ピックワールド(PIC World)

インフォメーション

この記事は 2016年05月15日 に以下のカテゴリに投稿されました IoT.

この記事のタグ

, , , , , , , , , , , , , , , ,


IPA から 「IoT開発におけるセキュリティ設計の手引き」が公開されています

様々な動きを見せている IoT ですけれども、多くの事が実現できるけれども、それを実際に運用するのには、当然多くの知識が必要です。

だから面白いというのもあるけれども、何から何まで知っている人はいないわけだし、知識を超えたことをしようとすると、危険なことも起こるのも事実として認識しておきましょう。

すごく興味もあるし、楽しい技術だと思うのですが、それらを安全に使い倒すためにはそれなりの知識が必要なのですね。

特にこれらはインターネット上にデータを流したりするので、セキュリティ面での知識や防御方法などももちろん身につけておく必要があります。

そんな注意事項を IPA (情報処理推進機構 / Information-technology Promotion Agency, Japan の略で IPA) が公開しているので紹介します。

「IoT開発におけるセキュリティ設計の手引き」を公開
~4分野のIoTの脅威分析と対策検討の実施例を図解~
2016年5月12日
独立行政法人情報処理推進機構

IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、今後のIoTの普及に備えて、IoT機器および、その使用環境で想定されるセキュリティ上の脅威に対し、事業者(開発者)の備えが急務であると考え、「IoT開発におけるセキュリティ設計の手引き」を作成し、本日公開しました。

URL:https://www.ipa.go.jp/security/iot/iotguide.html

昨今、IoT(*1)が多くの注目を集めています。現在ではIoTと分類されるようになった、組込み機器の情報セキュリティについて、IPAは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、ネットワークで機器やサービスが繋がることで生じうる様々な脅威、それらが原因のリスクや被害を予め踏まえておく必要性があります。

そこで、IPAではIoTの定義について「サービス提供サーバ・クラウド」「中継機器」「システム」「デバイス」「直接相互通信するデバイス」と5つの構成要素に分類し、IPAのIoTモデルを設定しました。その上で、各々の構成要素における課題の抽出・整理を行いました。

図1 IPAのIoTモデルの全体像

図1 IPAのIoTモデルの全体像

また、今まで蓄積してきた知見を基に、「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」の4分野を具体的なIoTシステムの事例として、脅威分析と対策検討の実施例を図解しています。この図解では、脅威が想定される箇所と、認証や暗号化など該当する対策を明確化するとともに、業界のセキュリティガイドで述べられている要件との対応を示しています。この図は、網羅的にセキュリティ要件を整理することが困難な組織や、今後IoTビジネスを摸索する組織にとって、安全な製品・サービスへの検討の材料になると考えられます。

図2 ヘルスケア機器とクラウドサービスに対する脅威と対策の検討例

図2 ヘルスケア機器とクラウドサービスに対する脅威と対策の検討例

さらに、IoTシステムのセキュリティを実現する上で根幹となる暗号技術に関して、実装した暗号技術の安全性を客観的に確認するためのチェックリストを付録として作成しました。開発者はこれを参照して暗号技術の利用・運用方針を明確化し、その安全性を評価することが容易になります。

なお、本書は去る3月24日に発表したIoT製品を安全に開発するための17の開発指針(*2)に対し、具体的なセキュリティ設計と実装を実現するための手引きの位置づけです。手引きの公開に合わせ、17の開発指針との対応表も公開します。
開発指針と本手引きを利用することで、IoT製品・サービスのセキュアな実装と運用の一助になると考えられ、今後の安全なIoTの普及に期待しています。

脚注
(*1) Internet of Things:モノのインターネット
(*2) 3月24日 にIPA ソフトウェア高信頼化センターが発表した「国内初 安全・安心なIoT製品の実現に向けた17の開発指針を公開」  http://www.ipa.go.jp/about/press/20160324.html

プレスリリースのダウンロード
プレスリリース全文(PDF:551KB)

資料のダウンロード
資料のダウンロードはこちらのページから

本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター 辻/岡下
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先
IPA 戦略企画部 広報グループ 山北/白石
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。

上記は IPA からのプレスリリースですが、資料は上記のリンクからどうぞ。

目次だけ抜粋しておきます。

目次

公開にあたって
1. はじめに
1.1 IoTのセキュリティの現状と課題
1.2 本書のねらい
2. 本書におけるIoTの定義
2.1 サービス提供サーバ・クラウド
2.2 中継機器
2.3 システム
2.4 デバイス
2.5 直接相互通信するデバイス
3. IoTのセキュリティ設計
3.1 脅威分析
3.2 セキュリティ対策の検討
3.3 脆弱性への対応
3.3.1 開発段階での対応
3.3.2 運用段階での対応
3.3.3 IPAが提供するコンテンツの活用
4. IoT関連のセキュリティガイド
4.1 OWASP Internet of Things Project
4.2 OTA IoT Trust Framework
4.3 GSMA IoT Security Guidelines
5. IoTシステムにおける脅威分析と対策検討の実施例
5.1 デジタルテレビ
5.2 ヘルスケア機器とクラウドサービス
5.3 スマートハウス
5.4 コネクテッドカー
6. IoTセキュリティの根幹を支える暗号技術
参考文献
付録A. OWASP Top 10 IoT Vulnerabilities (2014) の概要
付録B. OTA IoT Frameworkの概要
付録C. IoTにおける暗号技術利用チェックリスト
付録D.「つながる世界の開発指針」と本書の対応

全84ページとなかなか立派な資料となっています。

 


コメントを残す

最近の投稿

最近のコメント

アーカイブ