ニュース
「IoTセキュリティに関するG7サイバーセキュリティWG声明」が公表、G7各国政府やIoTベンダーへ提言
2025年6月17日 15:00
G7サイバーセキュリティワーキンググループ(WG)の会合が5月12〜13日に、カナダのオタワにて開催された。サイバー脅威に備えて、IoT製品のセキュリティに対処するための取り組みを推進することなどに合意しており、発表されたIoTセキュリティに関する提言を、内閣サイバーセキュリティセンター(NISC)が公開している。
同WGは、2024年にイタリアのG7主導のもと設立され、G7各国のサイバーセキュリティ機関または各分野の責任者で構成されている。サイバー空間における課題に対処するため、戦略の推進や協力強化、ガイドラインの制定のほか、量子コンピューティングなど、サイバーセキュリティに影響を与える新しい技術や新興技術に対する長期的なレジリエンスの育成を目指している。
今回、G7議長国であるカナダから、IoT製品のサイバーセキュリティへの対応、AI用ソフトウェア部品表(SBOM for AI)に関する文書の準備、ポスト量子暗号へのコミットメントの再確認などを目標に取り組みを進めていくとの議長声明も発表された。
IoT製品を標的とした攻撃の増加、政府やベンダー、エンドユーザーへ提言
WGでは、IoT製品のサイバーセキュリティへの対応について、IoT製品が急速に普及しているのに伴い、これらを標的とした悪意のあるサイバー活動の量が増加していることを指摘。その上で、G7加盟国(政府)およびIoTベンダーとエンドユーザーに対する提言をまとめた。
G7加盟国(政府)への提言
IoT製品ベンダーに対する第三国からの影響の全体的なリスク、例えばIoT製品の製造管轄区域などを考慮に入れる。これには、無制限の政府監視に反対する国際宣言への遵守、または脅威アクターが第三国の管轄区域外で活動しているか、あるいはベンダーがソフトウェアやハードウェアの脆弱性が悪用されたことが判明する前に、当局に報告する義務があるかについても含まれている。
産業界(IoTベンダーおよびエンドユーザー)への提言
IoTベンダー製品のリスク評価について、適用される法的環境や製品の接続メカニズムを含む、すべての関連する要素を考慮に入れる。
具体的には、法の支配、セキュリティ環境、ベンダーによる不正行為、堅牢なサイバーセキュリティ製品とサービスの供給を促進するためのオープンで相互運用可能かつ安全な標準、そして、業界のベストプラクティスの遵守を、考慮に含めるべきである。
政府機関や重要インフラに使われるIoT製品に注意
WGの声明では、「IoTサイバーセキュリティ全体に対処するためには、技術的脅威と非技術的脅威の両方を考慮に入れるべきだ」としている。IoTサイバーセキュリティは攻撃者が特定の政治的、経済的、またはその他の行動的影響を悪用する可能性も考慮に入れるべきとし、特に、中央および地方の政府機関や重要インフラなど、非常に機密性の高い分野で使用されるIoT製品にとって極めて重要であるとしている。