IoT、テレワーク、通信サービス・ネットワークのセキュリティを再確認 ~「セキュリティフォーラム2022 オンライン」詳細レポート(後編)~
3月24日、一般社団法人日本スマートフォンセキュリティ協会(JSSEC)と一般社団法人セキュアIoTプラットフォーム協議会(SIOTP協議会)によって開催された「セキュリティフォーラム 2022 オンライン」。後編のレポートでは、SIOTP協議会から3名の登壇と、総務省の担当者による特別講演2の活動発表について報告しよう。
IoTセキュリティ手引書 Ver2.0でIoT機器のセキュリティ対策を万全に!
後半では、まず一般社団法人セキュアIoTプラットフォーム協議会(SIOTP協議会)仕様検討部会 座長の豊島太朗氏が成果発表 4として「IoTセキュリティ手引書 Ver2.0」の公開について説明した。
本サイトでも何度かご紹介しているが、このIoTセキュリティ手引書は、IoT機器のセキュリティ対策のために、汎用制御システムを対象にした「IEC62443-4」と米国標準規格の「SP800-171rev.2」をベースに、企業向けに各項目を検証したものだ。
具体的にはIoTシステムの企業活動をレイヤー(機器層/ネットワーク層/プラットフォーム層/サービス層(データ流通)ごとに縦串で分類し、各ライフサイクル(企画・設計/開発/製造/量産/運用/廃棄)に関しても横串で整理している。
豊島氏は「そこから集めた情報をもとに、セキュリティ課題を抽出し、各事業者に通用するキーワードとして、共通化したIoTセキュリティ用語集を作成しました。これは国際標準のセキュリティ用語集としても活用できるものです」と説明した。
もともとIEC62443-4とSP800-171rev.2はシステムセキュリティとしての網羅性が高く、デバイスから組織まで幅広く対応できるものだ。両者の規格の相関関係は以下の通りだ。
豊島氏は「またセキュリティ用語のなかで、最近はFIPS140-3も頻出しています。暗号モジュールの米国規格で、鍵の生成から利用、廃棄まで、ハードウェア/ソフトウェアの両コンポーネントで適用されるものです。SIOTP協議会では、こういったトピックスを取り上げて学習しています」と説明した。
共同利用型サテライトオフィスを利用のために知っておきたいガイドライン
続いて成果発表 5では、SIOTP協議会の事務局長 白水公康氏が「共同利用型サテライトオフィスを利用する際のセキュリティ配慮のポイントとは?」をテーマに解説した。
共同利用型サテライトオフィスとは、コワーキングスペースやレンタルオフィスなど、自宅以外でのテレワーク環境のこと。テレワークを実施するにあたり、企業が課題だと考えている点は、総務省によれば「セキュリティの確保」が最も多く、47.6%に及ぶ。さらにIPAの調査では、企業における「働く環境の機密管理の確保」が30%超という結果になった。
「テレワークではクラウドサービスが広く利用されており、当然ながら安全安心なネットワーク環境が求められています。したがって、そういったワークプレイスを選択することが重要になります」と白水氏。
実際に2021年のIPA情報セキュリティ10大脅威でも、組織向け脅威で「テレワーク等のニューノーマルな働き方を狙った攻撃」が、いなり3位に登場した。
そこでSIOPT協議会は、日本テレワーク協会と共同検討会を立ち上げ、セキュリティに係る課題と対策に向けたガイドライン「共同利用型オフィス等で備えたいセキュリティ対策についてRev2.0」を2021年3月に発行した。
これは総務省の「情報通信利用促進支援事業費補助金(地域サテライトオフィス整備推進事業)」における提案事業のセキュリティ要件にも採用された。重要な点は、このガイドラインを満たさないと促進支援事業費補助金の応募ができないということ。 また、SIOTPでは本ガイドラインをベースに、共同利用型コワーキングスペースやレンタルオフィス、シェアオフィスなどの情報セキュリティへの適合性を検査し、その検査結果を認証する「共同利用型オフィス等セキュリティ認証プログラム」も昨年4月からスタートしている。
このなかで「管理体制(セキュリティポリシー・トレーニングの実施等)」「入退室管理・使用者情報」「ネットワーク機器(無線AP・ルータ等)」「ネットワーク接続機器(複合機・防犯カメラ等)」「レンタルPC」「物理設備(ロッカー、音漏れ等)」が安全かどうか、情報セキュリティ監査と脆弱性診断を実施し、ポリシー・ネットワーク・設備の観点からチェック。
各リスク度合いから、施設に対して安全にテレワークができる環境かどうかを総合的に評価し、信頼・安全・安心・注意・緊急という認証レベルに応じて三つ星を付与する。
白水氏は、よく見られるリスクとして「SSID/パスワードがオープンに公開されており、外部からハッキングを許す環境だったり、通信機器などのファームウェアが最新版にアップデートされておらず、脆弱性が残っていたり、利用者の個人情報や利用ログが適切に保管されておらず情報が流出する恐れがあります」といった点を挙げた。
認証プログラムの運営体制には、認証機関としてSIOTP協議会と日本テレワーク協会があり、そこと独立した形で認証基準の適合を実際に検査する「指定検査事業者」がある。この事業者は、経済産業省の「情報セキュリティサービス審査登録制度」に登録したものということになる。
具体的な認証事例として、空きビルの再活用や都心周辺型テレワーク施設などの適用されており、民間では三井不動産ワークスタイリングが105ヵ所で認証プログラムを受けた。また自治体でも地方創生の文脈から、テレワーク施設の整備が進んでおり、この認証プログラムが利用されている。
代表的な自治体として、健康経営型の新しいテレワーク環境を推進する松江市の「ワーキングヘルスケアプログラムMATSUE」の3施設が認定された。松江市の取り組みは、温泉総選挙でのテレワーク特別賞の受賞でも表れている。今後は、テレワークやワーケションの施設を選ぶ際に、安心・安全なセキュリティが担保されていることが1つの選択基準になってくるという。
2本柱でIoTサイバーセキュリティの啓蒙を行うSIOTPの情報発信戦略
SIOTP協議会 事務局の江辺賢哉氏も成果発表 6として「セイバーセキュリティのトレンド、国際標準を日々把握するには?」をテーマに、同協議会の情報発信戦略について発表した。SIOTP協議会は本メディアのJAPANSecuritySummit Updateと、秋に開催のオンラインイベント・JAPANSecuritySummitの2本立てで情報を発信中だ。
本メディアは、セキュリティの有識者によるコラムを中心に、国際標準や経済安全保障、日々のセキュリティ関連ニュースやイベントなども掲載。また情報リテラシー教育としてラジオ番組も配信中だ。またメールマガジンも発行している。
昨年のJAPANSecuritySummit2021は、10月25日から9日間にわたり開催された。セミナーはオープニングデイに産官学の代表から9セッション、その後のオンラインセミナーでは計27セッションが執り行われた。
このようにSIOTPでは、日々のサイバーセキュリティ情報を発信中だ。江辺氏は「巧妙化するサイバー攻撃のトレンドなどを把握するために、JAPANSecuritySummit Updateのメールマガジンを登録しいただきたい」とアピールした。
安心・安全で信頼できる通信サービスやネットワークの確保に向けた総務省の取り組み
特別講演 2に登壇したのは、総務省 総合通信基盤局 電気通信事業部 消費者行政第二課長の小川 久仁子氏だ。同氏は「安心・安全で信頼できる通信サービスやネットワークの確保に向けて」をテーマに講演。
コロナ禍の中で三度目の春を迎え、テレワークや新しい生活様式も加速するなかで、ますます安心・安全で信頼できる通信サービスの重要性がますます増している。総務省では2012年にスマートフォンプライバシーイニシアチブ(SPI)を取りまとめ、官民連携してその後継続的にスマートフォンに関するプライバシー保護の取り組みを進めてきた。
スマートフォンは従来のPCと異なり、ユーザーとの結びつきが強く、常に電源を入れて持ち歩いて使うため行動や通信の履歴など多種多様な情報が取得され蓄積されている。スマートフォンの市場を成長させるには、このような利用者情報について適切な取扱いが確保されユーザーが安心・安全に利用できる環境を整備することが重要である。
一方、スマートフォンは従来の携帯電話の場合の垂直統合されたビジネスモデルと異なり、端末、ネットワーク、プラットフォーム、コンテンツサービスという各レイヤーの事業者がサービスを提供しているが、なかでもプラットフォームとなるOS提供事業者がアプリ提供サイト運営事業者となるとともに、他の各レイヤーにも影響を与えている。広告配信事業者等が提供する情報収集モジュールがアプリに組み込まれ、それを通じて利用者情報が情報収集事業者に送信される構造も指摘された。
小川氏は「スマートフォンのプライバシー保護については、一義的に関係事業者の役割であり、責任でもあります。そこでSPIでは6つの基本原則を掲げ、各ステークホルダーが直接参照できる指針を提示しています」と説明する。
SPIにおいて、アプリ・情報収集モジュール提供者はプライバシーポリシーを策定し、そこにアプリ提供者の名称、取得する情報の項目、取得方法、利用目的、利用者関与の方法、第三者提供や情報収集モジュールの有無、問合せ窓口、ポリシー変更時の手続きといった8つの項目を記載することとされている。利用者関与の方法として、特に電話帳やGPS位置情報などの場合は個別に同意を取得する方法が示されている。また、OS提供事業者、アプリ提供サイト運営事業者は、アプリケーション提供者への支援・啓発や利用者への分かりやすい説明を行うことが期待されている。
このSPIの実効性を高めるために、業界団体による自主ガイドラインの策定や、第三者によるアプリ検証の仕組みなど業界との連携をすすめることが有用である。
その後のSPI-IIでは、第三者が民間主導でアプリを検証する仕組みを民間主導で推進するための提言も行った。このSPI-IIをベースにアプリケーションのプライバシーポリシー等において上記の8項目がアプリごとに守られているのか、新規・人気アプリを調査して報告する「スマートフォンプライバシーアウトルックプライバシーポリシー」が毎年実施されているという。
また現時点ではSPI-IIは環境変化を踏まえながらIIIまで改定が進んでいるところだ。さらに「電気通信事業における個人情報保護のガイドライン(以下:電気通信事業GL)」で、電気通信事業者がアプリを提供していたり、アプリ提供サイトを運営している場合は、SPIに則ってプライバシーポリシーを公表することが適切であるとしている。
「このようにスマートフォンで利用者情報の保護が進められていますが、今後はSociety5.0やメタバースが実現し、AI/IoT、ロボット、センサーネットワークなどにより、現実と仮想空間が融合しパーソナルデータの収集が広がっていくと考えられます。それをどのような形で安全・安心に利用できるものとしていくのか、そのルール作りも求められています」と小川氏。
次に小川氏は総務省の「プラットフォームサービスに関する研究会」における議論ついて紹介した。ここでは誹謗中傷やフェイクニュース・偽情報など、ネット上の違法有害情報の対策と、利用者情報の適切な取り扱いの確保について、プラットフォーム事業者の取り組みをモニタリングしつつ、その対応策を検討している。
また、「本研究会の2020年2月の報告書を踏まえ、通信の秘密の保護をはじめとする電気通信事業法の規律の域外適用を実現する観点から2020年に電気通信事業法が改正され、2021年春より施行されGAFAMなどの外国法人についても電気通信事業者として届出を出されています」。
更に、小川氏は、2021年の「プラットフォームサービスに関する研究会」の中間とりまとめについても説明した。
中間とりまとめの主な内容は、前出の電気通信事業法や個人情報保護法を踏まえた対応、電気通信事業GL等における対応(改正)を行い、定期的なモニタリングを実施することだ。
このうち、電気通信事業GLの改正については、令和2年及び令和3年の個人情報保護法の改正を踏まえるとともに、SPIの考え方も踏まえつつ利用者情報の取扱いについて議論が進められた。具体的には、利用者情報を取得する関連事業者が、自ら情報収集モジュールや埋め込みタグなどを十分に把握した上で、利用者に理解できるように通知・公表し同意を得ること、またオプトアウトやデータポータビリティの有無・方法の開示なども求めている。これらを踏まえ、改正された電気通信事業GLが2022年4月に施行された。
最後に小川氏は、電気通信事業ガバナンス検討会及び電気通信事業法の一部を改正する法律案についても触れた。同氏は「同検討会は電気通信事業者におけるサイバーセキュリティ対策とデータの取り扱いに係るガバナンスの確保の在り方を検討し、今後の対策を検討するために立ち上げられ、2月に報告書が取りまとめられた。3月にはこれを踏まえた電気通信事業法の一部を改正する法律案が国会に提出された。今後官民連携した取組みを推進していくことが重要である」と紹介した。
まとめ
最後に閉会に言葉として、JSSEC代表理事・会長の佐々木良一氏(東京電機大学 研究推進社会連携センター 顧問 客員教授)が、閉会のあいさつを行った。同氏は「インターネット上の仮想空間はコミュニケーション手段のベースとなるものであり、新しい分野でもあるため、対応を間違えると従来とは異なるセキュリティリスクやプライバシー問題を引き起こす恐れがあります。今回の講演が皆様にお役に立つことを期待しています」と述べ、締めの言葉とした。