我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法 | ScanNetSecurity
2021.03.07(日)

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

セキュリティ対策の必要性は認知されているものの、実際の対策はどうすればいいのかという現実的な課題がハードルとなっている企業は少なくない。そういった企業こそ、このJSSECの「IoTセキュリティチェックシート」のようなツール(道具)が有効である。

研修・セミナー・カンファレンス セミナー・イベント
IoT Security Forum 2020 ONLINE
IoT Security Forum 2020 ONLINE 全 5 枚 拡大写真
 企業はIoTセキュリティをどう考えていけばいいのか。

 そのヒントのひとつとなるのが、2020年の年の瀬に開催された「IoT Security Forum 2020 ONLINE」で行われた日本スマートフォンセキュリティ協会(JSSEC)の講演だ。

 「『IoTセキュリティチェックシートの最新版と動画セミナーのご紹介』 ~ 企業が安心・安全にIoTを活用するために求められていることは~」と題された講演には、JSSEC 利用部会 部会長 後藤 悦夫 氏(株式会社ラック)が登壇し、JSSECが自ら編纂した「IoTセキュリティチェックシート第2.1版」の概要や具体的な使い方がつまびらかにされた。「ピンチをチャンスに変え」ようとする後藤氏の講演の模様をレポートする。

IoT Security Forum 2020 ONLINE
 日本スマートフォンセキュリティ協会(JSSEC)は、2020年1月にIoTセキュリティに関するウェブアンケートを実施している。アンケートによれば、家庭でなんらかのIoT機器を利用している割合は17.6%となり、企業利用の11.5%を上回った。IoT利用は企業より一般家庭のコンシューマユースのほうが多い現状が明らかになった。AIスピーカーやネット家電の普及が市場を牽引していと考えられるが、この波は今後企業にも広がると見られる。DX(デジタルトランスフォーメーション)が進む過程で、PCやサーバー以外のさまざまなSIM搭載のIoT機器がネット接続され、クラウドとデータ通信をはじめることが予想される。

IoT利用調査結果(1)普及(全体調査)
IoT利用調査結果(先進利用者調査)
 後藤氏は「IoT(Internet of Things)という用語はIT(Information Technology)とOT(Operational Technology)の組み合わせで出来ている。セキュリティ対策でもIT(業務系)とOT(ものづくり・制御系)の連携と調和がポイントとなる」とSecurity by IOTの考え方を示した。

 IoTのセキュリティを考える場合、IT側はインターネットやITの知見を生かし、OT側はITセキュリティと現場セキュリティの融合を目指すことが重要だ。特にITセキュリティに馴染みの薄いOT側は、情報セキュリティについて知ることが重要となる。

 JSSECでは、そのために「IoTセキュリティチェックシート」を企画製作し、無料で公開配布を行っている。シートはA3用紙1枚の両面印刷形式のデータが公開されており、これを自由にダウンロードして利用する。アンケート式のチェック項目を埋めていけば、自組織に必要なセキュリティ対策や弱点、強みなどが見えてくる。

 チェックシートは、NIST-CSF(米国国立標準研究所 サイバーセキュリティフレームワーク)をベースに5つの機能(識別・防御・検知・対応・復旧)と23のカテゴリに整理されている。管理者の視点で検討すべき点や、重要度別の推奨項目などが分析できる。最新の第2.1版は分析項目を、IT主体、OT主体、ITとOT連携の3つに色分けしており、後藤氏の言う「Security by IOT」のコンセプトを生かしやすくなっている。

効果的なIoTセキュリティ(改訂)
 後藤氏は「シートの項目をすべて埋める必要はなく、自社の状況を客観的に可視化して把握することが重要。その上で、できるところから対策や改善に着手するとよい」とアドバイスする。チェックシートの具体的な使い方の解説ドキュメントも公開配布されている。

 さらに、COVID-19の影響でオンサイトのセミナーや啓発活動実施が難しくなっていることから、JSSECでは6本のオンラインセミナーを開催、動画として公開している。奇しくも今回のIoT Security Forumの開催テーマは、「ピンチはチャンスに変えられる」と題された。これまで主に都内近郊や地方大都市で開催されていたさまざまな講演や研修が、感染予防対策によって続々とオンライン化され動画アーカイブ化されることで、全国どこからでも時間を選ばず高品質なコンテンツにアクセスできるようになったことは、ピンチがチャンスになった好例でもある。JSSECのオンラインセミナーはいずれも15分程度。短すぎて中身のない出オチ動画でもなく、要点が絞られていない長時間ファイルでもない「ちょうどいい長さ」だ。セミナーで用いられているスライドをPDFダウンロードすることもできる親切なサービスもある。

効果的なIoTセキュリティ(動画)
 前述のアンケートでは、70%近くの回答者が、家庭や職場でIoTのセキュリティになんらかの不安を感じているということが明らかになっている。セキュリティ対策の必要性は認知されているものの、実際の対策はどうすればいいのかという現実的な課題がハードルとなっている企業は少なくない。そういった企業こそ、このJSSECの「IoTセキュリティチェックシート」のようなツール(道具)が有効である。

 チェックシートの問いに応えていくことで、導入段階の最初の壁である「何がわからないのかわからない」袋小路を突破できるはずだ。オンラインセミナー動画と併用すれば、時短や深い理解など、より高い効果が期待できる。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

    公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

  2. 標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

    標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

  3. 日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

    日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

  4. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  5. 英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

    英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

  6. クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

    クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

  7. 日本ハッカー協会杉浦氏が OSINT を解説、メールアドレスでここまで情報が入手可能

    日本ハッカー協会杉浦氏が OSINT を解説、メールアドレスでここまで情報が入手可能

  8. メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

    メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

  9. ビジネス OSINT とは何か? 経営に正しく役立てる方法  ~  日本ハッカー協会 代表理事 杉浦氏講演

    ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演

  10. VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認

    VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認

ランキングをもっと見る