IoTセキュリティガイドラインが公表。IOT事業者が守るべき法律的注意点とは？

IOTガイドラインが発表に

2016年7月5日、総務省及び経済産業省が「IoTセキュリティガイドライン ver1.0」を公表しました。

このガイドラインは、IoT機器、IOTサービスについて、セキュリティ確保のために求められる基本的な取り組みを明らかにしたものです。

IOTとは、Internet of Thingsの略で、あらゆる「モノ」にセンサーが組み込まれて、直接インターネットにつながり、モノ同士、あるいはモノと人とが相互に通信できるようになる仕組みのこと。

IoTセキュリティガイドラインの概要資料では、次のような事例を挙げて、IOTに関するセキュリティ対策の必要性を記載されています。

• ⾃動⾞へのハッキングよる遠隔操作
• 監視カメラの映像がインターネット上に公開

IOTガイドラインの法律的意味とは

IoTセキュリティガイドライン ver1.0では、その目的として、IoT 特有の性質とセキュリティ対策の必要性を踏まえて、IoT 機器やシステム、サービスについて、その関係者がセキュリティ確保等の観点から求められる基本的な取組を明確化したものとされています。

あくまでガイドラインなので法的拘束力がありません。ですが、IOTシステムについて、セキュリティ問題があった場合、それによって、損害が生じた場合には、事業者が責任を負う可能性があります。

その場合に、事業者として守るべき技術的水準として、IoTセキュリティガイドライン ver1.0が基準とされる可能性があります。

IoTセキュリティガイドライン ver1.0の内容

IoTセキュリティガイドライン ver1.0には、IOT事業者が、注意すべき５つの指針、２１項目の要点が記載されています。事業者は、この要点について、チェックポイントとして使うということが必要になります。

方針

指針1：IoT の性質を考慮した基本方針を定める

• 要点 1. 経営者が IoT セキュリティにコミットする
• 要点2：内部不正やミスに備える

分析

指針2：IoT のリスクを認識する

• 要点3：守るべきものを特定する
• 要点4.：つながることによるリスクを想定する
• 要点5：つながりで波及するリスクを想定する
• 要点6：物理的なリスクを認識する
• 要点7：過去の事例に学ぶ

設計

指針3：守るべきものを守る設計を考える

• 要点8：個々でも全体でも守れる設計をする
• 要点9：つながる相手に迷惑をかけない設計をする
• 要点10：安全安心を実現する設計の整合性をとる
• 要点11：不特定の相手とつなげられても安全安心を確保できる設計をする
• 要点12：安全安心を実現する設計の検証・評価を行う

構築・接続

指針4：ネットワーク上での対策を考える

• 要点13：機器等がどのような状態かを把握し、記録する機能を設ける
• 要点14：機能及び用途に応じて適切にネットワーク接続する
• 要点15：初期設定に留意する
• 要点16：認証機能を導入する

運用・保守

指針5：安全安心な状態を維持し、情報発信・共有を行う

• 要点17：出荷・リリース後も安全安心な状態を維持する
• 要点 18. 出荷・リリース後も IoT リスクを把握し、関係者に守っても らいたいことを伝える
• 要点 19. つながることによるリスクを一般利用者に知ってもらう
• 要点 20. IoT システム・サービスにおける関係者の役割を認識する
• 要点 21. 脆弱な機器を把握し、適切に注意喚起を行う

IoTセキュリティガイドライン ver1.0の解説

IoTセキュリティガイドライン ver1.0では、事業者が守るべき義務について、詳細に記載されてますが、今回は概要を解説していきます。

指針１）IoTの性質を考慮した基本方針を定める

事業者はIoTの性質を考慮し、「サイバーセキュリティ経営ガイドライン」を踏まえた対応を行う必要があるとされています。

サイバーセキュリティガイドラインとは「サイバーセキュリティ経営ガイドライン」を踏まえ、IoTセキュリティに係る基本方針を策定し、社内に周知するとともに、継続的に実現状況を把握し、見直していくことが求められているのです。

指針２）IoTのリスクを認識する

IOTでは、様々なモノが、ネットワークでつながることから、漏えいしないよう、機能の動作に関わる情報や、機器やシステムで生成される情報など、事業者として守るべき情報を特定することが求められてます。

また、パソコン等のICTの過去事例やIoTの先行事例から攻撃事例や対策事例を学ぶことも、求められています。

指針３）守るべきものを守る設計を考える

IOT機器・システムに異常な状態が検知された場合、他の機器等に波及しないよう、当該IoT機器・システムをネットワークから切り離す措置が必要です。

切り離しや機能の停止が発生した場合、他への影響を抑えるため、早期に復旧するための設計求められてます。

指針４）ネットワーク上での対策を考える

ネットワーク上の対策では、次のようなことを考える必要があります。

• IoTシステム・サービスの機能及び用途、IoT機器の機能・性能のレベル等を踏まえ、ネットワーク構成やセキュリティ機能の検討を行い、IoTシステム・サービスを構築
• 機能・性能の制限によりIoT機器単体で必要なセキュリティ対策を実現できない場合は、セキュアなゲートウェイを経由してネットワーク接続するなどのセキュリティ対策を検討する
• 不正なユーザ等によるなりすましや盗聴等が行われないよう、認証や暗号化等の仕組みを導入する

指針５）安全安心な状態を維持し情報発信・共有を行う

安全安心な状態を維持し情報発信・共有を行うでは、次のようなことが求められます。

• IoT機器には、リリース後に脆弱性が発見されることがあるため、脆弱性の対策を行ったソフトウェアをIoT機器へ配布・アップデートする手段を提供する
• IoTシステム・サービスの提供者は、IoTシステム・サービスの分野ごとの特徴を踏まえて、IoT機器のセキュリティ上、重要なアップデートのタイミングを告知する

IOT事業者はガイドラインに沿ったセキュリティ対策を

IOT事業者に対するIoTセキュリティガイドライン ver1.0が発表されたことにより、IOT事業者としては、ガイドラインに沿った運用が必要になります。

裁判などでも、このガイドラインが指針になる可能性がありますので、事業者はしっかりと対策をしましょう。