我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法 | ScanNetSecurity
2024.04.26(金)

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

セキュリティ対策の必要性は認知されているものの、実際の対策はどうすればいいのかという現実的な課題がハードルとなっている企業は少なくない。そういった企業こそ、このJSSECの「IoTセキュリティチェックシート」のようなツール(道具)が有効である。

研修・セミナー・カンファレンス セミナー・イベント
facebookLINE
PR
IoT Security Forum 2020 ONLINE
IoT Security Forum 2020 ONLINE 全 5 枚 拡大写真
 企業はIoTセキュリティをどう考えていけばいいのか。

 そのヒントのひとつとなるのが、2020年の年の瀬に開催された「IoT Security Forum 2020 ONLINE」で行われた日本スマートフォンセキュリティ協会(JSSEC)の講演だ。

 「『IoTセキュリティチェックシートの最新版と動画セミナーのご紹介』 ~ 企業が安心・安全にIoTを活用するために求められていることは~」と題された講演には、JSSEC 利用部会 部会長 後藤 悦夫 氏(株式会社ラック)が登壇し、JSSECが自ら編纂した「IoTセキュリティチェックシート第2.1版」の概要や具体的な使い方がつまびらかにされた。「ピンチをチャンスに変え」ようとする後藤氏の講演の模様をレポートする。

IoT Security Forum 2020 ONLINE
 日本スマートフォンセキュリティ協会(JSSEC)は、2020年1月にIoTセキュリティに関するウェブアンケートを実施している。アンケートによれば、家庭でなんらかのIoT機器を利用している割合は17.6%となり、企業利用の11.5%を上回った。IoT利用は企業より一般家庭のコンシューマユースのほうが多い現状が明らかになった。AIスピーカーやネット家電の普及が市場を牽引していと考えられるが、この波は今後企業にも広がると見られる。DX(デジタルトランスフォーメーション)が進む過程で、PCやサーバー以外のさまざまなSIM搭載のIoT機器がネット接続され、クラウドとデータ通信をはじめることが予想される。

IoT利用調査結果(1)普及(全体調査)
IoT利用調査結果(先進利用者調査)
 後藤氏は「IoT(Internet of Things)という用語はIT(Information Technology)とOT(Operational Technology)の組み合わせで出来ている。セキュリティ対策でもIT(業務系)とOT(ものづくり・制御系)の連携と調和がポイントとなる」とSecurity by IOTの考え方を示した。

 IoTのセキュリティを考える場合、IT側はインターネットやITの知見を生かし、OT側はITセキュリティと現場セキュリティの融合を目指すことが重要だ。特にITセキュリティに馴染みの薄いOT側は、情報セキュリティについて知ることが重要となる。

 JSSECでは、そのために「IoTセキュリティチェックシート」を企画製作し、無料で公開配布を行っている。シートはA3用紙1枚の両面印刷形式のデータが公開されており、これを自由にダウンロードして利用する。アンケート式のチェック項目を埋めていけば、自組織に必要なセキュリティ対策や弱点、強みなどが見えてくる。

 チェックシートは、NIST-CSF(米国国立標準研究所 サイバーセキュリティフレームワーク)をベースに5つの機能(識別・防御・検知・対応・復旧)と23のカテゴリに整理されている。管理者の視点で検討すべき点や、重要度別の推奨項目などが分析できる。最新の第2.1版は分析項目を、IT主体、OT主体、ITとOT連携の3つに色分けしており、後藤氏の言う「Security by IOT」のコンセプトを生かしやすくなっている。

効果的なIoTセキュリティ(改訂)
 後藤氏は「シートの項目をすべて埋める必要はなく、自社の状況を客観的に可視化して把握することが重要。その上で、できるところから対策や改善に着手するとよい」とアドバイスする。チェックシートの具体的な使い方の解説ドキュメントも公開配布されている。

 さらに、COVID-19の影響でオンサイトのセミナーや啓発活動実施が難しくなっていることから、JSSECでは6本のオンラインセミナーを開催、動画として公開している。奇しくも今回のIoT Security Forumの開催テーマは、「ピンチはチャンスに変えられる」と題された。これまで主に都内近郊や地方大都市で開催されていたさまざまな講演や研修が、感染予防対策によって続々とオンライン化され動画アーカイブ化されることで、全国どこからでも時間を選ばず高品質なコンテンツにアクセスできるようになったことは、ピンチがチャンスになった好例でもある。JSSECのオンラインセミナーはいずれも15分程度。短すぎて中身のない出オチ動画でもなく、要点が絞られていない長時間ファイルでもない「ちょうどいい長さ」だ。セミナーで用いられているスライドをPDFダウンロードすることもできる親切なサービスもある。

効果的なIoTセキュリティ(動画)
 前述のアンケートでは、70%近くの回答者が、家庭や職場でIoTのセキュリティになんらかの不安を感じているということが明らかになっている。セキュリティ対策の必要性は認知されているものの、実際の対策はどうすればいいのかという現実的な課題がハードルとなっている企業は少なくない。そういった企業こそ、このJSSECの「IoTセキュリティチェックシート」のようなツール(道具)が有効である。

 チェックシートの問いに応えていくことで、導入段階の最初の壁である「何がわからないのかわからない」袋小路を突破できるはずだ。オンラインセミナー動画と併用すれば、時短や深い理解など、より高い効果が期待できる。

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  4. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  7. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  8. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  9. Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

    Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

  10. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

ランキングをもっと見る
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事
TOP