企業がIoTを導入する際に活用できるチェックシートを改訂（JSSEC）

一般社団法人日本スマートフォンセキュリティ協会（JSSEC）は2月28日、「IoTセキュリティチェックシート第二版」を公開した。同チェックシートは、一般企業がIoTを利用・導入する際に検討すべきことを網羅的にまとめたもので、第一版と置き換わるもの。IoTのセキュリティ対策において、IT担当者とOT担当者の共通言語となることを目的としている。2018年3月に公開された第一版に続き、JSSECの利用部会「IoT調査・研究タスクフォース（TF）」によって作成された。

同利用部会の部会長である、株式会社ラックの後藤悦夫氏は、「チェックシートの第一版は、IoT推進コンソーシアムによる『IoTセキュリティガイドライン』を深読みし、利用企業として検討すべき項目を洗い出すことを目的としていた」という。当時からIoTに関するガイドラインは複数存在していたが、利用者視点のガイドがなかった。そこで、利用者視点があり、IoTサービス関係者の全レイヤを網羅していることなどから、IoTセキュリティガイドラインをベースにしたとしている。

また後藤氏は、第一版は「まずは作成して有用性を確認することも目的のひとつだった」としており、利用可否を評価した上で改定と解説編を作成することが前提であった。第一版におけるさまざまな意見交換では、「分かりやすい」「自分たちが考えていたことと同じ内容が多く、安心した」「終了期限や廃棄期限について気づきがあった」といった評価があったという。同時に「解説があると企業担当者でも理解しやすくなる」「対策のヒントがあると助かる」といった声もあった。

そこで第二版では、重要インフラ向けの国際的なセキュリティフレームワークとしてNational Institute of Standards and Technology（NIST）のCybersecurity Framework（CSF）を参照した。これにより、平常時における対策だけでなく、非常時の対応・復旧といった実践的な観点が加わり、国際的な整合性が向上させた。具体的には、第一版が「方針」「分析」「設計」「構築・接続」「運用・保守」「一般利用者のためのルール」という構成だったのが、第二版では「識別」「防御」「検知」「対応」「復旧」の構成となり、解説編が加わった。

第二版の活用イメージとしては、「社内IoT導入推進者の検討のベース」「社内の経営層などへの報告時の指標（ものさし）」「IoT構築ベンダとの確認用」を挙げている。特に、IoT導入の鍵となる「IT：情報システム系」と「OT：設備システム系」のコラボレーションによる効果的なセキュリティ対策の検討に活用して欲しいと後藤氏は述べている。

第二版では、前述のNIST-CSFの5機能を基本に23のカテゴリーを設定することで、分かりやすくし、企業のIoT推進者や管理者の視点で検討すべき60項目を記載した。また、項目ごとに「PoCまたは補助的」「基幹ビジネス」「重要ビジネス」の推奨レベルを明記することで、導入するIoTの用途などに合わせて選べるようにした。さらに、チェックシートの利用者が検討内容（採用理由や追加項目など）を記載できるメモの枠も設けた。

チェックシート第二版は、2月28日よりJSSECのホームページに掲載し、PDFあるいはExcelファイルによるダウンロードが可能となる。また、解説編はBeta版として公開し、広く意見を募集した上で、FAQとともに4月1日に正式版を公開する予定。また来年度は、チェックシートの普及・啓発を目的に活動する予定で、勉強会やセミナーへの講師派遣なども検討するとしている。