IoT開発におけるセキュリティ設計の基礎を学べるIPAのガイド
IoTシステムの設計フェーズで特に検討すべきことを網羅したガイドとしては、IPA(情報処理推進機構)の「IoT開発におけるセキュリティ設計の手引き」があります。前述の経産省ガイドは“経営者を含む全社向け”のものでしたが、こちらは“設計者/開発者向け”の技術的指針です。
○IPA(情報処理推進機構)「IoT開発におけるセキュリティ設計の手引き」(2024年3月版)
IPA(情報処理推進機構)「IoT開発におけるセキュリティ設計の手引き」の表紙と目次
ただしこの手引書は、指針として基礎的、概論的な内容にとどまっており、より具体的に「この対策を実施すべき」といったガイダンスはありません。そのように深掘りできない理由は、一口に「IoTシステム/IoTデバイス」と言っても、適用分野によってまったく異なる技術要素で構成されるからです。
たとえば、この手引書で「脅威分析と対策検討の実施例」として掲載されている5領域(デジタルテレビ/ヘルスケア機器とクラウドサービス/スマートハウス/コネクテッドカー)のシステム構成、発生しうる脅威の図版を見比べると、検討すべきポイントがそれぞれまったく違うことが分かります。
「ヘルスケア機器とクラウドサービス」「コネクテッドカー」それぞれの、脅威と対策の検討例
したがって、この手順書をIoTセキュリティ設計の“基礎編”として読み、適切な設計手順を理解したうえで、IoTの適用領域/業界ごとのより具体的なガイドラインやベストプラクティスを学んでいくという方針がよいでしょう。上述したとおり、この資料には国内/海外のガイドラインが多く掲載されていますので、ここからたどるのが近道のひとつだと思います。
この連載の記事
-
第10回
デジタル
IoTの“エッジ”とは何か? なぜエッジでのデータ処理が必要なのか? -
第9回
デジタル
なぜIoTビジネスは「現場」から生まれるのか 現実世界をデータ化し、制御できることの価値 -
第8回
デジタル
モノ(製品)を通じたサブスク型ビジネスの実現 鍵を握るのは「IoT」の要素 -
第7回
デジタル
「後付けIoT」手法が適しているケースとは? 過去の事例から知る -
第6回
デジタル
ビジネスとIoTが出会うとき ― 適しているのは「組み込み」か「後付け」か? -
第4回
デジタル
IoT設計/開発では特に大切な「セキュアバイデザイン」の考え方 -
第3回
デジタル
IoTシステムがサイバー攻撃に遭ったら? 提供側のビジネスリスクを考える -
第2回
デジタル
デバイスだけなら「ただのモノ」 IoTシステムは“3つの要素”で成り立つ -
第1回
デジタル
IoTは「モノのインターネット」ではない… だったら何なのか? -
デジタル
「エッジAI」がIoTシステムの適用範囲/ユースケースを拡大する