Web教材一覧法規・基準

IoTセキュリティガイドライン
IoTセキュリティ総合対策


IoTセキュリティガイドライン

総務省、経済産業省 「IoTセキュリティガイドライン ver 1.0」2016年
http://www.soumu.go.jp/main_content/000428393.pdf

本ガイドラインの目次

IoTセキュリティガイドラインの概要

工場の生産機械や公共の交通、ライフラインの制御機器、各種センサー、そして家電に至るまで、多様な「モノ」がインターネットに接続されるようになりました。
 IoT(Internet of Things)とは、これらの機器をインターネットを介して制御することですが、それによる攻撃を受ける危険性があります。IoT機器自体が直接攻撃される危険性だけではなく、これを踏み台とした大規模な攻撃事例も発生しました。

この新しいネットワーク上の脅威に関しては、閣議決定「サイバーセキュリティ戦略」(2015年)経済産業省「サイバーセキュリティ経営ガイドライン」(2005年)などでも特記されるようになりました。

「IoTセキュリティガイドライン」は、対象者を、供給側の経営者、機器の生産者、サービス提供者、利用側の企業利用者、一般利用者として、IoTセキュリティの考え方や留意事項、実現方法などを示したものです。

本ガイドラインの目的として「はじめに」では、次のように述べています。
「本ガイドラインは、IoT機器やシステム、サービスの供給者及び利用者を対象として、サイバー攻撃など による新たなリスクが、モノやその利用者の安全や、個人情報・技術情報などの重要情報の保護に影響を与 える可能性があることを認識したうえで、IoT機器やシステム、サービスに対してリスクに応じた適切なサ イバーセキュリティ対策を検討するための考え方を、分野を特定せずまとめたものである。」

IoT特有の性質とセキュリティ対策の必要性

従来の攻撃対象であったパソコンやサーバなどに比べて、IoTはさらなるセキュリティ対策が重要です。本ガイドラインでは、次の6点を掲げています。


IoTセキュリティ対策の5つの指針

主として、IoT機器・サービスの提供側への指針です。本セキュリティでは、下表のように、5指針・21要点にまとめ、各要点で(1)ポイント、(2)解説、(3)対策例を掲げています。解説では攻撃事例も示しています。

セキュリティ対策指針一覧

出典:IoT推進コンソーシアム、総務省、経済産業省 「IoTセキュリティガイドライン ver 1.0」2016年
http://www.soumu.go.jp/main_content/000428393.pdf

一般利用者のためのルール

ここでの「一般利用者」とは、企業などでの利用者と異なり、個人が自分の責任でIoT機器を運用・管理している利用者です。適切な対策をしないと、機器の利用に不都合が生じるだけでなく、インターネット経由で機器が操作され、個人情報が漏洩したり、なりすまして不正利用されたりします。また、他者への攻撃の踏み台にされることがあります。

本ガイダンスでは、セキュリティ対策として留意すべき4つのルールを示しています。


IoTセキュリティ総合対策

総務省「IoTセキュリティ総合対策 」2017年
http://www.soumu.go.jp/main_content/000510701.pdf

NISC(内閣官房内閣サイバーセキュリティセンター)「安全なIoTシステムのためのセキュリティに関する一般的枠組」2016年(https://www.nisc.go.jp/active/kihon/pdf/iot_framework2016.pdf)では、IoTセキュリティ対策では、「すべての IoTシステムに係る設計、構築、運用に求められる事項を一般要求事項として明確化し、その上で、個々の分野の特性を踏まえた分野固有の要求事項を追装する2段階のアプローチが適切であると考えられる。」としています。

総務省は、IoTサイバーセキュリティ対策の強化のために、「IoTサイバーセキュリティ アクションプログラム2017」を策定しました。(1)サイバーセキュリティタスクフォースの開催、(2)IoT機器セキュリティ対策の実施、(3)セキュリティ人材育成のスピードアップ、(4)総務大臣表彰制度の創設、(5)国際連携の推進から成っています。「サイバーセキュリティタスクフォース」は、関係府省・団体・企業等との緊密な連携の下、総務省におけるサイバーセキュリティ施策を加速させ、安心・安全な社会の実現に寄与することを目的として、上記のNISCの一般的取組を踏まえて、2017年に「IoTセキュリティ総合対策 」を公表しました。

本対策について、「概要」では、次のように述べています。
「あらゆるものがインターネット等のネットワークに接続されるIoT/AI時代が到来し、それらに対するサイバーセキュリティの確保は、安心安全な国民生活や、社会経済活動確保の観点から極めて重要な課題です。そこで、総務省では、サイバーセキュリティタスクフォースを開催し、必要な対策について検討を進めてきました。
 今般、サイバーセキュリティタスクフォースにおいて、IoTに関するセキュリティ対策の総合的な推進に向けて取り組むべき課題を整理した「IoTセキュリティ総合対策」が取りまとめられましたので、公表します。」

基本的考え方

総合的な対策として、次の4つの論理階層に区分して考えることが有効だとしています。


総合対策の基本的な考え方
出典:総務省「IoTセキュリティ総合対策 」2017年
http://www.soumu.go.jp/main_content/000510701.pdf

具体的施策

本対策では、「具体的施策」として、次の5対策を示しています。