法規対応に伴うPSIRT構築やSBOM管理にどう対応する？ いま必要な取り組みとは：IoTセキュリティ

IoT機器へのサイバー攻撃の急増に伴い、国内外で規制やガイドラインの制定が進んでいる。もはやIoT機器のセキュリティ対策は待ったなしの状況だが、PSIRT構築やSBOMの作成などやるべきことは多い。国内の製造業はどう対応すればいいのだろうか。

[PR／MONOist]

　製造業においてIoT（モノのインターネット）という言葉が浸透し、開発する製品がインターネットにつながって当たり前の時代になった。スマートフォンやPCだけでなく、自動車、医療機器、産業機器など、さまざまな製品がネットワーク機能を持つようになった現在、これらの製品はサイバー攻撃の標的となり得る。

　国内でもサイバー攻撃は増加しており、NICT（情報通信研究機構）が運用するダークネット観測網「NICTER」においても、サイバー攻撃関連の通信数は右肩上がりで増えている。脆弱性を突いてマルウェアに感染させたIoT機器でbotを構築し、DDoS（分散型サービス妨害）攻撃を仕掛けるといった事件が出てくるなど、サイバー攻撃者の手口も巧妙になっている。

　ネットワークと接続する以上、ITシステムと同様、IoT製品でも企画段階からサイバーセキュリティ対策が必要だ。もはや製造業にとって、IoTセキュリティは避けて通れない重要課題となっているのだ。

各国で強化されるIoTセキュリティの法規制と国内製造業の課題

日立ソリューションズ セキュリティプロダクト本部 セキュリティプロダクト第3部 担当部長の熊谷仁志氏

　ITセキュリティ分野と比較して法規制の整備が遅れていたIoTセキュリティ分野だが、ここ数年変化が起きている。IoT機器への攻撃増加を受け、各国で規制やガイドラインの制定が相次いでいるのだ。日立ソリューションズ セキュリティプロダクト本部 セキュリティプロダクト第3部 担当部長の熊谷仁志氏は「セキュリティ対策はどうしても、問題が発生しないと本腰にならないという特性があります。IoTそのものは新しいものではありませんが、ようやく各国が真剣に取り組みを開始したといえます」と現状を説明する。

　人命に直接関わりのある自動車や医療機器の両業界では既にサイバーセキュリティの国際的な規制が策定されており、国内でも法律に反映される形で適用が始まっている。

　特に大きなインパクトを持つのがEUサイバーレジリエンス法（CRA：Cyber Resilience Act）だ。デジタル製品全般を対象とした規制で、自動車や医療機器と同様、安全な製品を出荷し、その後もアップデートを続けるという考え方に基づく。CRAは2024年末に成立しており、2027年の全面適用に向けて企業の対応が求められている。

　CRAと同期する形で国内でもセキュリティラベリング制度「JC-STAR」の運用が始まった。適合基準を満たしていることを評価するもので、★1〜★4の4レベルで製品のセキュリティ水準を示すことができる。2025年3月に受付がスタート、同年4月から★1（レベル1）のラベルの発行が開始された。将来的にはCRAとの相互運用も計画されている。熊谷氏は「消費者が購入時にラベルの有無をチェックすることはもちろん、政府調達でもどの適合ラベルが付与されているかが要件になることが考えられます」と説明する。

IoT機器に対する規制の動向［クリックで拡大］ 提供：日立ソリューションズ

PSIRTの構築とSBOM作成／管理に課題

　一方で、これらIoTセキュリティ関連の規制に対する企業の対応はまちまちだ。CRAの場合「2027年までまだ時間があると思っている企業もあれば、着手を進めている企業もあります」と熊谷氏は感触を明かす。製造業の技術者にとって、IoTが登場する以前は製品の価値である機能に直結しないこともありどうしてもセキュリティ対策は後手に回りがちだ。逆に、現場側でセキュリティ対策を導入しようとしても、経営層の説得が必要な場合もあったりするという。

　IoTセキュリティ対策に当たっての最大の課題はコストだ。例えば、自社で開発する製品やサービスの安全管理を行い、インシデントを未然に防ぐためにはPSIRT（Product Security Incident Response Team）の立ち上げが必要になるが、さまざまな製品／サービスがある中でPSIRTを組成するには、人的リソースを含めて相当なコストがかかる。

　具体的な対策でも課題は多い。例えば各種規制が求めるSBOM（Software Bill of Materials：ソフトウェア部品表）の作成や管理は簡単ではない。SBOMそのものは表計算ソフトウェアでもテキストファイルでも作成可能だ。だが、脆弱性対策情報の累計登録件数は20万件にもおよび^（※）、手動での管理は非現実的になりつつある。SBOM作成後、日々数十件も出てくる脆弱性情報とSBOMを突き合わせて、どの脆弱性の緊急度が高いのかを判断して修正するという運用や管理面の負担は大きくなっている。

　熊谷氏は「対策の段階ごとに次の課題が見えてくるという状態です。また、自社にとって何がベストなのかは企業により異なるため、進めようと思ってもすぐに着手できないところが多いようです」と指摘する。

「製品セキュリティソリューション」で製品開発のライフサイクル全体をカバー

　日立ソリューションズは、このような国内製造業がIoTセキュリティへの対応で抱えている課題を解決すべく、製品開発のライフサイクル全体をカバーする「製品セキュリティソリューション」を提供している。同社のこれまでのセキュリティ製品開発やIoT機器のセキュリティ対策支援で培ったノウハウを生かし、製造業向けに個別に提供していたサービスをまとめ、2023年から展開している。

　製品セキュリティソリューションは大まかに分けて2つのメニューから構成される。

日立ソリューションズの「製品セキュリティソリューション」の構成［クリックで拡大］ 提供：日立ソリューションズ

　1つ目はプロセス策定と組織構築に対応するコンサルティングで、CRA対応やPSIRT構築などのメニューをそろえている。例えば、CRA対応では、付属書Iの1「セキュリティ特性要件」や付属書Iの2「脆弱性処理要件」などにある文言が具体的ではないため、何をどこまでやれば準拠したことになるのかが分かりにくい。

　そこで、日立ソリューションズは、産業機器向けサイバーセキュリティ規格であるIEC 62443などを参考に、CRAへの適合状況を整理、分析し、具体的にどのように対策すればよいか、顧客が判断できるよう支援している。また、脆弱性発見時の報告義務などCRAの要件を満たす脆弱性管理に必要となる組織の構築やプロセスの策定支援も行っている。

　それらが整ったら、セキュアな製品を作り、アップデートするための仕組みが必要だ。そこで2つ目として提供しているのが、製品企画や開発から、出荷後の運用保守に至るまで、製品ライフサイクル全体で継続的なセキュリティ対応を可能にする対策である。

　対策の1つ、セキュリティ設計支援コンサルティングでは、策定したプロセスに従って、実際の製品設計／開発を支援する。

　また、IoTセキュリティライブラリは、PKI証明書の配布や管理機能を提供する他、CPUの処理能力や搭載できるメモリ容量に制限があるような製品でも、軽量暗号化によりデータ暗号化／改ざん検知を実現する。

　さらに日立ソリューションズでは、IoTセキュリティの対応で要となるPSIRTの運用を効率化するため、SBOMの作成／管理や脆弱性対応の支援も行っている。

　SBOMの作成はSCA（Software Composition Analysis：ソフトウェアコンポジション解析）ツールを利用するのが一般的だ。日立ソリューションズでは、「Black Duck」「FOSSA」「Mend社のソフトウェアコンポジション解析ツール」「Insignary Clarity」といった複数のツールを取り扱っており、利用する企業に合わせたツールおよび利用方法を提案している。

　また、「SBOM管理サービス」は、SCAツールで作成したSBOMやサプライチェーンから取集したSBOMを一元管理しPSIRTの脆弱性対応を支援する。これにより、製品として親子関係があるSBOMの管理や、CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）など脆弱性情報の収集およびSBOMとの突き合わせ、対応のステータス管理などを行える。製品の開発者が早急に調査を行う必要のある脆弱性だけを取り出すためのトリアージも自動で対応可能だ。また、製造業の製品はライフサイクルが10年以上になることも多いが、その間のバージョン管理も簡単に行える。熊谷氏は「ファームウェアやチップの対応バリエーションが豊富で、ビルドで使ったライブラリなどの不要なものが入っていないSBOMを作成して運用できます」と強調する。

SBOM作成から脆弱性管理までトータルでサポート［クリックで拡大］ 提供：日立ソリューションズ

法規制対応はコストではない、セキュリティを製品の差別化に

　日立ソリューションズの製品セキュリティソリューションは、ここまで挙げたようなさまざまな対策でIoTセキュリティを支援する。

　規制順守の観点からIoTセキュリティへの関心は高まっており、日立ソリューションズも自動車、医療機器を中心に、さらにはCRA対応が必要な幅広い業界への展開を進めている。CRAの全面適用は2年後の2027年。同じくEUのデジタル関連の規制であるGDPR（General Data Protection Regulation：EU一般データ保護規則）は直前になって企業が対応に慌てたことが記憶に新しい。「今から準備を進めておくことで、適用を待たずに、自社製品の安全性を高めることができます」。規制対応を単なるコストではなく、競争力向上の機会として捉えることもできるのだ。

　熊谷氏は「CRAについては、対応をどうすれば良いか分からないというご相談をよくいただきます。当社ではPSIRT構築のコンサルティングからツールとプラットフォームの提供、設計支援まで幅広くサポートできます。豊富な知識をもった専門家が対応しますので、安心してお任せください」と述べている。 CRA対応が迫る中、何から着手すべきかなど、日立ソリューションズに相談してみてはいかがだろうか。

日立ソリューションズの熊谷仁志氏。「製品セキュリティソリューション」で製造業のIoT機器開発を支えていく［クリックで拡大］

（※）IPA：脆弱性対策情報データベースJVN iPediaの登録状況［2025年第1四半期（1月〜3月）］