ニュース

IoT製品の開発段階で「全社統一のセキュリティ方針・基準がある」企業は35.6%にとどまる、IPA調査

 独立行政法人情報処理推進機構(IPA)は22日、IoT製品・サービスの開発者に対するセキュリティ対策と意識の現状に関する調査結果を公表した。IoT製品・サービスの開発段階全体でセキュリティ方針・基準があると回答した割合は35.6%にとどまっており、未整備な製品・サービスが多いとしている。

 IPAでは、IoT製品の普及に伴い、組み込まれたソフトウェアの脆弱性に起因する脅威が現実のものとなっており、IPAに届けられたIoT製品の脆弱性の件数も、2015年の64件から2017年には276件に増加していると説明。こうした状況を受け、IoT製品・サービスの開発者に対してセキュリティ対策と意識の現状を調査し、その結果を報告書として公開した。

 アンケート調査は、IoT推進コンソーシアムの法人会員に対して実施したもので、有効回答数は205件。調査期間は2017年11月~12月。

 IoT製品・サービスの開発段階(企画・設計・製造・検査)それぞれのフェーズにおいて、セキュリティ開発に関する社内方針・基準などはあるかという質問に対しては、全体統一の社内方針があると回答した割合は35.6%にとどまった。また、各開発段階における具体的な手順・技術詳細の社内規則・基準があるという割合も3割未満にとどまっており、開発時のセキュリティ基準については未整備な製品・サービスが多いのが現状だとしている。

開発段階のセキュリティ方針・基準の有無(出典:IPA)

 開発段階において脆弱性対策を「考慮している」という回答の割合は68.3%だが、実施している対策として「ソフトウェア(ファームウェア)の更新機能を実装する」は57.9%で、「セキュアプログラミング技術を適用する」(41.4%)、「コーディング規約を利用する」(36.4%)といった回答の割合は低い。

開発段階の脆弱性対策の考慮(出典:IPA)
開発段階の脆弱性対策状況(出典:IPA)

 IoT製品の販売段階(サポート期間中)における脆弱性対応についても、社内方針があるという回答は32.2%にとどまった。一方、製品のサポート期間中に脆弱性が発見されたことがあるという回答は26.3%となった。

サポート期間中の全社の脆弱性対応方針(出典:IPA)
販売段階の脆弱性発見経験(出典:IPA)

 販売段階において脆弱性が発見されたことのある製品・サービスに関して、脆弱性発見後、顧客に提供する脆弱性対策としては、「パッチの作成、リリース」が83.3%で最も多い。一方で、製品出荷後に脆弱性対策が困難な場合があると回答した割合は13.7%あり、その理由としては「IoT製品・サービスの機能が最低限であり、パッチ適応が困難なため」が42.9%で最も多かった。

顧客に提供する脆弱性対策(出典:IPA)
脆弱性対策が不可能な場合(出典:IPA)
脆弱性対策が不可能な理由(出典:IPA)

 パッチの作成、リリースを行った企業に対して、リリース後1年以内のパッチ適用率を尋ねた質問では、「パッチ適用率は把握していない」が31.1%で最も多く、「76%~100%」(24.4%)と「パッチ適用率は把握しているが、回答できない」(22.2%)がほぼ同数で続いた。また、サポート終了後に脆弱性が発見された場合の対応としては、「最新の製品・サービスの利用を呼びかける」が42.9%で最も多かった。

パッチのリリース後1年以内のパッチ適用率(出典:IPA)
サポート終了後の脆弱性発見時の主な対応(出典:IPA)

 IPAでは、この調査から明らかになった課題を解決するため、「IoT製品・サービス脆弱性対応ガイド」も合わせて公開した。ガイドは、経営者・管理者向けに、企業が実施すべきIoT製品・サービスの脆弱性対策のポイントをまとめたもので、ガイドが製品の開発などに役立てられることで、安全安心な製品が供給され、製品の利用期間中も安全性が維持されることを期待するとしている。