前回は、IoTの定義とその特徴を日米欧のガイドラインから紹介しました。今回は、IoTのセキュリティ上の脅威と対策について同様にご紹介します。

1. IoTのセキュリティ脅威

各国では、IoTのセキュリティ上の脅威をどのように定めているのでしょうか？そのアプローチの違いを見ていきたいと思います。

欧州（EU）

EUの文書（Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures）ではIoTのセキュリティ脅威として以下を挙げています。

また、文書では、これらとは別に優先すべき攻撃シナリオがいくつかが示されています。その中でIoTの関係者および専門家へのインタビューにおいてトップ３に選ばれているのが以下の攻撃シナリオです。

1. IoT の管理システム（administration system）に対する攻撃
   - 影響：IoT の不正操作・停止による、人、環境、他システムなどへの影響
2. センサの測定値、閾値、設定の改ざん
   - 影響：不正な値の受入れ、上位システムの物理的損害
3. デバイスに対するコマンドインジェクション
   - 影響：他のマシンへの侵入、デバイスの不正使用

米国

米国の文書（Interagency Report on Status of International Cybersecurity Standardization for the Internet of Things (IoT)）では、IoTとそれ以外を特に区別してセキュリティ脅威を定義していません。別文書の「NIST SP 800-30 Revision 1」（リスクアセスメントの実施の手引き）の付録E 脅威事象にセキュリティ脅威が示されているとしています。

日本

日本の文書（IoT開発におけるセキュリティ設計の手引き、IoTセキュリティガイドライン）でも、米国同様にIoTのセキュリティ脅威について特別に定義していません。IoTのセキュリティ脅威は、セキュリティ設計における脅威分析によって明らかにしていくものとしています。

セキュリティ設計の手順

Step1：対象とするIoT製品やサービスのシステム全体構成を明確化する。
Step2：システムにおいて、保護すべき情報・機能・資産を明確化する。
Step3：保護すべき情報・機能・資産に対して、想定される脅威を明確化する。（脅威分析）
Step4：脅威に対抗する対策の候補（ベストプラクティス）を明確化する。
Step5：どの対策を実装するか、脅威レベルや被害レベル、コストなどを考慮して選定する。

なお、IoTのセキュリティ脅威の例として、「IoT開発におけるセキュリティ設計の手引き」の中でOWASPなどの文書を参考にした脅威分析の紹介の中でいくつか示されています。

脅威の例

EUの文書では、ネットワーク経由の攻撃、物理的な攻撃、災害などの様々な脅威が書かれていますが、IoT以外の分野でも見られるものが多いように見えます。そのことを補完するかのように併せて優先すべき攻撃シナリオも記載されており、具体的な攻撃ステップなども説明されています。
日本と米国の文書では脅威の例は書かれていますが、明確に定義していません。

2. IoTのセキュリティ対策

それでは、各国では、IoTセキュリティ対策としてどのように対策を明示しているのでしょうか？各国の記述とそれらのマッピングで見ていきたいと思います。

欧州（EU）

EUの文書では、さまざまなセキュリティ標準で定めている対策を参考に、83個のIoTセキュリティ対策を導出しています。（個別対策の記載は省略しています）
具体的対策の前に「ポリシー」というカテゴリでセキュリティ・バイ・デザインやリスク評価などの考え方を示しているのが特徴です。

米国

米国の文書では、IoTのセキュリティ対策について明確に定義していません。
なお、IoTに限りませんが、サイバーセキュリティの標準（Standard）に関する11のコア領域を示しており、文書のAnnex Dでこれらコア領域に各機関のセキュリティ文書をマッピングしています。

サイバーセキュリティのコア領域

• 暗号技術
• サイバーインシデント管理
• ハードウェア保証
• 識別、アクセス管理
• 情報セキュリティ管理システム（ISMS）
• ITシステムセキュリティ評価
• ネットワークセキュリティ
• セキュリティ自動化と継続的モニタリング（SACM）
• ソフトウェア保証
• サプライチェーンリスクマネジメント（SCRM）
• システムセキュリティエンジニアリング

日本

日本の文書でも、米国同様にIoTのセキュリティ対策について明確に定義していません。
IoTのセキュリティ対策の例として、「IoT開発におけるセキュリティ設計の手引き」の表3-6 対策候補一覧で主なものが例示されています。

対策候補一覧

※上記対策は、例示であり、すべてのIoTセキュリティ対策を示しているわけではありません。

3. 対策の比較

それでは、EUと日本、米国の文書に記載されている対策（および対策例）にはどのような違いがあるのでしょうか？両社を比較し、共通のものをカテゴライズしてみました。

表1：IoTセキュリティ対策の比較

EUの文書では組織的、人的対策を含め幅広い対策を記載しています。日本の文書ではOWASPのガイドライン類を参考にしたためと推察されますが、技術的対策を中心に記載しています。安全なデータ消去や利用者への周知といった対策も明確に書かれています。
米国の文書では、対策として具体的には定めていません。なお、ITシステムセキュリティ評価は、主に暗号モジュールのセキュリティテスト・評価を指しています。

4. まとめ

• 欧州では、産業競争力強化のためにドイツのIndustry 4.0など、政府が深く関与する形でIoTの活用や標準化を推進しています。そのため、IoTセキュリティにおいても標準化への検討が進み脅威や対策の記述が具体的になっていると考えらえます。一方、米国ではIoTはITと同様にその発展は民間企業や企業連合、非営利組織が主導する形となっているため、IoTセキュリティについてはその考え方を示すレベルに落ち着いていると思われます。日本では、IoTセキュリティ設計の考え方や進め方に重きを置いているように見えます。
• IoTシステム・サービスの開発においては、まずセキュリティ設計よって脅威やリスクの分析が行われるべきというのが各国の共通項であるといえます。しかし、その結果必要となるIoTセキュリティ対策については、標準化の途上にあるといえます。
• また、各国のIoTセキュリティ対策（もしくは対策例）およびその特徴を見ることで、多様な観点・ノウハウを取り入れることができます。また、制御系システムのセキュリティの考え方もIoTセキュリティを考えるうえで参考になります。
• 最後に、IoTセキュリティの実現のためには、IT側の関係者はIoT特有の技術や物理的特性を理解することが重要と考えられます。また、IoT側の関係者もITの情報セキュリティの考え方を理解することが重要と考えられます。

参考文書

• Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures（ENISA（欧州ネットワーク・情報セキュリティ機関））
• Interagency Report on Status of International Cybersecurity Standardization for the Internet of Things（NIST（米国国立標準技術研究所））
• Guide to Industrial Control Systems (ICS) Security（NIST（米国国立標準技術研究所））
• NIST SP 800-30 Revision 1（NIST（米国国立標準技術研究所））
• Strategic Principles For Securing The Internet Of Things（DHS（米国土安全保障省））
• IoT開発におけるセキュリティ設計の手引き（IPA（情報処理推進機構））
• IoTセキュリティガイドライン ver1.0（総務省）
• ITU-T Y.2060(Y.4000)（ITU（国際電気通信連合））

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
戸田 勝之

• セキュリティサービス