IoTセキュリティを実装するにはどうしたら良いか。特にIoTシステムを提供する企業にとって、様々な場所で非常に長期間にわたって利用されるIoTデバイスは、ライフサイクルを通じたセキュリティを担保しなければならず、その負担は少なくない。そうした状況を打開する1つの取り組みとして、セキュアIoTプラットフォーム(SIOTP)協議会が「IoTセキュリティ手引書 Ver1.0」を2020年11月にまとめた。IoTシステム開発者に向けて、IoTデバイスに求められる実装レベルの仕様をまとめたものだ。
IoTセキュリティ手引書(以下、手引書)は、SIOTP協議会の「仕様検討部会」が策定した。仕様検討部会では、IoTデバイスに求められる真正性の担保や、IoTデバイスの設計から廃棄までの安全なライフサイクルおよびサプライチェーンの管理、さらに安全なファームウエアのアップデートなどを目的として具体的な実装レベルの仕様作りを行ってきており、2020年度の成果として手引書を取りまとめた。
手引書の内容は、IEC(国際電気標準会議)が策定した標準規格であるIEC62443をベースにしている。IEC62443は、制御システムをサイバー攻撃などから守るための汎用的な標準セキュリティ規格で、欧州、米国などの調達基準に適用され始めているもの。仕様書では、このうちIoTセキュリティに深く関連する部分を参照し、具体的にIoTセキュリティを実装する際に必要な情報を日本語で整理した。企画、設計、開発、製造、量産、運用、廃棄というIoTデバイスのライフサイクルの各フェーズで、「課題」と解決策に至る「解釈」を整理するとともに、解釈の中にはIEC62443に該当する記述がある場合にはその情報を示した。
仕様検討部会では、2019年度までに「IoTセキュリティ用語集」をまとめる活動を行ってきた。これは、IoTシステムを開発する際のセキュリティ要件を検討していく中で、ソフトウエア開発者とハードウエア開発者の間で用語に対する食い違いなどがあることがわかったため。今回の手引書にはこの用語集を付録として掲載し、具体的なIoTセキュリティの解釈を実装するときの参考にできるようにした。
手引書はVer1.0としてまとめ、SIOTP協議会のWebサイトから無償でダウンロードできる。IoTシステムのセキュリティ実装を急ぐ企業に、迅速に活用できるようにした。一方で、SIOTP協議会の標準化部会と連携して、実際のハードウエアへの実装を検証するなどの作業をへて、手引書へのフィードバックを続けていくという。IEC62443の文言をチェックシートに落とし込むだけでなく、実際のサービスレベルに沿ったセキュリティ実装についての課題やIEC62443のドキュメントだけでは不足する部分などを洗い出し、仕様書の実効性を高めていく考えだ。
詳細は以下より確認をして欲しい
【報道発表資料】
・報道資料はこちら
【JapanSecuritySummit Update】
・JAPAN Security Summit Updateで詳細を確認
おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)
登録はこちら