導入目線のものはあまりない。そこで策定したのが今回のIoTセキュリティチェックシートだ」と語る。

 JSSECの利用部会では、スマートフォンの利用者の視点に立った活動を続けてきたが、中期活動方針として「スマホを基軸としたIoT時代のセキュリティ」も重点分野に掲げている。「IoT時代において、ユーザーとの窓口はスマートフォンが担う。スマートフォンの使われ方も変わってくるが、JSSECとしてもIoT時代に対応した活動が必要になると考え、2015年からタスクフォースを立ち上げて取り組んできた。その最初の成果が、このIoTセキュリティチェックシートになる」(後藤氏)という。

 IoTセキュリティチェックシートは、IoT推進フォーラムが2016年7月に発効した「IoTセキュリティガイドライン」を基に策定した。後藤氏は「利用対象分野が全般的で、網羅性が高く、補足的ではあるものの利用者視点の項目があるところを評価した」と説明する。

「IoTセキュリティチェックシート」はIoT推進フォーラムの「IoTセキュリティガイドライン」を基に策定した 「IoTセキュリティチェックシート」はIoT推進フォーラムの「IoTセキュリティガイドライン」を基に策定した(クリックで拡大) 出典:JSSEC

 その上で、IoTセキュリティガイドラインの大項目、指針、要点と対応させる形で、一般企業でIoTを利用(導入)する時に検討すべき観点を設定し、PoC(概念実証)や本番環境といったフェーズごとの検討事項を記入できるチェックシートに仕立てた。また、各企業で異なるIoTの使い方に合わせた、個別の追加項目も入れられるようになっている。なお、IoTセキュリティガイドラインの大項目の内、提供者側の視点が中心となる「設計」は省かれている。

 JSSECとして重視しているスマートフォンをIoTの一部として使用する場合の考慮点は、今回のバージョンには入っていない。今後、JSSEC内で議論した上で公表する予定である。

チェックシート活用のポイントチェックシートの構成チェックシートの構成 チェックシート活用のポイント(左)、チェックシートの構成(中央、右)(クリックで拡大) 出典:JSSEC
要点1〜5のポイント要点6〜13のポイント要点14〜16のポイント 要点1〜5のポイント(左)、要点6〜13のポイント(中央)、要点14〜16のポイント(右)(クリックで拡大) 出典:JSSEC
要点17〜18のポイント要点19〜21のポイント個別追加項目のポイント 要点17〜18のポイント(左)、要点19〜21のポイント(中央)、個別追加項目のポイント(右)(クリックで拡大) 出典:JSSEC

 後藤氏は「今回のIoTセキュリティチェックシートはあくまで第1版であり、ユーザーの意見を反映して内容をアップグレードしていきたい。スマートファクトリーなど産業別に仕立て直すことも検討している。企業がIoTを導入する際には、PoCの段階からセキュリティを検討してほしい。IoTセキュリティチェックシートがそのきっかけになればうれしい。また検討するセキュリティについても、完璧であることにこだわるのではなく、各企業の身の丈にあったセキュリティにすべきだろう」と述べている。

関連キーワード

IoT | セキュリティ | ガイドライン | 無料


Copyright © ITmedia, Inc. All Rights Reserved.