編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

IoTのセキュリティ確保は厳しい--IPA調査

ZDNet Japan Staff

2018-03-22 16:23

 情報処理推進機構(IPA)は3月22日、モノのインターネット(IoT)製品およびサービス開発者を対象に実施したセキュリティ対策と意識調査の結果を発表した。開発段階でセキュリティ基準などが「ある」という企業が4割に満たないなど、厳しい実態が判明した。

 調査は2017年11~12月に、IoTの製品やサービスを開発している民間の1500法人を対象にアンケート(コンサルや広告代理店など一部は除外、120社は製品が複数分野にまたがるため1社あたり3部)を行い、205件の有効回答があった。

 まず製品開発段階で全社的なセキュリティ方針や基準が「ある」とした組織は35.6%で、「ない」は30.2%、「検討中」は28.8%だった。組織内に具体的な手順や技術に関する規則などが「ある」との回答は、開発時の企画・設計、製造、検査のいずれのフェーズでも3割に満たない結果だった。製品・サービス別では、コンシューマー向けIoT機器を手掛ける回答組織で「ある」としたところは1つもない(ゼロ件)。


開発段階のセキュリティ方針・基準の有無(出典:IPA)

 また、企画・設計、製造、検査の各フェーズでセキュリティ担当者が関与している割合は、企画・設計フェーズでは53.2%に上ったが、製造と検査フェーズは4割弱にとどまる。


開発段階別のセキュリティ担当部門の関与(出典:IPA)

 一方で、開発時に脆弱性対策を考慮しているとの回答は68.3%に上る。実施している内容では、オープンソースソフトウェア(OSS)など外部ソフト利用時の既知の脆弱性の確認や更新機能の実装が最も高く(ともに57.9%)、以下は製品出荷前のセキュリティテストなどの実施(57.1%)やセキュアプログラミング技術の適用(41.4%)となっている。

 販売段階(サポート中)における脆弱性対応では、全社的な方針が「ある」組織は32.2%で、このうち7割近くが情報システム部や品質管理部門で対応していることが分かった。


サポート期間中の全社の脆弱性対応方針(出典:IPA)

 サポート中の製品やサービスで実際に脆弱性が見つかったケースは26.6%で、ネットワーク機器では62.5%に上る一方、それ以外の製品やサービスはいずれも2割弱から3割強だった。脆弱性が発覚した経緯は、IPAやJPCERT コーディネーションセンターからの連絡が44.4%で最も多い。以下は社内の脆弱性検査(38.9%)、顧客からの指摘(29.6%)、セキュリティ企業からの指摘(18.5%)などで、第三者からの指摘で把握するケースが目立つ。


販売段階の脆弱性発見経路(出典:IPA)

 なお、「脆弱性対策が不可能な場合があるか」との問いに、「ある」は13.7%、「ない」は27.3%、「分からない」は53.7%だった。「ある」とした理由では、機能が必要最低限でパッチ適用が困難との回答が42.9%で最も多く、連続稼動が前提でパッチ適用が困難(25.0%)や対策を検討する人員の不足(21.4%)も目立っている。

 脆弱性を修正するパッチをリリースしてから1年以内のユーザー側の適用状況を把握しているかとの質問では、31.1%が「把握していない」とする一方、22.2%が「把握しているが適用率は答えられない」とするなど、7割近くがユーザー側のパッチ適用率まで把握できると答えた。

 サポート終了後(EOS)に脆弱性が発覚した場合に対応方針は、「ない」が47.8%、「検討中」が25.4%、「分からない」が11.2%で、大半の組織がEOSによる脆弱性対応策を整備していないことが分かった。EOS後に発見された脆弱性の対応策では、回答は14件ながら、42.9%が「対策せず、最新製品・サービスの利用を呼び掛ける」、28.6%が「パッチを作成、配信する」、14.3%が「その他」とした。

 調査結果を受けてIPAは、同日にIoTのセキュリティなどに関するドキュメントとして、「IoT製品・サービス脆弱性対応ガイド」と「つながる世界の品質確保に向けた手引き」「つながる世界の品質確保チェックリスト」の3点を公表している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]