現場で使えるIoTセキュリティチェックシート、NIST-CSF準拠の第2版を無償公開：IoTセキュリティ

日本スマートフォンセキュリティ協会（JSSEC）の利用部会は、企業でIoT関連の機器やシステムを導入する場合のセキュリティ検討事項を網羅的にまとめた「IoTセキュリティチェックシート」の第2版をWebサイトで無償公開した。

[朴尚洙，MONOist]

A3用紙に印刷した「IoTセキュリティチェックシート」の第2版。PDFに加えてExcelのファイルも無償提供する

　日本スマートフォンセキュリティ協会（JSSEC）の利用部会は2019年2月28日、企業でIoT（モノのインターネット）関連の機器やシステムを導入する場合のセキュリティ検討事項を網羅的にまとめた「IoTセキュリティチェックシート」の第2版をWebサイトで無償公開した。IoT活用による工場や物流、小売り、オフィスなどのスマート化を目指す企業において、情報システム部門（IT）と設備システム部門（OT）の共通言語となることを目指し「第1版の発表から、3000社以上が加盟するIoT推進コンソーシアムを中心にユーザー企業の意見を集約し、現場で使えるものとして仕上げた」（JSSEC 利用部会 部会長でラック サイバー・グリッド・ジャパン ICT利用環境啓発支援室の後藤悦夫氏）という。

　今回の第2版は、一般企業がIoT導入時に考慮すべき60のセキュリティ項目を、2ページのA3用紙（両面印刷で1枚に収まる）にまとめている。提供ファイル形式はPDFとExcel。後藤氏は「第1版は、利用者視点からのガイドとなるIoTセキュリティチェックシートというものの有効性を確認することが目的だったこともあり、PDFファイルのみを提供していた。今回の第2版は、現場で使えるレベルまで仕上げたので、Excelファイルでも提供する。ぜひとも活用してほしい」と語る。

　また、IoTセキュリティチェックシートの他、60の項目について解説する「解説編」の文書も提供する。「セキュリティの知識があれば解説編の内容は十分に理解できるだろう」（後藤氏）。現時点ではβ版だが、ユーザーなどからの意見を反映し2019年4月1日には正式版とする予定だ。

NIST-CSFの分類に対応

　第2版と第1版では策定の基準が異なっている。第1版ではIoT推進コンソーシアムガイドラインを基に利用者視点で指針と要点をまとめていたが、第2版は第1版発表後にリリースされた米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク（NIST-CSF）の1.1版がベースになっている。NIST-CSFそのものは、重要インフラのサイバーセキュリティを改善するフレームワークとして1.0版が発表されたが、1.1版ではIoTへの適用も明記された。後藤氏は「NIST-CSFはセキュリティ対策を進める視点が利用者に分かりやすい。現場でのIoT導入を進める際に役立つことを目指してきた立場から、第2版を策定する上で大いに活用できると考えた」と説明する。

「IoTセキュリティチェックシート」第2版の概要（クリックで拡大） 出典：JSSEC

　IoTセキュリティチェックシート第2版は、識別、防御、検知、対応、復旧の5機能と23カテゴリーというNIST-CSFの分類に対応している。60のセキュリティチェック項目のうち、平常時となる識別と防御が約3分の2を占める。なお、識別と防御では、第1版の項目を多数採用する一方で、サイバー攻撃などを受けた後の非常時の検知、対応、復旧についてはNIST-CSFからの新規項目追加が多数を占めている。

「IoTセキュリティチェックシート」第2版のセキュリティチェック項目。識別（左）、防御（中央）、検知、対応、復旧（右）（クリックで拡大） 出典：JSSEC

　また、企業内におけるIoT活用レベルを示す、PoC（概念検証）、基幹ビジネス、重要ビジネスという3つの段階ごとに、推奨するセキュリティチェック項目も示している。

　後藤氏は「今後はこの第2版をベースに、IoTセキュリティに求められる要件などを反映しつつ、第2.1版などとしてブラッシュアップを重ねていきたい。企業のスマート化に向けたものさしになれば。IT側のみならず、OT側のセキュリティ人材育成にもつなげたい」と述べている。

「IoTセキュリティチェックシート」の今後の予定（クリックで拡大） 出典：JSSEC