近年、産業機器や家電製品等は、これらの機器を制御するために機器の内部に組み込まれたコンピュータシステム、「組込みシステム」によって、高機能化や、ネットワークへの接続がなされています。このため、これらの機器に利用される組込みシステムもパソコンと同様、不正な利用を試みる第三者の攻撃ターゲットになりつつあります。
　しかし、組込みシステムの開発現場では、市場競争の激化による開発期間の短縮化やリソースの不足、開発途中での要求仕様や制約条件の変更等のために、セキュリティへの対応が後回しにされやすい現状があります。開発の最前線にいるエンジニアをはじめとして、責任者や経営陣がセキュリティに対してどのように取り組んでいくべきかが課題となっています。
　そこでIPAでは、開発プロジェクトの開発者・開発責任者・意志決定者（経営層）を対象として、組込みシステム開発関係者のセキュリティ意識向上と、よりセキュアな組込みシステムの実装を行うことを狙いとした、「組込みシステムのセキュリティへの取組みガイド」をまとめました。
　

【組込みシステムのライフサイクルにおける課題、対策等】

　本ガイドでは、組込みシステムのライフサイクルを「企画」、「開発」、「運用」、「廃棄」の4つのフェーズに分けると共に、組織としてライフサイクルを確実に実施するための重要な要素を「マネジメント」フェーズとして、それぞれについて説明しています。組込みシステムは製造メーカーにより企画・開発され、小売業者を経てユーザの手に渡り実際に運用されたのち、リサイクル業者等によって廃棄されます。組込みシステムに対する脅威は、運用フェーズだけでなく、その他のフェーズにおいても存在するため、それらのセキュリティ課題はあわせて解決しなければなりません。
　また、ライフサイクルの各フェーズにおける脅威と対策について述べるだけでなく、経営層・現場の双方が組込みシステムに関わる脅威を正しく認識し、「何をすべきか」を具体化するため、各フェーズにおけるセキュリティへの取組みの方針と、詳細な取組み内容を提示しています。

　具体的な項目は、以下の通りです。
１．マネジメント：セキュリティルール，セキュリティ教育，セキュリティ情報の収集
２．企画：予算
３．開発：設計，開発プラットフォーム選定，ソフトウェア実装，
　　　　　開発の外部委託における取組み，セキュリティ評価テスト・デバッグ，
　　　　　ユーザーガイド，工場生産管理
４．運用：セキュリティ上の問題への対応，ユーザへの通知方法と対策方法，
　　　　　脆弱性情報の活用
５．廃棄：機器廃棄方法の周知

【組織としての組込みシステムのセキュリティへの取組みに向けて】

　本ガイドでは、上述した15の項目ごとに、組込みシステム開発者としてのセキュリティへの取組み状況のレベルを把握するため、セキュリティへの取組み方法を4段階のレベルに分けた簡易チェック表としてまとめました。簡易チェック表を利用して自組織のレベルを把握し、上位のレベルを目指すことで、よりセキュアな開発体制を構築することが可能です。

　本ガイドは、平成18年度科学技術振興調整費プロジェクト「組込みシステム向け情報セキュリティ技術」の3年間（平成18年度〜20年度)の成果です。IPAでは今後も組込みシステムに関して、関係団体等と協力の下、利用者やメーカー、サービス事業者のセキュリティ対策の向上に向けた活動を継続していきます。

表紙・目次
第一章：はじめに
第二章：用語の定義
第三章：セキュリティへの取組みのレベルとは
第四章：各レベルの詳細
付録
　

• 組込みシステムのセキュリティへの取組みガイド (全43ページ、823KB）

（参考）

• プレスリリース全文（166KB）

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC） 小林／中野
TEL：03-5978-7527　FAX：03-5978-7518 E-mail：

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山／大海
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail: