政策と産業の最新動向を伝え、解説する“クオリティペイパー”


構成要素を5つに分類、全体をモデル化

IPA(独立行政法人情報処理推進機構、富田達夫理事長)セキュリティセンターは、12日、今後のIoTの普及に備え、「IoT開発におけるセキュリティ設計の手引き」を公開した。
これは、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理したもの。3月に発表した国内初のIoT製品を安全に開発するための17の開発指針に対応するもので、具体的なセキュリティ設計と実装を実現するための手引きの位置づけである。
昨今、IoT(モノのインターネット)が多くの注目を集めています。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、ネットワーク接続機能が後付けされたものが多く存在すると考えられる。IoTの普及と利用者の安全な利用のためには、機器やサービスがネットワークでつながることで生じうる様々な脅威や、それらを原因とするリスクや被害を予め踏まえておく必要がある。
この手引きでは、脅威とリスクを整理し、課題を抽出している。そして、IoTの構成要素を「サービス提供サーバ・クラウド」「中継機器」「システム」「デバイス」「直接相互通信するデバイス」の5つに分類して定義し、IoTの全体像をモデル化した。その上で、各構成要素における課題の抽出・整理を行った。
それら抽出された課題を踏まえ、IoT機器やサービスのセキュリティ設計にあたって行うべき「脅威分析」「対策検討」「脆弱性への対応」について解説している。「対策の検討」では、主なセキュリティ対策候補の一覧を掲載し、どの対策がどのような脅威に有効かを例示し、対策検討時の参考になるようにした。
これまでに蓄積してきた知見を基に、「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」の4分野を例に、具体的な脅威分析と対策検討の実施例を図解した。
図解では、脅威が想定される箇所と、認証や暗号化など有効な対策を明確化するとともに、業界のセキュリティガイドで述べられている要件との対応をマッピングしている。このような図解が、網羅的にセキュリティ要件を整理することが困難な組織や、今後IoTビジネスを模索する組織にとって、安全な機器・サービスの検討の材料になると考えている。
暗号技術は、IoT機器やサービスのセキュリティを実現する上で根幹をなす。この手引きでは、暗号技術が適切に実装されているか、安全性を客観的に確認するためのチェックリストを付録として添付した。開発者はこれを参照して暗号技術の利用・運用方針を明確化し、その安全性を評価することが容易になる。

図1 IPAのIoTモデルの全体像

図1 IPAのIoTモデルの全体像

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">