日本スマートフォンセキュリティ協会(JSSEC)は、企業でIoT関連の機器やシステムを導入する場合のセキュリティ検討事項をまとめた「IoTセキュリティチェックシート」をWebサイトで無償公開した。
日本スマートフォンセキュリティ協会(JSSEC)の利用部会は2018年3月8日、企業でIoT(モノのインターネット)関連の機器やシステムを導入する場合のセキュリティ検討事項を2ページのA3用紙(両面印刷で1枚に収まる)のPDFファイルとしてまとめた「IoTセキュリティチェックシート」をWebサイトで公開した。主に、スマートファクトリー、スマートオフィス、スマートロジスティクス、スマートリテールなど、IoT活用によるスマート化を目指すユーザーによる活用を想定している。PDFファイルは無償でダウンロードでき、ユーザー登録なども不要だ。今後はユーザーからの意見を募集し、2018年度内をめどにチェックシートの有効性を検証する方針。
JSSEC 利用部会 部会長でラック サイバー・グリッド・ジャパン ICT利用環境啓発支援室の後藤悦夫氏は「IoTを提供する側のセキュリティガイドラインは既に幾つか出ているが、利用者側、導入目線のものはあまりない。そこで策定したのが今回のIoTセキュリティチェックシートだ」と語る。
JSSECの利用部会では、スマートフォンの利用者の視点に立った活動を続けてきたが、中期活動方針として「スマホを基軸としたIoT時代のセキュリティ」も重点分野に掲げている。「IoT時代において、ユーザーとの窓口はスマートフォンが担う。スマートフォンの使われ方も変わってくるが、JSSECとしてもIoT時代に対応した活動が必要になると考え、2015年からタスクフォースを立ち上げて取り組んできた。その最初の成果が、このIoTセキュリティチェックシートになる」(後藤氏)という。
IoTセキュリティチェックシートは、IoT推進フォーラムが2016年7月に発効した「IoTセキュリティガイドライン」を基に策定した。後藤氏は「利用対象分野が全般的で、網羅性が高く、補足的ではあるものの利用者視点の項目があるところを評価した」と説明する。
その上で、IoTセキュリティガイドラインの大項目、指針、要点と対応させる形で、一般企業でIoTを利用(導入)する時に検討すべき観点を設定し、PoC(概念実証)や本番環境といったフェーズごとの検討事項を記入できるチェックシートに仕立てた。また、各企業で異なるIoTの使い方に合わせた、個別の追加項目も入れられるようになっている。なお、IoTセキュリティガイドラインの大項目の内、提供者側の視点が中心となる「設計」は省かれている。
JSSECとして重視しているスマートフォンをIoTの一部として使用する場合の考慮点は、今回のバージョンには入っていない。今後、JSSEC内で議論した上で公表する予定である。
後藤氏は「今回のIoTセキュリティチェックシートはあくまで第1版であり、ユーザーの意見を反映して内容をアップグレードしていきたい。スマートファクトリーなど産業別に仕立て直すことも検討している。企業がIoTを導入する際には、PoCの段階からセキュリティを検討してほしい。IoTセキュリティチェックシートがそのきっかけになればうれしい。また検討するセキュリティについても、完璧であることにこだわるのではなく、各企業の身の丈にあったセキュリティにすべきだろう」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.