HOME情報セキュリティ情報セキュリティ対策IoT「IoT開発におけるセキュリティ設計の手引き」を公開

本文を印刷する

情報セキュリティ

「IoT開発におけるセキュリティ設計の手引き」を公開

最終更新日:2017年1月30日
2016年5月12日公開
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。合わせて、3月にIPAソフトウェア高信頼化センターから発行した「つながる世界の開発指針」との対応表も公開しています。

概要

 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネットワークでつながることで生じうる様々な脅威や、それらを原因とするリスクや被害を予め踏まえておく必要があります。

 本手引きでは、以下を掲載しています。

脅威とリスクを整理し、課題を抽出

 本手引きでは、IoTの構成要素を「サービス提供サーバ・クラウド」「中継機器」「システム」「デバイス」「直接相互通信するデバイス」の5つに分類して定義し、IoTの全体像をモデル化しました。その上で、各構成要素における課題の抽出・整理を行いました。

IoTの全体像
iotモデル

IoTにおけるセキュリティ設計を解説

 抽出された課題を踏まえ、IoT機器やサービスのセキュリティ設計にあたって行うべき「脅威分析」「対策検討」「脆弱性への対応」について解説しています。「対策の検討」では、主なセキュリティ対策候補の一覧を掲載し、どの対策がどのような脅威に有効かを例示することで、対策検討時の参考になるようにしています。

具体的な脅威分析・対策検討の実施例を図解

 これ迄に蓄積してきた知見を基に、「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」の4分野を例に、具体的な脅威分析と対策検討の実施例を図解しています。
 図解では、脅威が想定される箇所と、認証や暗号化など有効な対策を明確化するとともに、業界のセキュリティガイドで述べられている要件との対応をマッピングしています。このような図解が、網羅的にセキュリティ要件を整理することが困難な組織や、今後IoTビジネスを模索する組織にとって、安全な機器・サービスの検討の材料になると考えています。

セキュリティの根幹を支える暗号技術の実装チェックリストを提供

 暗号技術は、IoT機器やサービスのセキュリティを実現する上で根幹を為すものです。本手引きでは、暗号技術が適切に実装されているか、安全性を客観的に確認するためのチェックリストを付録として添付しました。開発者はこれを参照して暗号技術の利用・運用方針を明確化し、その安全性を評価することが容易になります。

目次

  公開にあたって
  1. はじめに
   1.1 IoTのセキュリティの現状と課題
   1.2 本書のねらい
  2. 本書におけるIoTの定義
   2.1 サービス提供サーバ・クラウド
   2.2 中継機器
   2.3 システム
   2.4 デバイス
   2.5 直接相互通信するデバイス
  3. IoTのセキュリティ設計
   3.1 脅威分析
   3.2 セキュリティ対策の検討
   3.3 脆弱性への対応
    3.3.1 開発段階での対応
    3.3.2 運用段階での対応
    3.3.3 IPAが提供するコンテンツの活用
  4. IoT関連のセキュリティガイド
   4.1 OWASP Internet of Things Project
   4.2 OTA IoT Trust Framework
   4.3 GSMA IoT Security Guidelines
  5. IoTシステムにおける脅威分析と対策検討の実施例
   5.1 デジタルテレビ
   5.2 ヘルスケア機器とクラウドサービス
   5.3 スマートハウス
   5.4 コネクテッドカー
  6. IoTセキュリティの根幹を支える暗号技術
  参考文献
  付録A. OWASP Internet of Things Projectの成果概要
  付録B. OTA IoT Frameworkの概要
  付録C. IoTにおける暗号技術利用チェックリスト
  付録D.「つながる世界の開発指針」と本書の対応

「つながる世界の開発指針」と対応

 本書は、2016年3月24日にIPAソフトウェア高信頼化センターが公開した IoT製品を安全に開発するための17の指針 に対し、具体的なセキュリティ設計と実装を実現するための手引きとの位置付けです。本書の公開に合わせ、17の指針との対応表も公開しています。

 開発指針と本手引きの活用がIoT機器・サービスのセキュアな実装と運用の一助となり、今後の安全なIoTの普及に役立つことを期待します。

資料のダウンロード

関連リンク

 IoTのセキュリティに関するIPAの調査報告書やガイドライン、海外動向等を IoTのセキュリティ で紹介しています。合わせて参考にしてください。

本件に関するお問い合わせ先

 IPA 技術本部 セキュリティセンター 金野/辻/岡下
 Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:

報道関係からのお問い合わせ先

 戦略企画部 広報グループ 山北/白石
 Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: メール

更新履歴

2016年6月6日 CRYPTREC暗号リストの更新(2016年5月16日)に伴う同リストへの参照更新、その他の誤字修正
2016年8月1日 OTA IoT Trust Frameworkの更新(2016年7月12日)の反映、その他の誤字修正
2016年12月28日
(2017年1月30日公開)
IoT 構成要素の定義修正、セキュリティ設計手順の記載箇所移動、脅威分析と対策検討の実施例における主要脅威・対策の記述修正、The OWASP Internet of Things Project のプロジェクト構成変更(2016年8月10日)の反映、OTA IoT Trust Framework の更新(2016年9月21日)の反映、その他の誤字修正