IoT 脆弱性診断 情報処理推進機構

IoTのセキュリティ設計において行うべき脆弱性への対応--IPA

独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは5月12日、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開した。

運用段階での対応

 製品出荷後の脆弱性の検出や新規発見に備えて、また検出・新規発見が生じた際の対応として、IoTの運用段階にも下記のような対策の実施が求められる。製品出荷前に特別な断り書きをしていない限り、製品の動作保証をしているサポート期間中は、望ましい対応とは何か下記に提案する。

継続的な脆弱性対策情報の収集

 出荷した製品自体、製品開発に利用した外部のソフトウェア部品において、新たな脆弱性が検出・発見されていないか、継続的な脆弱性対策情報の収集が必要となる。

脆弱性対策情報(更新ソフトウェアを含む)の作成

 新たな脆弱性が検出・発見された場合、脆弱性対策情報(脆弱性の概要、深刻度、影響を受ける範囲、想定される影響、対策等)を作成する。

 ソフトウェア(ファームウェア)上の脆弱性の場合、通常の対策は、脆弱性を解消した更新ソフトウェア(アップデート)を提供し、利用者に適用してもらうこと。なお、更新ソフトウェアの提供までに時間を要する場合や、利用者がすぐに更新を適用できないと考えられる場合は、他の回避策(例えば、製品の特定の機能をオフにして脆弱性の影響を受けないように抑止する)を準備する。

脆弱性対策情報の利用者への通知

 脆弱性対策情報が作成できたら、速やかに、確実に利用者に通知すること。また、脆弱性情報が公知になった際に、悪用される危険性が高まるため、一斉に伝えられるようにしておくことが望まれる。なお、周知を図る手段の一つとして、IPAの脆弱性届出制度も活用できる。

更新ソフトウェアの製品への適用

 更新ソフトウェアを提供した場合、すみやかに、利用者に確実に適用してもらうことが重要となる。IT技術に不慣れな利用者が使用する可能性がある製品や、利用者における更新ソフトウェアの適用が容易でない製品の場合、通信路や放送電波等による遠隔操作によって自動的に更新ソフトウェアを適用する方法が考えられる。

 この場合、製品出荷時の時点において、製品が自動更新機能を有していることを、取扱い説明書への分かり易い記載で利用者に適切に告知しておくことが望まれる。また、更新によって製品の持つ機能が変更される場合は、自動更新を避けて、利用者の了承を得る確認プロセスの後、更新を適用する様に実施することが望まれる。

 なお、利用者における更新ソフトウェアの適用が困難な製品の場合やハードウェアの脆弱性の場合、IoTの製品分野によっては、リコールを実施し、製品を一旦回収してアップデート・改修作業を実施する可能性についても、考慮しておく必要があるとした。

「IoT」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
IoT
ドローン
ロボット
VR・AR
AI・機械学習
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅
  2. 仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム
  3. スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る
  4. Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に
  5. 偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]