HOME情報セキュリティ資料・報告書・出版物調査・研究報告書IoT製品・サービス開発者のセキュリティ対策と意識の調査結果などを公開

本文を印刷する

情報セキュリティ

IoT製品・サービス開発者のセキュリティ対策と意識の調査結果などを公開

最終更新日:2018年3月22日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 IPAは、「情報システム等の脆弱性情報の取扱いに関する研究会」における2017年度の活動成果としてとりまとめたIoT製品・サービス開発者のセキュリティ対策と意識を調査した報告書や、IoT製品・サービス脆弱性対応ガイドなどを公開しました。
 IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久慶應義塾大学名誉教授)において2015年度にとりまとめ公開した「新たな情報セキュリティ早期警戒パートナーシップ(*1)の基本構想」にあるパートナーシップ将来像の実現に向けたロードマップに則り、今年度は「IoT製品開発者への脆弱性対策の現状調査および対策促進資料の作成に向けた検討」および「IoT製品の脆弱性へのパートナーシップ対応のあり方に関する検討」などに取り組みました。2017年度の研究会の活動成果として、以下の報告書などを公開しました。
本ページメニュー

  ●IoT製品・サービス開発者におけるセキュリティ対策の現状と意識に関する報告書
  ●IoT製品・サービス脆弱性対応ガイド
  ●情報システム等の脆弱性情報の取扱いに関する研究会 2017年度報告書
  ●資料のダウンロード
  ●関連資料

IoT製品・サービス開発者におけるセキュリティ対策の現状と意識に関する報告書

 社会基盤を含む多様な分野においてITの利活用が本格的に進展し、IoT製品やIoTサービスの普及が急速に広がりつつあります。
 一方で小型なIoT製品においては、システムとしての資源が少ない事から十分なセキュリティ対策が取れない事や、市場での販売拡大を優先に価格を抑えるあまり、十分なセキュリティ対策を実装せずに開発される事が想定できます。またIoT製品からの情報を元にサービスを提供する上でも、IoTの脆弱性に起因する新たなセキュリティ上の問題も考えられます。
 この様な背景から IoT製品において脆弱性が発覚した際、根本的な脆弱性対策が実施できず、結果未対策な状態のIoT製品がインターネット上に増加する事が懸念されます。
 上記の問題意識から、IoT製品・サービス開発者における脆弱性対策の現状認識と課題等を明らかにするため、以下の調査を実施し「IoT製品・サービス開発者におけるセキュリティ対策の現状と意識に関する報告書」として取り纏め公開しました。
  • IoT製品の脆弱性に起因する問題事例に関する調査
  • IoT製品開発者を対象としたアンケート調査
  • IoT製品開発者を対象としたヒアリング調査

■報告書の構成(目次)

1. 調査概要
 1.1. 調査目的
 1.2. 調査方針
2. 問題事例調査
 2.1. 調査方針
 2.2. 調査結果
 2.3. まとめ
3. アンケート調査
 3.1. 調査方針
 3.2. 調査結果
 3.3. まとめ
4. ヒアリング調査
 4.1. 調査方針
 4.2. 調査結果
 4.3. まとめ
5. 参考1. IoT製品・サービスに関する脆弱性対策の実態調査 調査票
6. 参考2. アンケート回答企業の属性情報

資料はこちらをクリック

IoT製品・サービス脆弱性対応ガイド

 上記アンケート調査やヒアリング調査結果等を踏まえ、脆弱性対策の取組状況や課題、脆弱性による問題発生時の被害や知見など IoT製品・サービス開発者における脆弱性対策の促進に資する内容や、IoT製品・サービスの脆弱性がパートナーシップへ届け出られた際の対応内容を盛り込んだ「IoT製品・サービス脆弱性対応ガイド」を作成し公開しました。

IoT製品・サービスの脆弱性対応ガイド

■資料の構成(目次)

1. IoTに潜むリスク
 1.1. セキュリティ対策を行わないと・・・
 1.2. IoT製品・サービス提供企業によるセキュリティへの取組
 1.3. 必要性が増すIoTのセキュリティ対策
2. IoTが攻撃されたら
 2.1. 利用者へ影響する事例
 2.2. 企業経営へ影響する事例
 2.3. 社会へ影響する事例
3. IoTの脆弱性対策とは
 3.1. IoTの脆弱性対策の必要性
 3.2. 経営者が実施すべき事項
 3.3. 管理者が実施すべき事項
4. IoTによくある課題と対応
 4.1. セキュリティ対策コスト
 4.2. セキュリティ人材の不足
 4.3. 長期間に渡る保守・運用
 4.4. 外部委託の活用
5. IoT製品・サービスの対策ポイント
 5.1. 対策の全体像
 5.2. 経営者が検討する対策
 5.3. 管理者が検討する対策
参考資料

資料はこちらをクリック

情報システム等の脆弱性情報の取扱いに関する研究会 2017年度報告書

 2017年度の研究会の活動成果をまとめた報告書を公開しました。

■報告書の構成(目次)

1. 情報セキュリティ早期警戒パートナーシップの現状と課題
 1.1. 背景
 1.2. 運用の状況
 1.3. 本年度研究会における検討
2. IoT製品開発者への脆弱性対策の現状調査
 2.1. 調査の概要
 2.2. 問題事例調査
 2.3. アンケート調査
 2.4. ヒアリング調査
 2.5. 脆弱性対策の促進資料の作成
3. IoT製品の脆弱性へのパートナーシップ対応のあり方に関する調査
 3.1. 調査の概要
 3.2. 調査結果
4. 現行のパートナーシップの改善に関する調査
 4.1. 電力事業者への優先情報提供に関する検討
 4.2. 政府への優先情報提供に関する検討
 4.3. 脆弱性届出制度に関する説明会についての報告
5. パートナーシップガイドラインの改訂等に関する調査
 5.1. 調査結果

参考1. 2017年度情報システム等の脆弱性情報の取扱いに関する研究会名簿
参考2. 脆弱性研究会の検討経緯


 IPAとしてはこれら調査報告書が有効利用され、ソフトウェアの脆弱性対策の普及が進むことを期待しています。

資料はこちらをクリック

脚注

(*1)ソフトウェア製品及びウェブサイトに関する脆弱性関連情報を円滑に流通し、対策の普及を図るための、公的ルールに基づく官民の連携体制です。経済産業省告示に基づき、2004年7月より開始しました。

資料のダウンロード

■2017年度 新規公開資料

関連資料

 前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書
  • 2016年度(重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準など)
  • 2015年度(新たな情報セキュリティ早期警戒パートナーシップの基本構想など)
  • 2014年度(制御システム利用者のための脆弱性対応ガイドなど)
  • 2013年度(グローバル化の課題と今後の方針 調査報告書など)
  • 2012年度(企業ウェブサイトのための脆弱性対応ガイドなど)
  • 2011年度(地方公共団体のための脆弱性対応ガイドなど)
  • 2010年度(セキュリティ担当者のための脆弱性対応ガイドなど)
  • 2008年度(ウェブサイト構築事業者のための脆弱性対応ガイドなど)
  • 2007年度(ウェブサイト運営者のための脆弱性対応ガイドなど)
  • 2006年度(ソフトウェア製品開発者による脆弱性対策情報の公表マニュアルなど)
  • 2005年度(組込みソフトウェアのセキュリティ対策のポイント集など)
  • 2004年度(運用実績を踏まえた問題点整理と今後の取組み)
  • 2003年度情報システム等の脆弱性情報の取扱いにおける法律面の調査など)

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
TEL:03-5978-7527 FAX:03-5978-7552 E-mail:電話番号:03-5978-7527までお問い合わせください。

更新履歴

2018年3月22日 掲載