CLOSE UP コラム | 総務省と経済産業省による「IoT セキュリティガイドライン」

総務省と経済産業省による「IoT セキュリティガイドライン」

CLOSE UP 事例

2016年07月25日
オープンソース活用研究所 所長 寺田雄一

総務省と経済産業省は、IoTの安全性を確保するための「IoT セキュリティガイドライン(案)」を公表し、パブリックコメント(意見募集)も同時に行っている。

このガイドラインは、企業や有識者、総務省や経済産業省からなる「IoT推進コンソーシアム」のセキュリティーワーキンググループがまとめたもので、4章からなる62ページのPDF。

2020年にはIoT機器が530億個に増大すると予測され、サイバー攻撃の脅威増大が懸念されているなか、政府が指針を表明した。

一般利用者に向けても注意喚起する「IoTセキュリティガイドライン(案)」

「IoTセキュリティガイドライン(案)」は、背景と目的、IoTセキュリティ対策の5つの指針、一般利用者のためのルール、今後の検討事項で構成されている。1章では、IoT特有の性質を踏まえたセキュリティ対策の必要性が、続く2章では、方針、分析、設計、構築・接続、運用・保守の5つについて指針が示されている。

3章は一般利用者向けとなっている。IoT端末の問い合わせ窓口やサポートがない機器やサービスの購入・利用を控える、初期設定に気を付ける、使用しなくなった機器については電源を切る、機器を手放す時はデータを消す――という4つのルールが定められている。

IoTでは、自動車や家電製品、医療機器、工場の制御システムなど異なる分野のシステムがインターネットに接続してデータをやりとりする。ガイドライン(案)では、企業側の情報セキュリティ対策として、リスクの大きさに応じて関係者が取り組むべき内容や情報共有を促すだけでなく、一般利用者が日常生活で注意すべき点も盛り込んでいる点が特徴的だ。

IoT開発者にとって想定外のセキュリティ課題についても言及。

また「IoTセキュリティガイドライン(案)」では、IoT特有の性質として、IoT機器に対する監視が行き届きにくく、開発者が想定していなかった接続が行われて、機器メーカーやサービスの開発者らが当初想定していなかった影響が発生する可能性などを挙げている。

そのためIoTのリスクとして、あらゆる機器がつながってインターネットから直接アクセスできる状態を想定する必要を説いている。例えば、過去にHDDレコーダーが外部からの不正侵入の踏み台にされたり、プリンター複合機に蓄積されたデータがネットに公開される状態となったりした事例を踏まえ、出荷時の初期パスワードを同一にしないようにするほか、ユーザーによるパスワード変更を必須にするといった対策を求めている。

企業に対しては、IoT機器の出荷時の初期パスワードを変更することを消費者へ注意喚起し、初期パスワードの変更が行われなければ機能を制限するなどの対策を取ることも有効だとしている。さらにIoT機器やシステムの状態や動作をログとして記録する機能を設けることなども求めている。

http://internet.watch.impress.co.jp/docs/news/1002675.html


著者プロフィール

オープンソース活用研究所 所長 寺田雄一

1993年、株式会社野村総合研究所(NRI)入社。 インフラ系エンジニア、ITアーキテクトとして、証券会社基幹系システム、証券オンライントレードシステム、損保代理店システム、大手流通業基幹系システムなど、大規模システムのアーキテクチャ設計、基盤構築に従事。 2003年、NRI社内に、オープンソースの専門組織の設立を企画、10月に日本初となるオープンソース・ソリューションセンター設立。 2006年、社内ベンチャー制度にて、オープンソース・ワンストップサービス 「OpenStandia(オープンスタンディア)」事業を開始。オープンソースを活用した、企業情報ポータル、情報分析、シングルサインオン、統合ID管理、ドキュメント管理、統合業務システム(ERP)などの事業を次々と展開。 オープンソースビジネス推進協議会(OBCI),OpenAMコンソーシアムなどの業界団体も設立。同会の理事、会長や、NPO法人日本ADempiereの理事などを歴任。 2013年、NRIを退社し、株式会社オープンソース活用研究所を設立。

最新TOPICS

【講演資料を公開】7/28【サービス事業者向け】中小企業が狙われた、サプライチェーン攻撃の手口を解説 ~サイバー攻撃の被害に遭う中小企業の3つの共通点と、その対策~(2022年08月27日 09:15)

2022-07-28(木)15:00 - 16:00 「【サービス事業者向け】中小企業が狙われた、サプライチェーン攻撃の手口を解説 ~サイバー攻撃の被害に遭う中小企業の3つの共通点と、その対策~」 と題したウェビナーが開催されました。 皆様のご参加、誠にありがとうございました。 当日の資料は以下から無料でご覧いただけます。 ご興味のある企業さま、ぜひご覧ください。

関連タグ

アソシエーション分析(Association Analytics)

  • 用語集

データ間の相関関係を発見する場合に用いられる、データマイニングの手法のひとつ。

R(アール)

  • 用語集

「R」を用いることで、クロス集計や回帰分析、クラスター分析、シミュレーションなどの基本的な統計分析が可能となる。またオープンソースとしてだけでなく、パッケージを導入することで最新の分析手法を実行することもできる。

iPaaS(アイパース)

「iPaaS(integration Platform as a Service)」とは「サービスとしての統合プラットフォーム」を意味し、ソリューションとして提供される。さまざまなハードウェアやミドルウェアについての煩雑な管理を大幅に軽減でき、クラウドとオンプレミスのサービスを簡単に統合して展開することが可能となる。

シンギュラリティ(Technological Singularity)

  • 用語集

シンギュラリティ(Technological Singularity:技術的特異点)とは、未来研究において、過去の歴史から今後の人類の技術開発の推測して得られる未来の正確かつ信頼できる限界点を指す。

通信()

  • タグ

バックナンバー

関連記事

無料資料プレゼント

2021/03/04 セキュリティDAYS Keyspider資料

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該資料の作成・提供企業とも共有させていただき、当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

本資料を見るには次の画面でアンケートに回答していただく必要があります。



セミナー講演資料公開中

OSSライセンス・コンプライアンスと脆弱性管理の課題 OSSリスクを効率的にマネジメント。OSSライセンス&セキュリティ管理ツール「FossID」の使い方

店舗・会議室・イベント会場の大型マルチモニタ/デジタルサイネージを、手軽に低コスト・低遅延で運用する方法 AV over IPによる映像配信&ビデオウォール活用方法解説

ネットワークエンジニアの減少で負担が増える、企業のネットワーク運用管理 〜監視と管理の統合により、さらなる運用効率化を実現〜

  • 書籍

facebook

twitter