日本スマートフォンセキュリティ協会(JSSEC)は3月8日、IoTを利用する企業を対象にした「IoTセキュリティチェックシート」を公開した。初版では最低限の点検項目に絞って作成され、協会では意見を募りながら内容を今後拡充させていくとしている。
「IoTセキュリティチェックシート」の特徴
チェックシートは、企業がIoTの導入や利用の検討する際に参考となるセキュリティ対策のポイントをまとめたもの。IoTの本番導入時だけでなく、概念実証(PoC)段階でも項目を確認する欄などが設けられている。
日本スマートフォンセキュリティ協会 利用者部会長兼IoT調査研究タスクフォース リーダーの後藤悦夫氏
利用者部会 IoT調査研究タスクフォースの後藤悦夫リーダーは、「IoTに関するセキュリティガイドラインは開発者向けのものが多く、利用者の視点はあまりない。IoTは非常に幅広い概念で、まずは必要最低限の点検項目に絞り込んだ」と話す。
作成では、既にあるIoT関連のセキュリティガイドラインの中から、利用者視点の内容がある程度含まれているIoT推進コンソーシアムの「セキュリティガイドライン Ver1.0」を参考にしたという。チェックシートの構成は、このガイドラインに沿って作成されているものの、一部は利用フェーズに応じた順番に入れ替えたり、内容を補足したりしており、独自にPoC段階の点検欄を追加した。
後藤氏によれば、IoTを利用する際に、例えば制御系システムでは情報系システムとは異なるネットワークとなる場合が多いことから、IoT化の際にインターネットにも“つながる”という視点を強調。この他にも、既にIoT機器に感染したマルウェアによるサイバー攻撃が多発現状を踏まえ、機器の乗っ取りを防ぐために初期設定のパスワードを変更する必要性や変更したパスワードの管理、通信ポートの適切な利用、ファームウェア更新の確認や適用といった項目も挙げている。
「IoTセキュリティチェックシート」の構成
一方でIoTの具体的な利用シーンや、IoTシステムを構成するネットワークやエッジコンピュータ、データセンター側などに関する詳細な点検項目は盛り込んでいない。後藤氏は、「検討自体は2年ほど前からしているが、現状ではまだ導入事例が少なく、想定し得る項目を網羅的にしても利用者の負担が過大になりかねないと判断した」と経緯を説明する。
点検項目ポイントの一例
このためチェックシートの末尾に、利用者が独自に点検項目を追加できる欄を設け、組織の特性や業務利用それぞれの観点から検討できるようにした。
タスクフォースでは今後、チェックシート利用者の意見を募りながら内容を拡充させたい考え。またチェックシートの解説版も作成して使い勝手も高めたいとしている。また、JSSECが基本的にはスマートデバイスの開発や利用にまつわるセキュリティ対策の普及を目的としていることから、将来的にスマートフォンをIoTの一部ととらえた形でもセキュリティの啓発に取り組みたいという。