IoTのセキュリティ対策を“ユーザー目線”で―日本スマートフォンセキュリティ協会(JSSEC)が2016年3月8日、「IoTセキュリティチェックシート」を公開した。IoT導入を検討している企業が、導入にあたって検討すべき事項を洗い出したものとなっている。
公開された「IoTセキュリティチェックシート」は、IoT導入を検討している一般企業を対象としたもので、重要インフラなど特殊な条件を持つ企業や団体は対象とならない。ベースとなっているのは、経済産業省、総務省がオブザーバーを務めるIoT推進コンソーシアムの「IoTセキュリティガイドライン」。ガイドラインの内容を参考にして、ユーザー企業目線でチェック項目を洗い出したものとなっている。
JSSECではIoTセキュリティチェックシートの製作にあたって、ベースとなるガイドラインをどれにするか、団体や協議会などから発行されている複数のガイドラインを検討した。多くのガイドラインが開発者向けであるのに対し、一部導入者目線もあるなど利用対象分野が広く、網羅性が高いことから、IoT推進コンソーシアムが2016年7月5日に発行した「IoTセキュリティガイドライン Ver1.0」を選定した。
ベースとなったIoTセキュリティガイドラインでは、機器の開発からサービス提供までの流れを「方針」「分析」「設計」「構築・接続」「運用・保守」という5つの段階に分け、それぞれの段階に対するセキュリティ対策指針を示している。さらに指針ごとに具体的な計21の要点を挙げて、ポイント、解説、対策例を記述している。
今回のチェックシートでは、導入企業向けという点を鑑みて、5つの段階のうち提供者の視点が中心となっている「設計」を割愛した。残り16の要点についてポイントを分析、一般企業がIoTを導入する際に検討すべき観点をチェック項目として挙げている。
チェック項目は全部で92個に及んでいるが、JSSECは「すべてのチェック項目を実施する必要はない」としており、特に優先して実施すべき47項目を「推奨レベル」として挙げている。
使い方としては、POCと本番用のチェック欄が用意されており、推奨レベルを参考にそれぞれのフェーズでの検討項目を決めていく。シートに記載されている項目が、すべての企業に当てはまるものではないので、「個別の追加項目」として、企業の特性、業務・利用形態の特性にあった項目を追加する欄も設けられている。
実際にチェックシートを見てみると、「IDとパスワードを初期設定のままにせず、適切に変更する」「IoT機器のファームウェアを最新のバージョンにアップデートする」といった初歩的なものから「設定のミスによる外部からの攻撃を想定する」「連携する機器やシステムに影響を与えるリスクを想定する」など、企業によっては外部ベンダーの協力なしには実施できないものまで推奨レベルに並べられているので、ユーザー企業にとってのハードルの高さは否めない。
JSSECは、今回公開した「第1版」は叩き台とするためのもので、今後広く意見を募集してブラッシュアップを図っていきたい考えだ。併せて、スマートフォンをIoTの一部として使用する場合の考慮点についてもJSSEC内で議論し、公表していく考えを示している。チェックシートはJSSECのホームページからダウンロードできる。