総務省と経済産業省による「IoT セキュリティガイドライン」

総務省と経済産業省は、IoTの安全性を確保するための「IoT セキュリティガイドライン（案）」を公表し、パブリックコメント（意見募集）も同時に行っている。

このガイドラインは、企業や有識者、総務省や経済産業省からなる「IoT推進コンソーシアム」のセキュリティーワーキンググループがまとめたもので、4章からなる62ページのPDF。

2020年にはIoT機器が530億個に増大すると予測され、サイバー攻撃の脅威増大が懸念されているなか、政府が指針を表明した。

一般利用者に向けても注意喚起する「IoTセキュリティガイドライン（案）」

「IoTセキュリティガイドライン（案）」は、背景と目的、IoTセキュリティ対策の5つの指針、一般利用者のためのルール、今後の検討事項で構成されている。1章では、IoT特有の性質を踏まえたセキュリティ対策の必要性が、続く2章では、方針、分析、設計、構築・接続、運用・保守の5つについて指針が示されている。

3章は一般利用者向けとなっている。IoT端末の問い合わせ窓口やサポートがない機器やサービスの購入・利用を控える、初期設定に気を付ける、使用しなくなった機器については電源を切る、機器を手放す時はデータを消す――という4つのルールが定められている。

IoTでは、自動車や家電製品、医療機器、工場の制御システムなど異なる分野のシステムがインターネットに接続してデータをやりとりする。ガイドライン（案）では、企業側の情報セキュリティ対策として、リスクの大きさに応じて関係者が取り組むべき内容や情報共有を促すだけでなく、一般利用者が日常生活で注意すべき点も盛り込んでいる点が特徴的だ。

IoT開発者にとって想定外のセキュリティ課題についても言及。

また「IoTセキュリティガイドライン（案）」では、IoT特有の性質として、IoT機器に対する監視が行き届きにくく、開発者が想定していなかった接続が行われて、機器メーカーやサービスの開発者らが当初想定していなかった影響が発生する可能性などを挙げている。

そのためIoTのリスクとして、あらゆる機器がつながってインターネットから直接アクセスできる状態を想定する必要を説いている。例えば、過去にHDDレコーダーが外部からの不正侵入の踏み台にされたり、プリンター複合機に蓄積されたデータがネットに公開される状態となったりした事例を踏まえ、出荷時の初期パスワードを同一にしないようにするほか、ユーザーによるパスワード変更を必須にするといった対策を求めている。

企業に対しては、IoT機器の出荷時の初期パスワードを変更することを消費者へ注意喚起し、初期パスワードの変更が行われなければ機能を制限するなどの対策を取ることも有効だとしている。さらにIoT機器やシステムの状態や動作をログとして記録する機能を設けることなども求めている。

http://internet.watch.impress.co.jp/docs/news/1002675.html