<特集>IoTの課題解決!10の最強メソッド(8)IoTのセキュリティはどう守ればいいですか?――全体設計を明確に!

IoT機器が乗っ取られる被害が後を絶たない。危機感を持ちながらも、現状を打開する方法が分からない人も多いのではないだろうか。IPAにIoTセキュリティに関するよくある悩みと、その解決策を伺った。

危機感はある。しかし対策法が分からない――。「展示会やセミナー活動では、『セキュリティ対策をしたいけど、どうすればいいか分からない』という悩みをよく聞く」と語るのは、IPAセキュリティセンターセキュリティ対策推進部 博士(工学)の辻宏郷氏だ。

辻氏によれば、この悩みは段階を経ることが多いという。まずは、現場のエンジニアが具体的なセキュリティ設計の方法が分からないという段階。次に現場は理解していても、経営層から理解を得られず、予算を確保できないという段階だ。

前者の悩みに向けては、「IoT開発におけるセキュリティ設計の手引き」と題したガイドラインをIPAは公開している。

セキュアな開発の5ステップセキュアなIoTを設計するには、大きく5つのステップを踏む必要がある。(1)システムやサービス全体像の明確化、(2)守るべき資産の特定、(3)脅威分析、(4)対策手法の洗い出し、(5)実施する対策の選定だ。

IoTに限らないが、システム全体の設計図を把握できていない現場は結構ある。「例えば、マルチベンダーで設計するシステムでは、各社の担当範囲だけしか設計図がないこともある。それぞれが違うポリシーで記述する場合もあり、(各設計図を)繋げても全体を把握できない」と辻氏は指摘する。

そこで最初のステップとなるのが(1)のシステムやサービス全体像の明確化だ。その後に、(2)守るべき資産の特定を行ったら、(3)脅威分析でそれら資産への脅威を想定する。

脅威分析には様々なアプローチがあるが、一例としては、回避すべき被害を設定して、「その被害はどういったシナリオで起こるか」「どういった手順で行われるか」と徐々に詳細化していく方法がある。

ネットワークカメラを例に取ると、まずは映像を盗み見される被害が思いつく。その場合は正規のユーザーに成りすます、正規ユーザーが閲覧しているデータをネットワーク上で盗聴する、などのシナリオが考えられる。成りすます場合は、パスワードのデフォルト値は試すだろうし、盗聴の場合はパケットをキャプチャするなどの手順が想定される。

(4)対策手法の洗い出しで、これらの脅威にどう対抗するかを1つ1つ洗い出しながら検討することになるが、「コストの関係でなかなか全部の対策はできない」(辻氏)。そのため、その脅威を放置した場合に発生する被害と、対策にかかる費用を照らし合わせ、(5)実施する対策の選定という流れになる。

月刊テレコミュニケーション2019年8月号から一部再編集のうえ転載
(記事の内容は雑誌掲載当時のもので、現在では異なる場合があります)

続きのページは、会員の方のみ閲覧していただけます。

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

NEW ARTICLES新着記事

記事一覧

FEATURE特集

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。