運用段階での対応
製品出荷後の脆弱性の検出や新規発見に備えて、また検出・新規発見が生じた際の対応として、IoTの運用段階にも下記のような対策の実施が求められる。製品出荷前に特別な断り書きをしていない限り、製品の動作保証をしているサポート期間中は、望ましい対応とは何か下記に提案する。
継続的な脆弱性対策情報の収集
出荷した製品自体、製品開発に利用した外部のソフトウェア部品において、新たな脆弱性が検出・発見されていないか、継続的な脆弱性対策情報の収集が必要となる。
脆弱性対策情報(更新ソフトウェアを含む)の作成
新たな脆弱性が検出・発見された場合、脆弱性対策情報(脆弱性の概要、深刻度、影響を受ける範囲、想定される影響、対策等)を作成する。
ソフトウェア(ファームウェア)上の脆弱性の場合、通常の対策は、脆弱性を解消した更新ソフトウェア(アップデート)を提供し、利用者に適用してもらうこと。なお、更新ソフトウェアの提供までに時間を要する場合や、利用者がすぐに更新を適用できないと考えられる場合は、他の回避策(例えば、製品の特定の機能をオフにして脆弱性の影響を受けないように抑止する)を準備する。
脆弱性対策情報の利用者への通知
脆弱性対策情報が作成できたら、速やかに、確実に利用者に通知すること。また、脆弱性情報が公知になった際に、悪用される危険性が高まるため、一斉に伝えられるようにしておくことが望まれる。なお、周知を図る手段の一つとして、IPAの脆弱性届出制度も活用できる。
更新ソフトウェアの製品への適用
更新ソフトウェアを提供した場合、すみやかに、利用者に確実に適用してもらうことが重要となる。IT技術に不慣れな利用者が使用する可能性がある製品や、利用者における更新ソフトウェアの適用が容易でない製品の場合、通信路や放送電波等による遠隔操作によって自動的に更新ソフトウェアを適用する方法が考えられる。
この場合、製品出荷時の時点において、製品が自動更新機能を有していることを、取扱い説明書への分かり易い記載で利用者に適切に告知しておくことが望まれる。また、更新によって製品の持つ機能が変更される場合は、自動更新を避けて、利用者の了承を得る確認プロセスの後、更新を適用する様に実施することが望まれる。
なお、利用者における更新ソフトウェアの適用が困難な製品の場合やハードウェアの脆弱性の場合、IoTの製品分野によっては、リコールを実施し、製品を一旦回収してアップデート・改修作業を実施する可能性についても、考慮しておく必要があるとした。
