「IoT開発におけるセキュリティ設計の手引き」を公開
～4分野のIoTの脅威分析と対策検討の実施例を図解～

2016年5月26日

省庁・団体名

独立行政法人情報処理推進機構（IPA）

概要

IPA（独立行政法人情報処理推進機構、理事長：富田達夫）セキュリティセンターは、今後のIoTの普及に備えて、IoT機器および、その使用環境で想定されるセキュリティ上の脅威に対し、事業者（開発者）の備えが急務であると考え、「IoT開発におけるセキュリティ設計の手引き」を作成し、本日公開しました。
URL：https://www.ipa.go.jp/security/iot/iotguide.html

内容

昨今、IoT(*1)が多くの注目を集めています。現在ではIoTと分類されるようになった、組込み機器の情報セキュリティについて、IPAは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、ネットワークで機器やサービスが繋がることで生じうる様々な脅威、それらが原因のリスクや被害を予め踏まえておく必要性があります。

そこで、IPAではIoTの定義について「サービス提供サーバ・クラウド」「中継機器」「システム」「デバイス」「直接相互通信するデバイス」と5つの構成要素に分類し、IPAのIoTモデルを設定しました。その上で、各々の構成要素における課題の抽出・整理を行いました。

また、今まで蓄積してきた知見を基に、「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」の4分野を具体的なIoTシステムの事例として、脅威分析と対策検討の実施例を図解しています。この図解では、脅威が想定される箇所と、認証や暗号化など該当する対策を明確化するとともに、業界のセキュリティガイドで述べられている要件との対応を示しています。この図は、網羅的にセキュリティ要件を整理することが困難な組織や、今後IoTビジネスを摸索する組織にとって、安全な製品・サービスへの検討の材料になると考えられます。

さらに、IoTシステムのセキュリティを実現する上で根幹となる暗号技術に関して、実装した暗号技術の安全性を客観的に確認するためのチェックリストを付録として作成しました。開発者はこれを参照して暗号技術の利用・運用方針を明確化し、その安全性を評価することが容易になります。

なお、本書は去る3月24日に発表したIoT製品を安全に開発するための17の開発指針(*2)に対し、具体的なセキュリティ設計と実装を実現するための手引きの位置づけです。手引きの公開に合わせ、17の開発指針との対応表も公開します。
開発指針と本手引きを利用することで、IoT製品・サービスのセキュアな実装と運用の一助になると考えられ、今後の安全なIoTの普及に期待しています。