ニュース

IPA、「IoT開発におけるセキュリティ設計の手引き」を公開

 独立行政法人情報処理推進機構(IPA)セキュリティセンターは12日、「デジタルテレビ」「スマートハウス」など4分野の具体的なIoTシステムに関する脅威分析と対策検討の実施例を図解した「IoT開発におけるセキュリティ設計の手引き」を公開した。

 事業者や開発者に対して、IoT機器やその使用環境で想定されるセキュリティ上の脅威をまとめたもの。IPAが3月24日に発表した「IoT製品を安全に開発するための17の開発指針」に対し、具体的なセキュリティ設計と実装を実現するための手引きという位置付けで、17の開発指針との対応表も公開している。

 IPAでは、IoTの定義について「サービス提供サーバー・クラウド」「中継機器」「システム」「デバイス」「直接相互通信するデバイス」の5つの構成要素に分類し、IPAのIoTモデルを設定。その上で、各々の構成要素における課題の抽出・整理を行った。

 また、これまでの知見をもとに、「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」の4分野を具体的なIoTシステムの事例として、脅威分析と対策検討の実施例を図解している。

 図解では、脅威が想定される箇所と、認証や暗号化など該当する対策を明確化するとともに、業界のセキュリティガイドで述べられている要件との対応を示している。この図は、網羅的にセキュリティ要件を整理することが困難な組織や、今後IoTビジネスを摸索する組織にとって、安全な製品・サービスへの検討の材料になるとしている。

 さらに、IoTシステムのセキュリティを実現する上で根幹となる暗号技術に関して、実装した暗号技術の安全性を客観的に確認するためのチェックリストを付録として作成。開発者は、これを参照することで暗号技術の利用・運用方針が明確化でき、その安全性を評価することが容易になるとしている。

ヘルスケア機器とクラウドサービスに対する脅威と対策の検討例

(三柳 英樹)