経済産業省は、「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」を2023年6月に公開しています。このガイドは、主にIoT機器などを開発する中小企業に向けて、製品をサイバー攻撃から守るセキュリティ対策について示したものです。ここでは、ガイド全体を大まかに把握していただくために、ガイドの概要をご紹介します。

ガイド策定の背景と目的

近年、IoT機器導入の広がりはめざましく、職場から家庭に至るまで驚くべきスピードで活用が進んでいます。ユーザーの急激な増加とともに懸念されているのが、IoT機器に潜む脅威についての認識が乏しいことで、IoT機器を開発する企業においても、セキュリティ対策が不十分なケースがあるとして問題になっています。

こうした状況下でIoT機器へのサイバー攻撃の脅威が増し、対策の一環として経済産業省が策定したのが「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」です。これまでにも複数のガイドラインや規格が示されてきましたが、「何から始めればよいかわからない」という声も聞かれていました。同ガイドは、こうしたニーズに応える形で、「IoT機器のセキュリティ対策を行おうとする企業が第一歩として取り組むべき対策」を主眼にまとめられました。

中小企業では、予算や人員などのリソースに限りがある場合が多く、経営課題の中でもセキュリティ対策の優先順位が低くなりがちです。そのため同ガイドでは、経営者の理解が必須であると考え、想定読者のトップに中小企業の経営者を置き、そのほかセキュリティ担当者・開発担当者・品質管理者を対象として策定されています。

ガイドの概要

それぞれの項目について、主要なポイントをガイドから抜粋してご紹介します。

各フェーズで求められる対策

ガイドでは、機器開発のライフサイクルを①方針・体制構築、②設計・開発、③検証、④運用・保守の４つのフェーズに大別し、セキュリティ対策として最初に検討すべきことを示しています。

①方針・体制構築

【対策1】 製品に関するセキュリティポリシーを策定・周知する

• 経営者が率先して、製品に関するセキュリティポリシーを策定し、広報や教育によって社内に浸透させましょう。
• 実施状況や社会的な要求事項の変化を踏まえ、ポリシーの見直しを行いましょう。

【対策2】 セキュリティポリシーを適切に運用するための体制を整備する

• セキュリティポリシーを適切に運用するために必要な関係者や組織の洗い出しを行い、それぞれの役割や責任を明確化しましょう。

②設計・開発

【対策3】IoT機器等において守るべきものを特定し、それに対するリスクを想定する

• 想定されるユーザ及びユースケースを定めましょう。
• ユーザのセキュリティニーズについて検討し、守るべきものを特定しましょう。
• 守るべきものに対する多様なリスクを想定しましょう。

【対策4】 守るべきもの及びリスクを考慮した設計・開発を行う

• 対策3で想定したリスクをもとに、設計・開発の段階からリスクへの対策をIoT機器等に施しましょう。
• 自社での実施が難しい場合は、機器検証サービス事業者等の専門家に設計・開発段階におけるセキュリティ対策の考慮事項について助言を受けることも有効です。

③検証

【対策5】 セキュリティに関する要件が満たされているかを検証する

• 設計・開発段階から検証計画を立て、セキュリティに関する要件が満たされているか検証し、その結果を踏まえて改善を行いましょう。

④運用・保守

【対策6】 出荷後もリスクに関する情報の収集や関係者とのコミュニケーションを行い、適切なサポートを行う

• 世の中で発生している事故やインシデント、脆弱性情報を収集しましょう。自社製品または構成要素に脆弱性が存在する場合、脆弱性によって生じる被害の発生可能性や影響を検討し、リスクに応じた対応を検討します。自社製品に関する問題が見つかった場合は、適切に情報提供を行うほか、セキュリティパッチによる対応を行いましょう。
• 製品を選ぶ際に参考となる情報の提供や正しい利用の促進のため、セキュリティに関する機能や利用する際の注意点（サポート期間や廃棄に関する点を含む）について、パッケージや取扱説明書、製品情報を掲載しているWebサイト等にわかりやすく記載しましょう。
• 外注先やユーザと適切なコミュニケーションを実施するための窓口や、JPCERT/CCと脆弱性やインシデントに関する情報のやり取りを行うための窓口を設置しましょう。

各対策の冒頭には「対策を実施しない場合に考えられるリスク」が掲げられており、リスクについて具体的にイメージできると同時に、対策の重要性が伝わる構成となっています。さらに理解を深める助けとして、関連する参考資料やコラムも数多く掲載されています。

設計・開発フェーズで検討すべき主な技術的対策

設計・開発の段階における対策については、さらに詳しくIoT機器で提供する機能毎に技術的対策が示されています。現在のIoT機器は、位置・温度・動作などの取得やデータ化、他の機器の制御など、機能が多岐にわたるためです。前項と同様に最初に検討するべき対策ばかりなので、対策を適切に選定して実装に取り組みましょう。

① 通信機能を提供するIoT機器等

A) 認証・認可機能の提供

• IoT機器等のユーザの認証・認可機能を提供する。
• IoT機器等の通信先認証の機能を提供する。

B) アップデート機能の提供

• 出荷後に新たな脆弱性が検出されることを想定し、ソフトウェアやファームウェアをアップデートできるようにする。

C) ログの保存機能の提供

• IoT機器等の重要な操作や通信のログを保存する。

②データの送信・保存機能を有するIoT機器等

A) データの暗号化・保護機能の提供

• ユーザの個人データや設定データ及びプライバシに関するデータを暗号化して保存・送信できるようにする。

B) データの削除機能の提供

• ユーザがIoT機器等の利用を終了し、廃棄、返却等する際に、個人データ、設定データ及びプライバシに関するデータを削除できるようにする。

③高い可用性が求められるIoT機器等

A) システムの復旧の提供

• 高い可用性が求められる機能については、機能停止時の復旧方法を提供する。

B) 異常検知機能の提供

• IoT機器等の動作異常を検知できる機能を提供する。

IoT機器を開発する中小企業の対策事例集

実際の対策事例として、中小企業５社を取り上げています。企業や製品の基本情報に続いて、対策のポイント、対策内容、対策に力を入れたことによるメリットが簡潔にまとめられているので、それぞれの企業に応じた対策とはどのようなものかを概観することができます。

まとめ

同ガイドは、中小企業によるIoT機器セキュリティ対策の第一歩を後押しするという趣旨に見合う内容で、立場に関わらず理解しやすく参考にしやすいガイドとなっています。IoT機器を開発する企業として責任あるセキュリティ対策を行うために、その第一歩をサポートしてくれるガイドを上手に活用していきましょう。

〈参考〉
「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」（経済産業省）
「製品セキュリティ対策ガイド【概要版】」（経済産業省）

こちらの記事も是非ご覧ください。

• 安全なIoTに向けて、まず知っておくべき「IoTセキュリティガイドライン」
• IoTにはセキュリティ対策が不可欠！ 起こりうるリスクと対策を解説
• 〈IoT開発のためのセキュリティ知識〉【前編】IoTに潜む脅威を知ろう
• 〈IoT開発のためのセキュリティ知識〉【後編】セキュリティ脅威への対策を知ろう