セーフティ設計とセキュリティ設計を可視化する
こうした課題に対し、IPAでは「障害情報の共有」「つながる世界の開発指針」「システム指向によるアプローチ」の3つの観点から取り組んでいると、松本氏は説明する。
障害情報の共有とは、各企業が個別に所有している障害対策のハウツーを共有し、“教訓”として再発防止に役立てる取り組みだ。具体的には、IPAがとりまとめ役となり、障害事例を分析し、そこから得られる教訓を「教訓・行動指針」として提供していく。
つながる世界の開発指針とは、「セーフティ設計」と「セキュリティ設計」の思想を組み込むと同時に、接続先の機器やソフトウェアを開発する第三者が設計状況を理解できるよう、設計品質を可視化する取り組みである。
ここでいうセーフティ設計とは、機器同士の相互接続で発生するリスクを想定し、設計段階から安全性に関するリスクを分析して低減するもの。セキュリティ設計とは、情報の機密性や完全性を確保し、脆弱性の低減や脅威への対策を考慮したものを指す。
松本氏は、「開発指針は経営課題として取り組むべきだ。企業はセーフティ設計とセキュリティ設計を企画段階から策定し、どこまで担保するかを考える必要がある」と力説する。
IPAが9月に公開した「セーフティ設計・セキュリティ設計に関する実態調査結果」によると、すべての企業がセーフティ設計とセキュリティ設計の必要性を認識しているにもかかわらず、半数以上の企業がセーフティ設計とセキュリティ設計に関する明文化された基本方針を持っていないという。さらに、セーフティ設計とセキュリティ設計に経営層が関与している企業は30%以下であり、設計に対する企業としての取り組みが不十分であることが詳らかになっている。
IPAでは現在、最低限守るべき開発指針の基準を定め、設計思想とセキュリティレベルが第三者も理解できるよう可視化するための策定作業を進めているという。今後は国や関連団体とも連携し、開発方針の規格化を進めるとともに、複数の業界、異なる業界での“横展開”も検討しているとしている。
開発指針の今後の展開
システム指向によるアプローチでは、個々のコンポーネントの信頼性を向上させるだけでなく、人間の関与も含めた「1つのシステム」を捉え、安全性を定義する「システムズエンジニアリング」の思想が重要であるという。
最後に松本氏は、「あらゆるモノがつながる“IoE(Internet of Everything)”時代では、ハードウェア、ソフトウェア、人の関与も考慮したアプローチが重要になる」と語り、講演を締めくくった
