サイバーセキュリティ未来考

IoT時代の製品開発に欠かせない「セキュリティ・バイ・デザイン」という発想

吉澤亨史 2017年11月08日 06時00分

  • このエントリーをはてなブックマークに追加

「セキュリティバイデザイン」とは

 さまざまなモノがインターネットに接続されるIoT時代が既に始まっている。気が付けばテレビやレコーダ、エアコン、冷蔵庫など、周囲にある製品や機器が当たり前のようにインターネットにつながっている。インターネットに接続しているということは、逆に第三者がインターネット側からそれらの製品や機器にアクセスできる可能性もあり、サイバー攻撃の危険性に晒されている状態にあるといえる。

 こうしたIoT機器への攻撃は、IoT機器が搭載しているソフトウェアの脆弱性を悪用されるケースが多い。また、将来的には機器に搭載される個々のシステムが相互に接続されるようになるため、それを見据えたセキュリティ対策が必要になる。そこで内閣サイバーセキュリティセンター(NISC)を中心に提唱されているのが、「セキュリティ・バイ・デザイン(Security by Design)」だ。

 NISCではセキュリティ・バイ・デザインを、「情報セキュリティを企画・設計段階から確保するための方策」と定義しており、「IoTシステムの設計・構築・運用に際しては、セキュリティを事前に考慮するセキュリティ・バイ・デザインを基本原則とし、これが確保されていることが当該システムの稼働前に確認・検証できる仕組みが求められる」としている(参考PDF資料)。

 多くの製品や機器は、「企画・要件定義」「設計」「実装」「検証・評価」「保守・運用」といった段階を経て市場に出回る。従来でもサイバーセキュリティ対策が考慮されていなかったわけではないが、その適用は「実装」以降の段階というケースが多かった。セキュリティ・バイ・デザインでは、企画・設計段階からサイバーセキュリティを確保するための方策を指す。

セキュリティ・バイ・デザインでサイバー攻撃を防ぐ

 かつて多くの製品や機器は、“消費者の手に渡ったらそれで終わり”ということが多かった。もちろん、保守やサポートのサービスはあるが、基本的にユーザーは製品や機器が故障しない限り使い続ける。実際に故障するのはサポートが切れてからのタイミングが多いので、修理をせずに買い替えるパターンがほとんどだったわけだ。しかし、ソフトウェアを搭載するようになるとそうもいかない。それがインターネットに接続されるとなると、なおさらだ。

 単にソフトウェアを搭載した頃は、多くのソフトウェアが独自開発のものだったが、インターネットに接続する必要が出てきたことから、オープンソースソフトウェア(OSS)を活用するケースが増えた。OSSを使えば安価に開発できるし、多くの機能がコンポーネントになっているので、実装の手間が少ないというメリットもある。

 一方で、OSSは文字通りにプログラムのソースが公開されている。このため、サイバー犯罪者が悪用を目的に検証できてしまえる。また、脆弱性がたびたび公表されるため、その情報が悪用されることある。複数の機能を合わせたメジャーなコンポーネントの一部に脆弱性があると、意図せずに脆弱性を作り込んでしまうことになる。そのために、「企画・設計」段階から脆弱性のリスクを検証するセキュリティ・バイ・デザインが有効となる。

 また最近では、セキュリティ・バイ・デザインの概念を「保守・運用」にまで拡大した考え方が一般的になっている。例えば、IoT機器に搭載されるソフトウェアに不具合や脆弱性が発見された際に、インターネット接続機能を利用してユーザーに注意喚起し、アップデートを配布したり、自動的にアップデートを行ったりする仕組みを提供するといったことだ。もちろん、IoT機器は従来のような「壊れるまで使う」ものではなく、「定期的にアップデートするもの」ということをユーザー側にも認識させる必要がある。

セキュリティを「設計」段階から組み込む''
セキュリティを「設計」段階から組み込む(IPAソフトウェア高信頼化センター資料より引用)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算