IoTセキュリティの入門編今回まとめられたIoTセキュリティガイドラインは、IoT機器、IoTシステム・サービスの提供者および利用者が、適切なセキュリティ対策を検討する上で基本となる考え方を整理したものだ。
企画・設計・開発の段階から対策を組み込む「セキュリティ・バイ・デザイン」の考え方を基本として、IoT機器・システム・サービスを提供する上で考慮すべきリスクや対策を明確化することで、産業界による積極的な開発などを促し、IoTを安心して利用できる環境を実現することを狙っている。
小山氏は「過去にPCなどで起きてきた様々なインシデントから得たノウハウを抽象化し、IoTに適用できるようにした、特定の業界色のない入門編といえるもの。IoTのセキュリティを考える人が最初に手に取って、何を考えなければいけないかを知るための手立てになるのではないか」と、その性格を説明する。
ガイドラインでは、IoTシステム・サービスなどのライフサイクルを①方針・管理、②分析、③設計、④構築、⑤運用・保守の5つに分けて捉え、それぞれについて「指針」と、その具体策となる「要点」を示している(図表1)。
| 図表1 IoTセキュリティガイドラインの概要 |
 |
例えば、①の「方針管理」の項目では、「IoTの性質を考慮した基本方針を定める」ことが指針として示されている。
IoTには、図表2で示したような特有の性質がある。
| 図表2 IoTの特性 |
 |
セキュリティ面でも、A)攻撃を受けた場合の影響がIoT機器だけでなく、システム・サービス全体へ波及する可能性が高い、B)10年以上といった長期間使われる機器が存在する、C)IoT機器への監視が行き届きにくい、D)機器の機能・性能が限られることが多いなど、特有のリスクが存在する(図表3)。
| 図表3 IoTにおけるリスクファクター |
 |
IoTシステム・サービスの開発に際しては基本方針を策定する段階から、これらの特性を考慮する必要があるという。
