利用者側目線で策定したIoTセキュリティチェックシート、JSSECが無償公開:IoTセキュリティ
日本スマートフォンセキュリティ協会(JSSEC)は、企業でIoT関連の機器やシステムを導入する場合のセキュリティ検討事項をまとめた「IoTセキュリティチェックシート」をWebサイトで無償公開した。
日本スマートフォンセキュリティ協会(JSSEC)の利用部会は2018年3月8日、企業でIoT(モノのインターネット)関連の機器やシステムを導入する場合のセキュリティ検討事項を2ページのA3用紙(両面印刷で1枚に収まる)のPDFファイルとしてまとめた「IoTセキュリティチェックシート」をWebサイトで公開した。主に、スマートファクトリー、スマートオフィス、スマートロジスティクス、スマートリテールなど、IoT活用によるスマート化を目指すユーザーによる活用を想定している。PDFファイルは無償でダウンロードでき、ユーザー登録なども不要だ。今後はユーザーからの意見を募集し、2018年度内をめどにチェックシートの有効性を検証する方針。
JSSEC 利用部会 部会長でラック サイバー・グリッド・ジャパン ICT利用環境啓発支援室の後藤悦夫氏は「IoTを提供する側のセキュリティガイドラインは既に幾つか出ているが、利用者側、導入目線のものはあまりない。そこで策定したのが今回のIoTセキュリティチェックシートだ」と語る。
JSSECの利用部会では、スマートフォンの利用者の視点に立った活動を続けてきたが、中期活動方針として「スマホを基軸としたIoT時代のセキュリティ」も重点分野に掲げている。「IoT時代において、ユーザーとの窓口はスマートフォンが担う。スマートフォンの使われ方も変わってくるが、JSSECとしてもIoT時代に対応した活動が必要になると考え、2015年からタスクフォースを立ち上げて取り組んできた。その最初の成果が、このIoTセキュリティチェックシートになる」(後藤氏)という。
IoTセキュリティチェックシートは、IoT推進フォーラムが2016年7月に発効した「IoTセキュリティガイドライン」を基に策定した。後藤氏は「利用対象分野が全般的で、網羅性が高く、補足的ではあるものの利用者視点の項目があるところを評価した」と説明する。
その上で、IoTセキュリティガイドラインの大項目、指針、要点と対応させる形で、一般企業でIoTを利用(導入)する時に検討すべき観点を設定し、PoC(概念実証)や本番環境といったフェーズごとの検討事項を記入できるチェックシートに仕立てた。また、各企業で異なるIoTの使い方に合わせた、個別の追加項目も入れられるようになっている。なお、IoTセキュリティガイドラインの大項目の内、提供者側の視点が中心となる「設計」は省かれている。
JSSECとして重視しているスマートフォンをIoTの一部として使用する場合の考慮点は、今回のバージョンには入っていない。今後、JSSEC内で議論した上で公表する予定である。
後藤氏は「今回のIoTセキュリティチェックシートはあくまで第1版であり、ユーザーの意見を反映して内容をアップグレードしていきたい。スマートファクトリーなど産業別に仕立て直すことも検討している。企業がIoTを導入する際には、PoCの段階からセキュリティを検討してほしい。IoTセキュリティチェックシートがそのきっかけになればうれしい。また検討するセキュリティについても、完璧であることにこだわるのではなく、各企業の身の丈にあったセキュリティにすべきだろう」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。 - IoTデバイスのセキュリティに不可欠な要素とは
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第3回は、市場に出荷されてからその役割を終えるまで一連のライフサイクルで、IoTデバイスを適切に保護し続けるためのセキュリティ設計のポイントを解説します。 - IoTデバイスが抱えるセキュリティリスクをひもとく
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第2回は、エッジ層におけるIoTデバイスのセキュリティに注目し、その特性を踏まえたセキュリティ上の課題と対策の方向性を考察します。 - IoT時代の安心・安全に組織面の対応が重要となる理由
製造業がIoT(モノのインターネット)を活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第1回は、技術面以上に、なぜ組織面での対応が重要となるのかについて説明する。 - ITとOTの組織連携はどうすれば進められるのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第2回は、製造業にとって重要なIT(情報システム)とOT(制御システム)の組織連携の進め方について説明する。 - WannaCary騒動がもたらしたセキュリティへの「経営層の理解」をもう1段階進める
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第3回は、日本が特に低いとされる、経営層のサイバーセキュリティに対する理解をどのように高めていくかについて説明する。