IoTセキュリティガイドラインが公表。IOT事業者が守るべき法律的注意点とは？

IOTガイドラインが発表に

2016年7月5日、総務省及び経済産業省が「IoTセキュリティガイドライン ver1.0」を公表しました。

このガイドラインは、IoT機器、IOTサービスについて、セキュリティ確保のために求められる基本的な取り組みを明らかにしたものです。

IOTとは、Internet of Thingsの略で、あらゆる「モノ」にセンサーが組み込まれて、直接インターネットにつながり、モノ同士、あるいはモノと人とが相互に通信できるようになる仕組みのこと。

IoTセキュリティガイドラインの概要資料では、次のような事例を挙げて、IOTに関するセキュリティ対策の必要性を記載されています。

IoTセキュリティガイドライン ver1.0では、その目的として、IoT 特有の性質とセキュリティ対策の必要性を踏まえて、IoT 機器やシステム、サービスについて、その関係者がセキュリティ確保等の観点から求められる基本的な取組を明確化したものとされています。

あくまでガイドラインなので法的拘束力がありません。ですが、IOTシステムについて、セキュリティ問題があった場合、それによって、損害が生じた場合には、事業者が責任を負う可能性があります。

その場合に、事業者として守るべき技術的水準として、IoTセキュリティガイドライン ver1.0が基準とされる可能性があります。

IoTセキュリティガイドライン ver1.0には、IOT事業者が、注意すべき５つの指針、２１項目の要点が記載されています。事業者は、この要点について、チェックポイントとして使うということが必要になります。

指針1：IoT の性質を考慮した基本方針を定める

指針2：IoT のリスクを認識する

指針3：守るべきものを守る設計を考える

指針4：ネットワーク上での対策を考える

指針5：安全安心な状態を維持し、情報発信・共有を行う

IoTセキュリティガイドライン ver1.0では、事業者が守るべき義務について、詳細に記載されてますが、今回は概要を解説していきます。

事業者はIoTの性質を考慮し、「サイバーセキュリティ経営ガイドライン」を踏まえた対応を行う必要があるとされています。

サイバーセキュリティガイドラインとは「サイバーセキュリティ経営ガイドライン」を踏まえ、IoTセキュリティに係る基本方針を策定し、社内に周知するとともに、継続的に実現状況を把握し、見直していくことが求められているのです。

IOTでは、様々なモノが、ネットワークでつながることから、漏えいしないよう、機能の動作に関わる情報や、機器やシステムで生成される情報など、事業者として守るべき情報を特定することが求められてます。

また、パソコン等のICTの過去事例やIoTの先行事例から攻撃事例や対策事例を学ぶことも、求められています。

IOT機器・システムに異常な状態が検知された場合、他の機器等に波及しないよう、当該IoT機器・システムをネットワークから切り離す措置が必要です。

切り離しや機能の停止が発生した場合、他への影響を抑えるため、早期に復旧するための設計求められてます。

ネットワーク上の対策では、次のようなことを考える必要があります。

IoTシステム・サービスの機能及び用途、IoT機器の機能・性能のレベル等を踏まえ、ネットワーク構成やセキュリティ機能の検討を行い、IoTシステム・サービスを構築
機能・性能の制限によりIoT機器単体で必要なセキュリティ対策を実現できない場合は、セキュアなゲートウェイを経由してネットワーク接続するなどのセキュリティ対策を検討する
不正なユーザ等によるなりすましや盗聴等が行われないよう、認証や暗号化等の仕組みを導入する