IoT(Internet of Things)やM2M(Machine to Machine)では、これまで相見えることのなかった機器同士が接続してデータのやり取りを行うようになる。例えばスマートフォンと自動車など、メーカーも業界も異なる製品がつながる。しかし、業界が異なる製品同士を接続した際に、どのような問題が起こりえるのか想定できているのか。もし問題が起こった場合に、だれが責任を負うのかなど、解決しなければならない問題が残されている。独立行政法人 情報処理推進機構(IPA)は、そのようなリスクを回避するためには設計段階からの取り組みが必要と指摘、ガイドブックを発行して多方面に訴えていく考えだ。
セーフティ&セキュリティ設計を推進しているのは、IPAのソフトウェア高信頼化センター(SEC)。IPA SECでは、メーカーや業界が異なる、つまり業界標準などの枠組みで開発されていない製品同士がIoTやM2Mでつながることで、予期せぬ不具合が発生する可能性を指摘している。これを「セーフティ(安全性)の問題」としている。また、IoTでは、これまでスタンドアローンで利用されていた冷蔵庫や照明、自動車などがインターネットにつながることから、不正侵入や遠隔操作など「セキュリティの問題」も心配される。
IPA SECでは、IoTに対応させる製品やサービスには、つながることによって発生するリスクをあらかじめ想定して設計段階から反映させる「セーフティ設計」および「セキュリティ設計」の導入が必要になると考えた。更に、これらの設計を施していることを、つながる相手である異業種の開発者などに理解される形にする「見える化」も必要だとしている。
拡大画像表示
IPAは特に、経営層への認識の浸透が重要と考えている。IPAが2015年9月10日に公表した「セーフティ設計・セキュリティ設計に関する実態調査結果」で、セーフティ設計・セキュリティ設計の必要性を聞いたところ、両方とも必要と答えた企業は76.5%にのぼった。セキュリティ設計のみが必要と答えた企業は19.1%、セーフティ企業のみが必要と答えた企業が4.4%、両方とも必要ないと答えた企業は0%だった。つまり、100%の企業が、いずれか一方が、あるいは両方とも必要であると回答したことになる(図1)。しかし、設計上の判断に経営層が係わっている割合は、セーフティ設計で26.4%、セキュリティ設計で29.8%に止まっているという結果が出た(図2)。
拡大画像表示
IoT関連製品・サービスで発生する事故やインシデントは、時には人命に係わることがあるかもしれない。そうなると、損害賠償や企業の信用失墜、リコールといった経営リスクに発展する可能性は避けられない。そのためIPAは、セーフティ設計・セキュリティ設計上の判断には経営層の関与が是非とも必要であると訴えているのだ。
今回発行したガイドブックは、この「セーフティ設計」「セキュリティ設計」「見える化」の導入を促すためのものだ。内容は、セーフティ設計、セキュリティ設計の重要性、見える化の必要性、過去に発生した事故とインシデントの紹介、セーフティ設計、セキュリティ設計の「リスク分析手法」と「設計手法」、事故やインシデントが発生した事後に、第三者への説明責任を果たすための設計品質の「見える化手法」など。
前半は、技術者だけでなく経営層にもセーフティ設計、セキュリティ設計の重要性を認識してもらうために分かり易く解説した入門編、後半は開発者、運用者向けの実践編という構成になっている。価格は556円。