著者らは「複雑さを内包している現代のシステムは、その複雑さを効率よく管理するために、構造化された規律ある工学的アプローチを必要としている」と記している。
Ross氏やMcEvilley氏、Oren氏の考える適切なセキュリティとは、「受け入れ難いような資産損失を引き起こす条件の回避」だという。
また著者らは、セキュリティを適用する資産と、セキュリティの評価がもたらす結果に関して、利害関係者らがセキュリティのスコープを明確に定義しておくべきだとも提案している。
セキュリティに向けたシステムアプローチ
同レポートは次に、IoTシステムにおける設計上の問題に対するアプローチの方法について考察している。Ross氏とMcEvilley氏、Oren氏によると、これにはしっかりとした規律に従ったシステムセキュリティ工学が必要だという。同レポートには以下のように記されている。
システムセキュリティ工学は、確実性と信頼性という目的を達成するための分析作業において、適切なレベルの厳密さと厳格さに焦点を当てるとともに、あらゆるシステム工学プロセスの一環として、セキュリティ指向の成果を生み出すアクティビティとタスクに対する考察をもたらす。
システムセキュリティ工学(図A)では、セキュリティを後付けで考えるのではなく、プロジェクトにおける設計及び工学的側面を構成するホリスティックなアプローチとして捉えている。同レポートには「これによって、利害関係者の保護というニーズと、システムセキュリティ上の懸念が、システムのライフサイクルを通じて発生するすべてのシステム工学上のタスクにおいて適切に洗い出され、取り組まれることになる」と記されている。
図A
提供:NIST(Ron Ross氏、Michael McEvilley氏、Janet Carrier Oren氏)
システムセキュリティ工学では、プロジェクトの開始時点で利害関係者のセキュリティ上の目的や、保護に関するニーズ、関連する検証手法を定義することになる。
