我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法 | ScanNetSecurity
2021.06.20(日)

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

セキュリティ対策の必要性は認知されているものの、実際の対策はどうすればいいのかという現実的な課題がハードルとなっている企業は少なくない。そういった企業こそ、このJSSECの「IoTセキュリティチェックシート」のようなツール(道具)が有効である。

研修・セミナー・カンファレンス セミナー・イベント
IoT Security Forum 2020 ONLINE
IoT Security Forum 2020 ONLINE 全 5 枚 拡大写真
 企業はIoTセキュリティをどう考えていけばいいのか。

 そのヒントのひとつとなるのが、2020年の年の瀬に開催された「IoT Security Forum 2020 ONLINE」で行われた日本スマートフォンセキュリティ協会(JSSEC)の講演だ。

 「『IoTセキュリティチェックシートの最新版と動画セミナーのご紹介』 ~ 企業が安心・安全にIoTを活用するために求められていることは~」と題された講演には、JSSEC 利用部会 部会長 後藤 悦夫 氏(株式会社ラック)が登壇し、JSSECが自ら編纂した「IoTセキュリティチェックシート第2.1版」の概要や具体的な使い方がつまびらかにされた。「ピンチをチャンスに変え」ようとする後藤氏の講演の模様をレポートする。

IoT Security Forum 2020 ONLINE
 日本スマートフォンセキュリティ協会(JSSEC)は、2020年1月にIoTセキュリティに関するウェブアンケートを実施している。アンケートによれば、家庭でなんらかのIoT機器を利用している割合は17.6%となり、企業利用の11.5%を上回った。IoT利用は企業より一般家庭のコンシューマユースのほうが多い現状が明らかになった。AIスピーカーやネット家電の普及が市場を牽引していと考えられるが、この波は今後企業にも広がると見られる。DX(デジタルトランスフォーメーション)が進む過程で、PCやサーバー以外のさまざまなSIM搭載のIoT機器がネット接続され、クラウドとデータ通信をはじめることが予想される。

IoT利用調査結果(1)普及(全体調査)
IoT利用調査結果(先進利用者調査)
 後藤氏は「IoT(Internet of Things)という用語はIT(Information Technology)とOT(Operational Technology)の組み合わせで出来ている。セキュリティ対策でもIT(業務系)とOT(ものづくり・制御系)の連携と調和がポイントとなる」とSecurity by IOTの考え方を示した。

 IoTのセキュリティを考える場合、IT側はインターネットやITの知見を生かし、OT側はITセキュリティと現場セキュリティの融合を目指すことが重要だ。特にITセキュリティに馴染みの薄いOT側は、情報セキュリティについて知ることが重要となる。

 JSSECでは、そのために「IoTセキュリティチェックシート」を企画製作し、無料で公開配布を行っている。シートはA3用紙1枚の両面印刷形式のデータが公開されており、これを自由にダウンロードして利用する。アンケート式のチェック項目を埋めていけば、自組織に必要なセキュリティ対策や弱点、強みなどが見えてくる。

 チェックシートは、NIST-CSF(米国国立標準研究所 サイバーセキュリティフレームワーク)をベースに5つの機能(識別・防御・検知・対応・復旧)と23のカテゴリに整理されている。管理者の視点で検討すべき点や、重要度別の推奨項目などが分析できる。最新の第2.1版は分析項目を、IT主体、OT主体、ITとOT連携の3つに色分けしており、後藤氏の言う「Security by IOT」のコンセプトを生かしやすくなっている。

効果的なIoTセキュリティ(改訂)
 後藤氏は「シートの項目をすべて埋める必要はなく、自社の状況を客観的に可視化して把握することが重要。その上で、できるところから対策や改善に着手するとよい」とアドバイスする。チェックシートの具体的な使い方の解説ドキュメントも公開配布されている。

 さらに、COVID-19の影響でオンサイトのセミナーや啓発活動実施が難しくなっていることから、JSSECでは6本のオンラインセミナーを開催、動画として公開している。奇しくも今回のIoT Security Forumの開催テーマは、「ピンチはチャンスに変えられる」と題された。これまで主に都内近郊や地方大都市で開催されていたさまざまな講演や研修が、感染予防対策によって続々とオンライン化され動画アーカイブ化されることで、全国どこからでも時間を選ばず高品質なコンテンツにアクセスできるようになったことは、ピンチがチャンスになった好例でもある。JSSECのオンラインセミナーはいずれも15分程度。短すぎて中身のない出オチ動画でもなく、要点が絞られていない長時間ファイルでもない「ちょうどいい長さ」だ。セミナーで用いられているスライドをPDFダウンロードすることもできる親切なサービスもある。

効果的なIoTセキュリティ(動画)
 前述のアンケートでは、70%近くの回答者が、家庭や職場でIoTのセキュリティになんらかの不安を感じているということが明らかになっている。セキュリティ対策の必要性は認知されているものの、実際の対策はどうすればいいのかという現実的な課題がハードルとなっている企業は少なくない。そういった企業こそ、このJSSECの「IoTセキュリティチェックシート」のようなツール(道具)が有効である。

 チェックシートの問いに応えていくことで、導入段階の最初の壁である「何がわからないのかわからない」袋小路を突破できるはずだ。オンラインセミナー動画と併用すれば、時短や深い理解など、より高い効果が期待できる。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  2. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  7. イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

    イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

  8. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  9. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  10. PDF の契約書を署名段階で改竄、「邪悪なる注釈」そして「密かなる署名」攻撃とは? ~ 26 種類の PDF ソフトのうち 24 にオマケの脆弱性も

    PDF の契約書を署名段階で改竄、「邪悪なる注釈」そして「密かなる署名」攻撃とは? ~ 26 種類の PDF ソフトのうち 24 にオマケの脆弱性も

ランキングをもっと見る