IoTデバイス開発に必須の指南書、「IoTセキュリティ手引書 Ver1.0」がリリース

IoTデバイス数は2021年には309億台に達すると推測されている(総務省 令和2年 情報通信白書より)。
IoTのデバイス数の増加は、私たちの生活を快適、便利にし、企業活動を向上させる半面、セキュリティリスクの増加のリスクも生んでおり、その脅威についてはIoT機器を調達する側の企業も認知し始めている。

つまりは、IoTデバイスを提供するには真正性の担保、設計から破棄に至る安全なプロダクトライフサイクル/サプライチェーンの管理、安全なファームウエアのアップデートなどが必要になるということである。IoT機器を企画、製造するメーカーは、これらを担保しないと調達基準に乗らずに提供が難しくなるのは必須で、特に国際調達基準の内容は十分理解しておく必要がある。
そして、注目されているのが国際調達基準IEC62443(特にIEC62443-4)である。しかし、この基準書は内容を読み解き、理解するのが非常に難しいという厄介なものとなっている。

そこで国際標準や国の指針に定義されているセキュリティ要件を具現化するための実装レベルの仕様作りを目指すことを目的に設立された一般社団法人セキュアIoTプラットフォーム協議会(理事長:辻井 重男、所在地:東京都港区、以下、SIOTP協議会)では、 IoTシステム開発者に向け、IEC62443-4をベースに、IoTデバイスに求められる実装レベルの仕様をまとめた「IoTセキュリティ手引書Ver1.0」を公開した。

“調達基準外で提供が出来ない”とならないために

SIOTP協議会では、技術 / 標準化委員会内に標準化部会、仕様検討部会を立ち上げ国際調達基準IEC62443を精査し、この手引書を策定する作業を2018年より進めていた。IEC62443は、内容に関して読み取りにくい、理解が難しい部分があるだけでなく、何をクリアにすべきかの判断が難しい部分がある。また、内容を精査するにあたり設計や開発のレイヤーにおいてハードウエアとソフトウエアのルーチンが異なる、言葉/用語が別の意味で判断されてしまう――というリスクがあることが分かった。そこで、それらの用語も読み解いて、用語集を作成するという作業も1年近くかけて行っている。
このような活動の結果として発表されたのが「IoTセキュリティ手引書Ver1.0」である。用語集も付録として添付されている。

ただし、「IoTセキュリティ手引書Ver1.0」は、IoTの調達についてすべてが網羅されているわけではない。

冒頭に書いたようにIoT機器はすべてで300億台に上り、種類も非常に多い。さらに、IoTは利用シーンや用途の増加、そして機器の種類の増加は必須であり、IEC62443も項目が増えていき、バージョンアップしていくことは必須であろう。

そう考えると、「IoTセキュリティ手引書Ver1.0」もそれに合わせたバージョンアップが必要である。

また、この「IoTセキュリティ手引書Ver1.0」は現状考えられるすべてのIoT機器が網羅しきれているわけではない。今後は、IoTデバイスを提供する企業、団体にこの手引書を使っていただき、新たに明らかになった課題をフィードバックすることでのバージョンアップを予定している。具体的には標準化部会で「SIOTP協議会セキュリティチェックシート」を作成し課題の抽出や利用者のニーズを把握し、仕様検討部会で手引書のバージョンアップに役立てる。

セキュアIoTプラットフォーム協議会の豊島 大朗氏は、「IoTセキュリティ手引書には完成はない、ある意味ネバーエンディングストーリーと考えて取り組んでいる」としている。

「IoTセキュリティ手引書Ver1.0」はIoTデバイスの開発を行うすべての企業にとっての必携の手引書であるといえるであろう。

是非、下記より詳細を確認して、資料をダウンロードしてほしい。

【セキュアIoTプラットフォーム協議会 報道発表資料】
報道発表資料はこちら

【IoTセキュリティ手引書 Ver1.0】
IoTセキュリティ手引書 Ver1.0のダウンロードこちら