IPA、「IoT開発におけるセキュリティ設計の手引き」を公開、暗号技術の安全性についてのチェックリストも

　IPA（独立行政法人情報処理推進機構）セキュリティセンターは、IoT 開発においてセキュリティ設計を担当する開発者に向けた手引きである、「IoT開発におけるセキュリティ設計の手引き」を5月12日に公開した。

　現在IoTに対応した機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器にネットワーク接続機能が後付けされたものも多くある。そのため、IoT に対応する機器では、インターネットを含む様々なネットワークと接続して動作すること、クラウドを活用すること、ソフトウェアで制御すること、個人情報などの機微な情報を含む様々な情報を取り扱うことを前提とし、セキュリティ設計を見直す必要がある。

　IPAでは、2006年より組込み機器の情報セキュリティについて、脅威と対策に関する調査を実施してきたが、今回、IoTに関する具体的なセキュリティ設計と実装を実現するための手引きとして「IoT開発におけるセキュリティ設計の手引き」を公開した。手引きの公開に併せ、3月24日に発表された「IoT製品を安全に開発するための17の開発指針」との対応表も公開されている。

　IPAは同書において、IoTの構成要素を「サービス提供サーバ・クラウド」「中継機器」「システム」「デバイス」「直接相互通信するデバイス」の5つに分類し、IoTの全体像をモデル化している。その上で、各々の構成要素における課題の抽出・整理を行っている。抽出された課題を踏まえ、IoT機器やサービスのセキュリティ設計にあたって行うべき「脅威分析」「対策検討」「脆弱性への対応」について解説している。「対策の検討」では、主なセキュリティ対策候補の一覧を掲載し、どの対策がどのような脅威に有効かを例示することで、対策検討時の参考になるようにしている。

　また、具体的なIoTシステムの事例として「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」の4分野について、脅威分析と対策検討の実施例を図解している。これらの図解は網羅的にセキュリティ要件を整理することが困難な組織や、今後IoTビジネスを摸索する組織にとって、安全な製品・サービスへの検討の材料になるとしている。

　さらに付録として、IoTシステムのセキュリティを実現する上で根幹となる暗号技術に関して、実装した暗号技術の安全性を客観的に確認するためのチェックリストも併せて公開された。開発者はこれを参照して、暗号技術の利用・運用方針を明確化し、その安全性を評価することができる。

　
【関連リンク】
・情報処理推進機構
・「IoT開発におけるセキュリティ設計の手引き」
・「IoT製品を安全に開発するための17の開発指針