IoT機器のセキュリティ確保が求められる背景とは
通信技術が急速に進化する中、IoTの普及も飛躍的に進んでいます。世界中にIoT機器が広く浸透したことで、これらの機器を標的としたサイバー攻撃の脅威も大きく高まっています。
この脅威に対応するため、世界各国で法律による規制強化の動きが活発化しています。EUでは2022年に「EUサイバーレジリエンス法」法案が提案され、2027年の適用を目指しています。アメリカではIoT機器のラベリングプログラムが2024年中に開始される見込みです。イギリスでは2024年4月から「PSTI法」が施行され、IoT機器などのメーカーにセキュリティ要件の遵守が求められるようになりました。
このような世界的なサイバーセキュリティ規制の厳格化に伴い、日本のメーカーも対象国への輸出製品について、これらの規制に適合したセキュリティ対策を行う必要が生じています。日本国内でも、電気通信事業法で一部のIoT機器に最低限のセキュリティ対策実装が義務付けられ、経産省が「IoTセキュリティガイドライン」を策定するなど、規制の厳格化が進んでいます。
IoT機器のセキュリティ確保の重要性は、サイバー攻撃の脅威増大と世界的な規制強化を背景に、近年ますます高まっています。従来は自動車や医療機器など、セキュリティインシデントが人命に関わる可能性のある特定分野に限られていた厳格な規制が、現在では幅広い分野に拡大しています。
このように、IoT機器のセキュリティは特定の業界だけでなく、あらゆる分野で取り組むべき重要な課題となっています。IoT技術の発展と普及に伴い、セキュリティ対策の重要性は今後さらに高まることが予想されます。
IoT機器セキュリティの課題
IoT機器のセキュリティ対策には、その特性ゆえに多くの課題があります。まず、IoT機器の大量生産という特徴から生じる問題があります。コスト削減のため、多くのIoT機器は汎用OSを使用せざるを得ず、これがサイバー攻撃の標的となりやすいという課題があります。
次に、IoT機器の脆弱性対策の難しさがあります。新たな脆弱性が発見された場合、大量に市場に出回ったIoT機器のソフトウェアを無線ネットワーク経由で更新する必要があります。自動車などではOTA(Over the Air)技術が重要になりますが、この更新機能自体もサイバー攻撃のリスクにさらされるため、追加のセキュリティ対策が必要となります。
さらに、IoT機器のファームウェア管理の複雑さも課題です。新しいファームウェアがリリースされるたびに、様々なバージョンが市場に混在することになります。メーカーは各バージョンの製品を同時に監視し、それぞれのリスクを特定して必要な修正を行う必要があります。この継続的な管理と更新作業は、IoT機器のセキュリティ維持において重要な課題となっています。
また、これまでネットワークセキュリティをあまり意識してこなかった分野、例えば自動販売機やPOS端末などのメーカーにも、セキュリティ対策の証明が求められるようになっています。これらのメーカーは、従来の製品開発スキルとは異なるセキュリティ関連のスキルを新たに獲得する必要があります。この課題に対しては、専門ツールの導入やセキュリティコンサルティング会社との連携が解決策となる可能性があります。
IoT機器セキュリティの法規制対応
IoT機器のセキュリティに関する法規制は、世界各国で急速に整備されつつあります。その中でも、最も重要な規制として注目されているのが「EUサイバーレジリエンス法」です。ヨーロッパに輸出されるすべてのIoT機器は、この法律の要件を満たす必要があります。
アメリカでも、IoT機器のセキュリティ強化に向けた取り組みが進んでいます。大統領令14028(米国サイバーセキュリティ大統領令)の発令や、IoT機器のラベリングプログラムの導入など、サイバーセキュリティの強化が推進されています。日本からIoT機器を輸出する際には、これらの規制に準拠することが不可欠です。さらに、日本国内でも海外の動向に追随する形で、IoT機器のサイバーセキュリティ対策に関する規制強化が進められています。
加えて、国際標準化機構(ISO)や国際電気標準会議(IEC)などが定める国際規格も、IoT機器のセキュリティ確保において重要な役割を果たしています。これらの規格は、グローバルな視点からIoT機器のセキュリティ基準を定めており、多くの国々の規制の基礎となっています。
今後、IoT機器のセキュリティに関する規制はさらに厳格化されると予想されます。IoT機器のメーカーや製品ベンダーは、これらの規制動向を常に注視し、適切に対応していく必要があります。セキュリティ対策は、単なる法令遵守の問題だけでなく、製品の信頼性や企業の競争力にも直結する重要な課題となっています。
IoT機器セキュリティに関する業界ごとのポイント
IoT機器セキュリティに関する業界ごとのポイントについて確認していきます。
製造業
IoT機器のセキュリティに対する製造業の取り組みは、製品の種類によって大きく異なります。一部の企業は高い意識を持って積極的に対策を講じている一方で、まだ十分な取り組みを行っていない企業も存在します。しかし、IoT機器の国際的な展開を考える上で、セキュリティ対策は避けて通れない課題となっています。
特に、IoT機器の輸出に関しては、各国の厳格な規制に準拠することが必須となっています。ヨーロッパ向けの輸出では「EUサイバーレジリエンス法」への準拠が必要不可欠です。この法律は、EU市場に出回るIoT機器のセキュリティ基準を定めており、すべての製造業者に遵守が求められています。アメリカ向けの輸出においては、「米国サイバーセキュリティ大統領令」に基づいたアメリカサイバートラストマーク(U.S. Cyber Trust Mark)を製品に添付することが必要です。さらに、イギリス向けの輸出では「PSTI法」への準拠が求められます。
日本国内においても、IoT機器のセキュリティ強化に向けた動きが加速しています。経済産業省が中心となって「IoT製品に対するセキュリティ適合性評価制度」の導入が検討されています。この制度が実施されれば、IoT機器の製造業者は自己適合宣言か第三者認証のいずれかを通じて、製品のセキュリティ適合性を証明する必要が生じます。
オートモーティブ
自動車業界は、IoT機器のセキュリティ対策において先駆的な役割を果たしており、早期からサイバーセキュリティに取り組んできました。
この分野の重要な規制と標準には、自動車の国際的な安全基準と環境基準の調和を目指すWP29(自動車基準調和世界フォーラム)があります。また、IoT技術を含む車両のライフサイクル全体のサイバーセキュリティ対策を定める国際規格ISO21434も重要です。ISO21434では、CSMS(Cyber Security Management System:サイバーセキュリティマネジメントシステム)への準拠が求められており、IoT機器のセキュリティ強化に貢献しています。
医療
医療機器関連も、オートモーティブ同様に、万が一のインシデントにおいて人命にかかわるリスクがあることから、さまざまな法規制が導入されています。国外では米国FDAの市販前セキュリティ対策や、製造業者向け市販前と医療機関を含む様々な関係者による市販後のセキュリティ対策へのアプローチが示されており、国内においては、薬機法で、医療機器のサイバーセキュリティへの対応が必須とされており、製品のライフサイクル全体を通してサイバーセキュリティ対策を講じることが必須とされています。
脆弱性の監視や、SBOMの作成なども義務付けられており、また医療機器を受け取った側(医療機関)にも管理・運用に一定の責任を課し、脆弱性情報やインシデント情報などを製品ベンダーなどと共有することが求められるなど、医療機器のEOSL後においても責任を持つため医療機関側の責任範囲も広くなっています。
なお、SBOMについては以下の記事で詳しく解説しています。
防衛
防衛関連においては、特殊な機器を扱っていることと、セキュリティに関しても外部には公開されないような秘匿性の高いものを扱うため、非常に高度なセキュリティ対策が求められます。
IoT機器におけるセキュリティとして有効なソリューションサービス
前述のようなIoT機器に関するサイバーセキュリティ対策では、市販後にはPSIRT(Product Security Incident Response Team:ピーサート)が重要な役割を担うことになります。製品のライフサイクル全体を通じて、プロセスと手順を確立し、コミュニケーション・プロセスを構築し、セキュリティの成熟度を向上させてサイバーセキュリティシステムのリスクを低減する必要があります。
PISRTについては以下の記事で詳しく解説しています。
PSIRTの重要な役割は、製品販売後において製品にセキュリティインシデントが発生した際に、いかに適切な対応ができるかです。さまざまな法規制や規約等によって、報告のポイントや対応方法が違っていますが、PSIRTはそれらに迅速に、適切に対応することが求められます。ところが、多くのPSIRTは、場当たり的な問題の解決や、非効率な手作業、SBOMを作成して保管しているというレベルにとどまっており、十分に役割を果たしているといえません。しかし、業務が多忙になる中で、ソフトウェアの脆弱性管理ひとつとっても、手作業で対応することは困難です。そうした状況下で威力を発揮するのが、丸紅情報システムズが扱っている「Cybellum」です。
「Cybellum」は、イスラエルのCybellum社が開発し、丸紅情報システムズが販売提供するソフトウェア脆弱性管理ソリューションで、自動車、医療機器、IoT機器などの製品ライフサイクルの中で、特に市販後における資産管理・製品資産の検査・法規対応・ガバナンス対応で威力を発揮します。「Cybellum」は、SBOM抽出、脆弱性検出、トリアージ、対策提示から対処管理、そして自動継続監視まで、ソフトウェアのセキュリティ対策をワンストップで実現するプラットフォームです。サイバーデジタルツインの中で製品と部品のアーキテクチャを表現し、それを簡単に組み替えて管理します。各部品のソフトウェアから必要なセキュリティ資産を特定し、製品のライフサイクルにおける継続的な脆弱性管理を複数のバージョンやブランチ、そしてその組み合わせにまたがって効率的に実施することができます。PSIRTは特定のリスクについて影響を受ける製品やその部品、バージョンまでも容易に特定することが可能になります。
また「Cybellum」は、各種の法規制に関して、事前に定義されたガイダンスを提供し、それらに対応する形で、プロダクトに関する資産についてリスクの特定やレポート作成、繰り返しの検査が可能で、PSIRTの業務効率を飛躍的に向上させることができます。
Cybellum お役立ち資料
Cybellumのカタログやホワイトペーパーをダウンロードいただけます。
