いまだからこそ求められる「IoTセキュリティ手引書 Ver2.0」 ~バージョンアップの背景と活用法~
昨今、企業や自治体などの基幹インフラを狙ったサイバー攻撃の増加を背景に、経済安全保障の考え方が拡がってきた。従来まで国家安全保障で求められていた対策が、民間の産業分野にも必要になってきたのだ。先ごろ公開された「IoTセキュリティ手引書 Ver2.0」(https://forms.office.com/r/ZLQRyvA9Bm)も、この動きに呼応する形でリリースされたものだ。一般社団法人セキュアIoTプラットフォーム協議会(以下、SIOTP協議会) 仕様検討部会 座長 豊島 大朗氏(サイバートラスト)に話をうかがった。
なぜ、IoTセキュリティ手引書がアップデートされたのか?
—-まず、今回この手引書が、このタイミングでVer2.0にアップデートされた背景について教えてください。
豊島氏:実は、本国会で「経済安全保障推進法案」が審議されることになっています。これはIoTセキュリティでも非常に重要な流れになるものです。従来までのセキュリティは、米中新冷戦における国防の観点から国家安全保障として議論されてきました。
しかし、ここにきて米最大のパイプラインが停止したり、世界最大の食肉サプライチェーンが攻撃を受けたり、民間の基幹インフラを狙ったサイバー攻撃が多発し、国民の生活や経済活動にも大きな影響が発生してきました。そのため基幹インフラ施設や設備においてもセキュリティ強化がグローバルな動きとして注目を集めています。
セキュアIoTプラットフォーム協議会(SIOTP協議会)では、国家安全保障の観点において、安全性が担保されていない、身元がはっきりしない電子デバイスを「作らせない」「持ち込ませない」「つながせない」という基本的な考え方を提唱してきましたが、経済安全保障においても同様に重要な観点になると思われます。
この考え方を前提に、本手引書では、安全なライフサイクル管理を実現する為に、「デバイスの認証と識別」、「デバイスの真正性担保:鍵管理(耐タンパ)」、「セキュアアップデート:OTA(Over The Air)」を実現する仕組みをまとめています。国際標準化の動きとも連動しており、日本の経済安全保障もサポートする建付けになっているのです。
IoTセキュリティ手引書 Ver1.0とVer2.0の違いとは?
—-では、手引書 Ver1.0とVer2.0の違いとは何でしょうか?
豊島氏:手引書のVer1.0では、産業機器の汎用制御システムの国際標準である「ISO/IEC62443」をベースに、様々な経験と知見を持つSIOTP協議会仕様検討部会に参加する各企業からセキュリティ対策をヒアリングし、ベンダーとしてどうセキュリティ対策をすべきなのか、網羅的に整理してきました。
さらにVer2.0では、調達基準としても採用される米国セキュリティ規格である「NIST SP800-171」を読み説き、あらたにその内容を反映させ、ガイドラインとして分かりやすくリバイスしたのです。この規格は世界の調達基準に採用され、グローバルサプライチェーンの動きの中で、日本に影響を与える重要なものです。
—-手引書のVer2.0は具体的にどのようにして策定されたのでしょうか?
豊島氏:ISO/IEC62443は有償コンテンツなので、そのまま文言を引用することができません。一方でNIST SP800-171は、基準となるレイヤーもISO/IEC62443とほとんど変わらず、IPAから邦訳も公開されており、引用も可能なため、情報として外部に出せるのです。そこで、より具体的にNIST SP800-171の基準に照らし合わせた形で、どのようにセキュリティ対策を施せばよいのかを、ベンダーごとに明確にしています。
設計から製造、量産、破棄までの製品ライフサイクルをレイヤーごとに再配置
—-なるほど。やはりISO/IEC62443もNIST SP800-171も、そのまま読むと難しいですよね。だから分かりやすい手引書を策定したということですね。
豊島氏:そうです。SIOTP協議会には、IoTデバイスのハードウェアやソフトウェア開発であったり、クラウドサービスであったり、レイヤーごとに多くのベンダーが会員になっています。そこで各ベンダーが理解できるように、モノづくりのプロセスに着目し、手引書としてセキュリティ対策を再配置しています。これが一番の大きなポイントですね。
モノを作るベンダーにとっては、いきなりセキュリティ基準から入られても一体何をしてよいのか分かりません。デバイス設計と部品調達は異なるので、それぞれのレイヤーのなかで、どんなセキュリティ基準をみて何をすべきかを判断する必要があるのです。
製品ライフサイクルにおける、製品企画、ハードウェアおよびソフトウェアの設計・開発、製造、部品調達、量産化というフェーズ(レイヤー)のなかで、たとえば量産段階で安い部品に変更したとき、もしスパイウェアが入っているような部品を採用してしまうと、すべてのセキュリティ対策が崩れてしまいます。ですから各プロセスでの対策をしっかりする必要があります。
さらにIoT機器の場合は、製品単体で完結せず、ネットワークにつながってクラウドでも利用されます。逆にクラウド側の対策が不十分であれば、いくら製品だけセキュリティ対策を万全にしても意味のないものになってしまいます。さらに製品を廃棄する場合も、内部情報を消去して捨てなければならないし、リサイクルするにしても初期化することが求められます。今回の手引書では、このように各レイヤーでやるべき対策を再配置して、明確にしているわけです。
IoTセキュリティ手引書をベースにした認証プログラムもスタートする予定
—-今後、この手引書を展開していくうえで何かやるべきことはありますか?
豊島氏:ええ、もちろん今回で終わりということではありません。まだ経済安全保障を踏まえた連携という点では、アップデートする余地があると思っています。実は現状の手引書でも検討すべき点で濃淡があります。たとえば量産フェーズなどは、SIOTP協議会の企業会員がほとんどおらず、深い内容まで突っ込んでいません。そこで、ぜひ量産メーカーさんにも、手引書をご覧いただいて、よりブラッシュアップされた内容になるように、ご意見を伺えれば幸いです。
—-SIOTP協議会では今回の手引書をベースにした認証プログラムも開始されるという話ですが、こちらについても教えてください。
豊島氏:ISO/IEC62443やNIST SP800-171の取得には莫大なコストと検証期間が必要となるため、規模の大小をとわず様々なIoTシステムに広く適合することは困難だと考えられます。我々はこれらの国際標準やセキュリティ規格を参照しつつ、当協議会なりの解釈でIoTシステムに求められる安全なライフサイクル管理のプロセスをまとめた本手引書をベースに、来年度はIoTセキュリティ認定プログラムの提供を進めています。ぜひあわせてご活用いただけたらと思います。宜しくお願い致します。
◇◇◇◇◇◇◇◇◇◇◇◇◇◇
セキュアIoTプラットフォーム協議会では2022年3月上旬に動画をお好きな時間にご覧いただけるオンデマンドセミナーの形で手引書の解説動画を配信予定です。こちらについては詳細が決定しましたら、JAPANSecuritySummit Updateでもお知らせいたします。
◇◇◇◇◇◇◇◇◇◇◇◇◇◇