「IoT機器のセキュリティ」実現に向けた各社のアプローチとはセキュリティ・アディッショナルタイム(7)(4/4 ページ)

» 2016年06月01日 05時00分 公開
[高橋睦美@IT]
前のページへ 1|2|3|4       

IoT開発者向けに想定される脅威と対策をまとめた「手引き」を公開、IPA

 このように、IoTがはらむリスクを解消するための技術やツールが登場してきているが、具体的に何から手をつければいいのか、戸惑う開発者も少なくないだろう。

 こうした課題に対して情報処理推進機構(IPA)は、5月12日に「IoT開発におけるセキュリティ設計の手引き」と題するドキュメントを公開し、会場ブースでも紹介した。「セキュリティ対策が必要なのは分かるが、何をしたらいいか分からない」というIoT機器の開発者を対象に、想定される脅威と対策をまとめたものだ。

「IoT開発におけるセキュリティ設計の手引き」作成の狙いを説明したIPA技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 研究員の辻宏郷氏

 IPA技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー 研究員の辻宏郷氏は「IoTとITには共通するところも多いが、今までつながることを意識していなかった機器がつながることによって、さまざまな問題が生じる恐れがある」と指摘。さらに、ITに比べ長いサポート期間やマルチベンダー構成、これまでとは桁違いのスケール感といった、IoTならではの要因も視野に入れてリスクを踏まえておく必要があるとした。

 IoTは、人や企業によってさまざまに定義されている。IPAでは混乱を避けるため、「サービス提供サーバ・クラウド」「中継機器」「システム」「デバイス」「直接相互通信するデバイス」という5つの構成要素に分類し、それぞれの課題を抽出した。また、より具体的に検討を進めるため、さまざまな分野が含まれるIoTの中でも「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」という4つの分野を想定し、脅威分析と対策検討の実施例を紹介している。さらに、「OTA IoT Trust Framework」や「OWASP Internet of Things Top 10」といった業界のセキュリティガイドとの対応も示した。

 もう1つ、見逃されがちだが、実はIoTセキュリティの根幹を支える役割を担っているのが「暗号」だ。過去には海外で「全てのスマート機器で同じ鍵が使われていた」といった残念な問題も発生している。こうした事態を繰り返さずに、適切に暗号を実装できるよう「IoTにおける暗号技術利用チェックリスト」も用意し、これらを参照することで、安全な機器開発が実現できるよう支援していく。

 辻氏はまた「特にポイントになるのが脆弱性対策」とも述べた。開発段階で脆弱性を作り込まないことはもちろん、製品出荷後、攻撃者に新しい脆弱性を見つけられた場合にどのように対処し、ユーザーに収集するかといった運用段階での対応も検討する必要があるという。

 IPAは、安全なIoT製品の開発に向けた方針を示した「つながる世界の開発指針」とともに、具体的な設計・実装を実現するための手引書として活用してほしいとしている。

前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。