CYBERNET


CYBERNET

Menu

2022.3

企業が知っておくべき総務省のIoTセキュリティガイドラインとは

IoTには、大きな可能性と大きなリスクが存在します。扱い方を誤ると、企業の存続にかかわるトラブルに発展する恐れがあります。IoT機器、システム、サービスなどは、リスクを考えて設計しなければなりません。この記事では、総務省が発表している「IoTセキュリティガイドライン」の内容をわかりやすくまとめています。以下の情報を参考にすれば、どのような点に気を付けてIoTと向き合えばよいかがわかります。IoT機器の製造などを検討している場合は是非確認しておきましょう。

企業が事前に心得ておくべきIoTセキュリティガイドラインとその目的

同ガイドラインの主な目的は、安全性を確保するため関係者に求められる基本的な取り組みを明らかにすることです。これにより製品やシステム、サービスの開発を促すとともに、利用者が安心して活用できる環境の構築を目指しています。

関連記事:IoT化とは何か?工場のIoT化と必要な要素を解説

制定の背景

このガイドラインは、IoTが急速に各分野へ浸透していることなどから制定されました。普及分野は、家電製品、コネクテッドカー、医療機器、工場の制御システムなど多岐にわたります。非常に便利なIoT機器ですが、セキュリティ上の問題も報告されています。具体的には、私たちに身近なHEMSなどで問題が生じています。 主なセキュリティリスクは、攻撃により関連するものまで影響を受けることとその影響が深刻になりうることです。ネットワークで接続されているため、システム全体が影響を受けることが考えられます。また、機器によっては、利用者の命に関わることや重要な個人情報が流出することも想定されます。これらのリスクに対応するため、このガイドラインは制定されたのです。

IoT化によって考えられる特有のセキュリティリスク

前述の内容以外にも、IoTは特有のセキュリティリスクを抱えています。以下のポイントを踏まえたうえで、セキュリティ対策を講じる必要があります。

製品の寿命が長い

一般財団法人自動車検査登録情報協会によると、平成31年3月末における乗用車の平均使用年数は13.26年です[1]。工場で使用される機器の使用年数も、10年を超えるケースが少なくありません。長期にわたり使用され続けることで、リスクの度合いも変化していくことが考えられます。

目が届きにくい

IoT機器は、パソコンやスマートフォンなどのようなモニターを基本的に備えていません。したがって、何かしらのトラブルが生じても確認しにくい傾向があります。マルウェアに感染するなどの問題が発生しても、そのまま放置されるケースが少なくありません。

想定外の接続が行われる

利用方法によっては、開発時に検討された方法とは異なる接続を行われることがあります。これにより、想定外の問題が発生することも考えられます。

万全のセキュリティ対策を講じられない

製品やサービスによっては、活用できるリソースに限りがあります。したがって、開発担当者が考えているセキュリティ対策を行えないこともあります。

IoT セキュリティ対策の 7 つの指針

セキュリティ対策は、どのように進めればよいのでしょうか。セキュリティガイドラインに記載されている指針から、主なものを抜粋して紹介します。

経営者が IoT セキュリティにコミットする

IoTが抱えるセキュリティリスクは大きなものです。広い範囲に深刻な影響をもたらすことも考えられます。ケースによっては、企業の存続にかかわることもあるでしょう。したがって、経営者がリーダーシップを発揮してセキュリティ対策を推進する必要があります。ポイントは、経済産業省が定める「サイバーセキュリティ経営ガイドライン」を踏まえて基本方針を策定することと、実際の稼働状況に合わせて見直しを進めていくことです。もちろん、必要な体制の構築も欠かせません。具体的には、緊急対応や原因分析などを行う体制の整備、製品やシステムに関わる企業が連携する体制の整備などが考えられます。

内部不正やミスに備える

IoT機器などに関係するセキュリティリスクは、内部不正や関係者のミスなどでもたらされることもあります。例えば、不満を抱えたまま退職した人がIoT機器を不正操作する、標的型攻撃メールの添付ファイルを開封してウイルスに感染してしまうなどが考えられます。これらにも備えておかなければなりません。

内部不正対策は、以下の5原則を参考にできます。

【内部不正防止の基本5原則】

犯行を難しくする
捕まるリスクを高める
犯行の見返りを減らす
犯行の誘因を減らす
犯罪の弁明をさせない

出典:独立行政法人情報処理推進機構:組織における内部不正防止ガイドライン

関係者のミスをなくすことは難しいでしょう。攻撃方法を周知して、予防に努めるなどが重要になります。

守るべきものを特定する

IoTには、さまざまなリスクが存在します。とはいえ、起こりうるすべてのリスクに対応することは難しいでしょう。まずは、守るべきものを特定する必要があります。最優先で守るべきものは、機器などが備える本来の機能と情報です。これらの中から守るべきものを洗い出します。 例えば、照明であればライトの点灯・消灯が本来の機能と考えられます。守るべき情報は、収集する個人情報、機器の設計情報、ソフトウェアの設定情報、ネットワーク設定情報などです。また、従来の機器をIoT化するために追加した機能や情報も守るべき対象としてあげられます。洗い出したリストは、優先順位を付けて整理します。

つながることによるリスクを想定する

機器やシステムがネットワークとつながることで、さまざまな問題が起こりえます。過去には、プリンタ複合機に蓄積されたデータがインターネット上で閲覧できるなどの問題が発生しています。この問題は、クローズドな環境での使用を想定していたため起こりました。したがって、想定している使用環境を問わず、通信機能を備える場合はIoT機器と同様のリスクを想定しておかなければなりません。例えば、初期パスワードを同じものにしない、ユーザーにパスワードの変更を求める、攻撃する側の視点で機器やシステムを検証するなどが有効な対策になると考えられます。

つながりで波及するリスクを想定する

IoTがネットワークとつながることで、リスクは周囲の機器などへも波及します。例えば、関連機器が正常に動作しなくなる、ウイルスに感染する、攻撃の踏み台にされる、機能を停止すると他の機器にも影響が及ぶなどが考えられます。また、十分な対策をしていない機器が、全体のセキュリティレベルに影響を与える恐れがある点にも注意が必要です。その機器が攻撃の入り口になることなどが考えられます。複数のIoTがひとつのシステムなどを構築する場合は、全体に及ぶリスクも想定しておかなければなりません。

物理的なリスクを認識する

IoTは、ユーザーが携帯する機器、工場に設置された機器、公共スペースに設置された機器などで構成されます。したがって、機器が盗難されること、盗難された機器が不正操作されることなども考えられます。あるいは、廃棄した機器から個人情報を読みだされることなども考えられるでしょう。これらのリスクに対応するため、機器の設置方法を見直すなどの対策も求められます。

過去の事例に学ぶ

セキュリティ対策は、過去の事例に学ぶと効率よく進められます。過去に行われた攻撃手法を真似て攻撃するケースが多いからです。したがって、定番といえる対策が有効に機能するケースもあります。ICTではファイアウォール機能の強化、ウイルス対策ソフトのインストールなど、IoTでは不要なインターネット接続の停止、ファイアウォールの設置などが定番のセキュリティ対策となっています。自社のやり方だけに固執せず、過去の事例を参考にすることも重要です。

ガイドラインを参考に安心安全な製品づくり

総務省が発表している資料をもとに、IoTにおけるセキュリティ対策について解説しました。IoTには、大きな可能性と大きなリスクが存在しています。リスクを無視すると、企業の存続にかかわるような問題が生じるかもしれません。企業の成長につなげたい方は、IoTセキュリティガイドラインを参考にリスクの管理を徹底しましょう。

サイバネットシステムでは、IoT化やデジタルツイン導入のサポートをさせていただいております。
是非ご相談ください。

[1]出典:一般財団法人自動車検査登録情報協会:平均使用年数
https://www.airia.or.jp/publish/file/r5c6pv000000ogyc-att/(3).pdf

pagetop

Top