IoTのセキュリティ設計ではじめにやるべきこと

こんにちは。
IoT研究所の見習い研究員の本庄です。

今回は、IoTシステムのセキュリティを検討するときに、まずはじめにやるべきことをご紹介します。

IoTシステムは、従来のスタンドアロン機器と異なりネットワークに接続されているためハッキングなどにより意図しない接続が発生することがあります。
また、いったんIoT製品自体を出荷してしまうと脆弱性が発見されたあとの改修が難しい場合もあり、脆弱性が残った製品がネットワークに接続され続ける可能性もあります。

IoTデバイスから取得するデータは単一のデータでは意味を持たないものが、時系列でリアルタイムに取得することで意味を持つ場合もあり収集したデータが思わぬプライバシー侵害を引き起こす可能性もあります。
たとえば、家の電気利用量の増減がわかると、どの時間に在宅かどうかわかってしまいます。
その他にも、会社で運用しているクラウドストレージに不正アクセスされる脅威などあります。

では、そういった脅威を回避するために、IoTシステムのセキュリティを検討する際にまずはじめにやるべきことは何でしょうか?
それは、IoTシステムを構築・運用する企業および関連組織において、IoTシステムの性質を考慮したセキュリティの方針を定め、企業のトップレベルからIoTシステムに対する意識を持つことです。

それはなぜでしょうか?
上記で述べたようなリスクはIoTシステムの構築時や運用開始直後にはわからない場合もあり、リスク分析でリスクがわかった場合でも、システムにかける費用との兼ね合いで対策が取られない可能性があります。
そのため、経営層からのIoTシステムへのコミットが必ず必要となるのです。
国内でも多くの企業が取得しているISO/IEC27001(ISMS認証)の規格においても、情報セキュリティ基本方針を定め、経営層からのコミットを要求していますが、IoTシステムにおいても同様に、方針を定めて経営層のコミットを得る必要があります。

経営層からのIoTシステムへのコミットを得たのちに、セキュリティに対する脅威の分析や設計、実装を行うようにしましょう。

シェアする

フォローする

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です