前回記事(IoT設計/開発では特に大切な「セキュアバイデザイン」の考え方)では、「設計・開発の初期段階からセキュリティ対策を組み込む」という考えが、IoTでは特に重要であることを説明しました。
IoT設計/開発におけるセキュアバイデザインの取り組みは、政府の関係省庁や業界団体などが発行しているガイドラインや手順書、ベストプラクティスに沿って進めるのが確実です。ただし、多数のガイドラインが存在するため「どれから参照すればよいの?」と迷ってしまいそうです。
そこで今回は、セキュアバイデザインの取り組みをスタートするにあたって、参照することをおすすめしたい資料と、それぞれの「使い方」について簡単にまとめます。
経営者から実務担当まで、全員の「意識合わせ」に適した経産省のガイド
これからIoTデバイス/IoTシステムの開発をスタートするという方にはまず、セキュリティ対策を考える第一歩として、経済産業省の「IoT機器を開発する中小企業向け 製品セキュリティ対策ガイド」をおすすめします。
○経済産業省「IoT機器を開発する中小企業向け 製品セキュリティ対策ガイド」(2024年度改訂版、PDFファイル)
経済産業省「IoT機器を開発する中小企業向け 製品セキュリティ対策ガイド」の表紙、目次
このガイドは、IoT製品を開発する中小企業が、「製品ライフサイクル全体をふまえて」セキュアバイデザインを実践することをサポートする構成になっています。
具体的には、経営者向けに「なぜセキュリティ対策が必要なのか」を説明する章から始まり、続いて製品開発の流れを4つの章(方針・体制構築フェーズ/設計・開発フェーズ/検証フェーズ/運用・保守フェーズ)に分けて、各フェーズで実務者(セキュリティ/開発/品質の担当者)が最初に検討すべき6つのセキュリティ対策を具体的に示しています。
特に「セキュリティポリシーの社内への徹底、浸透」や「ポリシーの適切な運用のための体制整備」「出荷後のリスク情報収集、適切なサポート」など、技術だけではカバーできないセキュリティ対策まで網羅している点がポイントです。
そのほか、設計・開発フェーズで検討すべき主な技術的対策の具体例、中小企業における対策事例(5社)もまとまっています。さらに、中小企業がセキュリティ対策を進めていくうえで目標とすべき指標のひとつとして「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」を挙げ、付録資料では「JC-STAR★1」の評価基準が説明されています。
このガイドが主張するとおり、セキュアバイデザインは設計・開発担当者だけの取り組みではなく、経営者をはじめとして全社で関与すべき取り組みです。コラムや参考資料へのリンクなど、補足情報も豊富に盛り込まれており、まずは“スタート地点”として、関係者全体のリテラシー向上や意識合わせに使えるツールです。
同ガイドがカバーするセキュリティ対策の範囲と、セキュリティ対策に関与することになる社内の部門
この連載の記事
-
第10回
デジタル
IoTの“エッジ”とは何か? なぜエッジでのデータ処理が必要なのか? -
第9回
デジタル
なぜIoTビジネスは「現場」から生まれるのか 現実世界をデータ化し、制御できることの価値 -
第8回
デジタル
モノ(製品)を通じたサブスク型ビジネスの実現 鍵を握るのは「IoT」の要素 -
第7回
デジタル
「後付けIoT」手法が適しているケースとは? 過去の事例から知る -
第6回
デジタル
ビジネスとIoTが出会うとき ― 適しているのは「組み込み」か「後付け」か? -
第4回
デジタル
IoT設計/開発では特に大切な「セキュアバイデザイン」の考え方 -
第3回
デジタル
IoTシステムがサイバー攻撃に遭ったら? 提供側のビジネスリスクを考える -
第2回
デジタル
デバイスだけなら「ただのモノ」 IoTシステムは“3つの要素”で成り立つ -
第1回
デジタル
IoTは「モノのインターネット」ではない… だったら何なのか? -
デジタル
「エッジAI」がIoTシステムの適用範囲/ユースケースを拡大する