総務省が「IoTセキュリティ総合対策」を発表。その中身とは?
1. 急務となるIoT機器のセキュリティ対策
IoT機器の発展と普及に伴い、IoT機器の情報セキュリティ上の脆弱性が問題になっています。サイバー攻撃の侵入経路として狙われたり、踏み台として利用されDDoS攻撃に加担するケースも増加しています。総務省は9月、ICT-ISACや横浜国立大学等と連携し、水道や電力、鉄道などの重要インフラを中心に、IoT機器の脆弱性調査を開始しました[1]。さらに今月3日、IoT機器に対するサイバーリスクへの総合的な対策をまとめた「IoTセキュリティ総合対策」を発表。今回はこの対策の主要キーワードをまとめます。
2. 「IoTセキュリティ総合対策」まとめ
(1) 脆弱性対策に係る体制の整備
◆認証マーク
設計・製造からエンドユーザーの利用まで製品のライフサイクル全体を見通した対策が重要。設計・製造の段階から、安全な所有・運用・利用を見越した設計が求められる。こうした「セキュリティ・バイ・デザイン」のアイデアが反映された機器に認証マークを付与し、利用者が安全な機器を容易に選べるよう認証マークの認知を広め、使用を推奨する。
◆セキュアゲートウェイ
情報セキュリティ対策の不十分なIoT機器をオンラインのネットワークに持ち込ませないための、セキュアゲートウェイの設置を総務省主体で実証し検証する。
◆検査・チェック体制
継続的な安全性を実現するため、セキュリティ検査の仕組みを整備する。また利用者がIoT機器の脆弱性を簡単にチェックできるソフト等を開発する。
◆データベース化
重要インフラを担うIoT機器に関する調査結果をデータベース化し、製造等に生かす。
(2) 研究開発の推進
◆産学官連携
政府のサイバーセキュリティ戦略本部と、情報セキュリティを実践する現場が情報共有を行い、国全体の情報セキュリティ技術を効率的に研究・開発していく。
◆スマートシティ
将来スマートシティを実現する基盤のプラットフォームに対する情報セキュリティ技術の開発に努める。
◆AI
AIを活用したサイバー攻撃の検知・解析により多様なサイバー攻撃への対応を可能にするため、情報・データの収集・共有の環境を整える。
(3) 民間企業等におけるセキュリティ対策の促進
◆税制優遇
企業における情報セキュリティの向上を目指し、高レベルのサイバーセキュリティ対策に必要なシステムの構築やサービスの利用に対し税制優遇措置を検討する。
◆情報開示・共有とサイバー保険
日本企業全体の情報セキュリティレベル向上のため、セキュリティ対策に関する情報開示と事業者間の情報共有を企業に求めていく。併せてサイバー保険の普及のあり方についても検討する。
◆公衆無線LAN
2020年に向け環境を整える公衆無線LANについて、必要な情報セキュリティ対策を実施する。
(4) 人材育成の強化
◆サイバー演習
NICT(情報通信研究機構)が主体となり、国の行政機関や地方自治体、重要インフラ事業者を対象に、サイバー攻撃を想定した演習を実施していく。
◆人材育成
将来サイバーセキュリティのコア技術を開発できる若年層の育成に注力し、研修や海外派遣などを実施する。また、IoT技術により新たに通信に関する知識が求められる業界において、IoTセキュリティ人材を育成するための環境を整備する。
(5) 国際連携の推進
◆ASEAN・ISAC
国際的な枠組みにおいても、各国と連携し、情報の共有やサイバーセキュリティ対策の向上を目指す。
◆国際ルール・標準化
サイバー空間における国際ルールついて、また国際標準化機構(ISO)と国際電気標準会議(IEC)、国際電気通信連合の電気通信標準化部門(ITU-T)で進められる国際標準化の議論に積極的に参画していく。
総務省は、高い情報セキュリティ対策が求められる2020年の東京オリンピックに向け、半年に1度検証を行い変化する状況に合わせて見直しを図るとしています。国家戦略の一部として、ますます重要性が高まるIoTセキュリティ。今後さまざまな事業者が一丸となって対策が求められそうです。
(文/星野みゆき 画像/© wladimir1804 – Fotolia)
参考:
[1] 総務省. (2017). IoT機器に関する脆弱性調査等の実施
http://www.soumu.go.jp/menu_news/s-news/02ryutsu03_04000088.html
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000126.html
