セキュアなIoTエコシステムはどうすれば実現できる？

IoTデバイスを取り巻くセキュリティ上の課題

　IoTを利用するエンドポイント（デバイスともいいます）は、平成27年時点で154億個存在すると報告されています。平成32年までに304億個まで増大するという調査もあり、爆発的に普及することが予想されています。

　政府は「世界最先端IT国家創造宣言・官民データ活用推進基本計画」を公表しました。これには、横断的にIoTの面的展開を実現すること、官民が保有するさまざまなデータを活用しつつ、社会課題の解決につなげていくことが明記されています。IoTデバイスは社会基盤において、ますます活用されることが期待されているようです。

　一方で、あまりにも多くのIoTデバイスが設置されるため、「セキュアでない、もしくは物理的に保護されていない」ものも紛れ込む可能性があります。

　これは、さまざまな製造事業者がIoTデバイスの開発に参入し、それぞれがビジネス競争に打ち勝つため、とにかく早く世に自社製品のIoTデバイスを提供しようと、奮闘している状況に起因すると考えられます。このような競争環境にさらされている製造事業者にとっては、「セキュリティ」は面倒なものでしょう。セキュリティは新たな領域であり、製品開発の方法論において、セキュリティの計画について不十分であっても不思議ではありません。

セキュアなIoT製品開発の理解に向けて

　OWASPではWebアプリケーションにおけるセキュリティに加え、IoTにおけるセキュリティに関する議論やドキュメントの作成を行っています。本連載では、これまでに『IoT時代において重要性が増すデバイスのセキュリティ』『IoTのセキュリティ設計って、どこから学んだらいいの？』において、OWASP IoT Top10を中心としたOWASP Internet of Things Projectを紹介しています。

　本記事では、OWASP Japanが連携会員となっているCloud Security Alliance（クラウドセキュリティアライアンス）の日本のチャプターが公開している『「つながる世界」を破綻させないためのセキュアなIoT製品開発 13のステップ』（以下、「セキュアなIoT製品開発13ステップ」）についてOWASPのドキュメントを交えながら紹介します。本記事を読むことで、「セキュアなIoT製品開発13ステップ」の概要とその意義について理解を深めていただけたらと思います。

セキュアなIoT製品開発のための13ステップ

　「セキュアなIoT製品開発13ステップ」では、セキュアなIoT開発のガイダンスとして、表1のステップで開発を進めることで、セキュリティ上のいくつかの問題を軽減できるとしています。