1. HOME
  2. ブログ
  3. 【ユビキタスAIコーポレーション】IoT機器のセキュリティ対策は「コスト」ではなく「マスト」へ、開発時点でライフサイクル全体のセキュリティを準備せよ

【ユビキタスAIコーポレーション】IoT機器のセキュリティ対策は「コスト」ではなく「マスト」へ、開発時点でライフサイクル全体のセキュリティを準備せよ

IoTのセキュリティは、IoT機器の開発から廃棄までのライフサイクルを通してセキュリティ対策が不可欠です。機器の運用期間中も、絶えず新たに発生するセキュリティリスクへの対応や、法規制などへの対応が必要になることが想定されます。

ITやエンタープライズの世界では、予算を準備し、コストをかけてセキュリティ対策を実現することが多いでしょう。一方で、IoTの担い手である組み込み機器の開発になると、マイコンの単価が上がるなどコストがかかることへの声の大きさがセキュリティ対策を躊躇させてしまうようです。ユビキタスAIコーポレーションでは、IoT機器の情報のもとにAIが様々な意思決定をするデジタル社会では、IoTのセキュリティ対策は「コスト(Cost)ではなくマスト(Must)」だと指摘し、セミナーで対応の考え方を提案しました。

【ユビキタスAIコーポレーション】IoT機器のライフサイクルマネジメント ~セキュアなIoTサービスを実現するために、 IoT機器開発で考慮すべきこと――ジャパンセキュリティサミット2020ー

ユビキタスAIコーポレーションは、IoT機器開発の現場ではセキュリティ対策を開発プロセスの観点から取り組まなければならないと説明します。例えば元々ネットワークにつながらないつもりで作った製品がネットワークにつながったらどうなるのか、通常と違ってライフサイクルが長くなったり、影響範囲が広くなったりしたらどうなるのかなど、きちんと検討しておくべきことは多くあります。特に通信の部分では、IoT機器そのものへの脅威の存在を考えるべきでしょう。

IoT機器開発プロセスのポイントは以下のようになります。

また、同社では機器の保守についても企画段階から考えて行うのが肝要だといいます。常にベストプラクティスは変わるので、絶えず確認が必要でありその時点での最良なものを使わなければならないというPDCAが必要になります。さらにIoT機器のサプライチェーンを考えると、開発から製造、設置、運用、廃棄までのセキュリティ対策を開発段階から考慮しなければなりません。

セミナーでは、IoT機器に応じた証明書を活用した安全なサービス運用、IoT機器とクラウドの進化を見据えたシステム構成、暗号境界、信頼境界を考慮した開発プロセスの実践などについて説明しました。その中でも「暗号境界と信頼境界」は重要な概念です。物理的な資産を守ることを例に考えると、しっかりした金庫を用意することが「信頼境界」、その金庫に資産を入れてきちんと鍵を締めることが「暗号境界」になります。この部分は重要性が高いとして、セミナーではいくつかの事例を紹介しながら解説を行いました。

また、同社では、ファジングからペネトレーションまでの動的なテスト、脆弱性検証ができるサービスをコンサルティングするほか、デバイスライフマネジメントを実現するソリューションなども提供しています。開発者の皆さんには是非利用を検討してほしいとアピールしました。

関連記事