「IoT」および「IoTセキュリティ」という言葉が一般に浸透して10年以上が経過した。しかし、ITベンダーや情報システム部門に所属する人で、その10年や現在までの経緯を把握しているという方は、それほど多くはないだろう。なぜなら、IT側から理解できるIoTを見ていては、実は見えないものが多いからだ。
例えば、ルーターなどのネットワーク機器を取り扱うITベンダーは、インターネットに接続することで通信が可能な、センサーや家電製品を一般的に持たないため、そのような機器を製造しているメーカーなどとの情報共有レベルでの連携がないと、これらの全容を把握することは難しい。
そこで筆者は、IoTセキュリティの2023年時点での現在地を確認するために、2023年11月24日に開催された重要生活機器連携セキュリティ協議会(CCDS)主催の「IoTセキュリティシンポジウム2023 in 沖縄~生成AIの行く末とセキュリティ~」に参加した。本稿でその模様をレポートする。
CCDSとは?
CCDSは、2014年10月に設立された組織で、あらゆるモノがつながる未来を見据え、市販の製品の中でも特に重要な生活機器のセキュリティ技術に関する調査と研究を推進するために活動している。
この組織の最大の特徴は、この名の通り、生活機器という人々にとって身近な機器へフォーカスしている点だ。しかし、「セキュリティガイドラインの策定」および「標準化」への取り組みを設立から10年間真剣に続けている。この事実こそが、CCDSの本質かもしれない。設立後の研究やガイドラインは、以下に記したように種類が多く、頻繁に更新されており、質の高さと鮮度が確保されている情報だと思われる。
<CCDSが実施・公開した研究・ガイドライン>
- 2015~2018年、沖縄県の補助を受けた「生活機器セキュリティ基盤形成促進事業」
- 2018年「製品分野別セキュリティガイドライン」スマートホーム作成(追加)
- 2018年「IoT分野共通セキュリティ要件ガイドライン(素案)」を公開
- 2019年「IoT機器向け サーティフィケーションプログラム」キックオフイベント開催
- 2020年「IoT分野共通セキュリティ要件ガイドライン2021年版」を公開
- 2020年「IoT機器のソフトウェアアップデート機能に関するガイドライン」を公開
- 2021年「CCDS、セキュリティガイドライン英語版」を公開
- 2021年「IoT機器セキュリティ要件ガイドライン2021年版(の更新文書)」を公開
- 2022年「IoT機器セキュリティ要件ガイドライン2023年版」
- 2022年「適合基準ガイドライン」を公開
- 2022年「IoT 機器セキュリティ要件ガイドライン(2023)」の公開
- 2022年「適合基準ガイドライン(2023)の英語版」を公開
このように、CCDSは毎年数多くのセキュリティ要件や適応基準のガイドラインの新規作成・更新を繰り返してきており、IoT機器のセキュリティを担保するために必要な事項を定義し、更新を続けてきている。