今回のテーマは「IoTセキュリティを考えるための方法論」。その説明に入る前に、ここまでの連載を振り返ってみます。まず第1回では、IoTは、つながる「モノ」の事情によって守るべきものが変わるため、いわゆる一般的な「IoTセキュリティ」を考えることが難しいので、個別の業界単位で考えを掘り下げるのが良いというお話をしました。それを受けて、第2回から第6回までは、さまざまな業界のIoTセキュリティを取り上げて、情報セキュリティとの違いや、業界ごとの違いを示してきました。

本連載の当初の目的である「読者の皆様が、消費者としての商品選びや、業務におけるIoTセキュリティ対策に生かしてもらうためのヒントを提供する」ことは十分できたのではないかと思います。そこで最後に、さまざまな業界において「IoTセキュリティ」を考えるための方法論について、2回にわたって紹介します。要は、第2回から第6回まで、筆者がどのように分析していたのかの種明かしです。

IoTセキュリティを考えるための方法論

IoTセキュリティの考え方やリスク分析の手法に関しては、国内外で多くのガイドラインが公開されています 。筆者も業務でIoTセキュリティについて考える時は、これらのガイドラインを参考にしています。それらをベースに、IoTセキュリティの検討の流れを以下にまとめました。

IoTシステムの安心・安全対策検討の流れ 資料:マカフィー

IoTセキュリティに関するガイドライン
IIC [Industrial Internet of Things Volume G4: Security Framework]

NIST 「安全なIoTシステムのためのセキュリティに関する一般的枠組」

総務省・経済産業省「IoTセキュリティガイドライン Ver1.0」

IPA 「制御システムのセキュリティリスク分析ガイド」

CCDS 「IoTセキュリティ評価検証ガイドライン r1.0」

ガイドラインは規制ではないので、几帳面に守ることが大事なのではなく、いろいろなガイドラインの考え方や視点を参考にしつつ、自身の検討に活かすという姿勢が大切です。

では、この図をもとに、IoTセキュリティを考えるための方法について説明していきます。大きな流れとしては、「IoTシステム定義」「IoTシステムのリスク検討」「IoTシステムのリスク対策」の3段階に分かれます。

要は、守るべき大事なものを特定し、それを損なう可能性のある脅威シナリオとリスクを洗い出し、優先順位をつけた上で対策を検討するというわけです。この流れ自体は、実は情報システムのセキュリティ対策でも同じです。その違いは、それぞれの実施内容にあります。それを順に見ていきましょう。

IoTシステム定義

「IoTシステムの定義」を検討する上での、情報システムのセキュリティと差分は、大きくは以下の通りです。

  1. つながる「モノ」によっては、守るべきものにおける安全(Safety)の要素が強くなる
  2. IoTシステムを構成する要素を「モノ」、「通信網」、「クラウド」の3層に分けて検討する
  3. 「モノ」のライフサイクルを考慮にいれる必要がある

IoTシステムでは、末端のデバイスがパソコンやサーバだけではない「モノ」が構成要素となるので、「情報システムにおける守るべき3要素である「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」に加えて、「安全性(Safety)」も考慮に入れる必要があります。

つまり、「C-I-A」ではなく、「S-C-I-A」の観点で、守るべきものを考える必要があるわけです。自動運転の回(第6回)では、この「安全性」をどう確保するかに議論のほとんどを費やしました。

守るべきものを特定したあと、その大切なものに対して、どのような脅威シナリオとリスクがあるのかを検討するには、システムに関わるすべての主体とその運用を洗い出す必要があります。

すなわち、IoTシステム全体の構成要素である「モノ」、「通信網」、「クラウド」のそれぞれの層において、誰が、いつ、どういう経路・方法で、何をするのかを明確にするのです。ここで漏れがあると、脅威のシナリオを見落とすことにつながるので注意が必要です。

IoTシステム特有の問題に、「モノ」「通信網」「クラウド」のそれぞれの層を担う事業者・部署が違うことが多いので、会社単独、もしくは部署単独でのシステムの主体と運用の洗い出しが困難なことがあります。例えば、クラウド・通信事業者は、モノの運用がわからないし、モノを提供する事業者は、通信網やクラウドの運用がわからないといった具合です。

さらに、IoTシステムを定義する上で考慮する必要があるのが、「モノ」のライフサイクルです。Amazon Dash Button(アマゾンダッシュボタン)の回(第2回)では、「電池が切れたらおしまい!」というモノのライフサイクルそのものが、ビジネスモデルの強化だけでなく、セキュリティ対策にもなっていることを示しました。

IoTシステムのリスク検討

次に、「IoTシステムのリスク検討」について説明します。実は、前段の「IoTシステムの定義」さえきちんとできれば、ここは従来の情報セキュリティの考え方に近い進め方で実施することができます。

IoTシステムならではの課題は、脅威シナリオ検討時に「モノ」の物理セキュリティを考慮する必要があることと、リスク分析において人命に関わる「安全性」を損なう場合の損失の見積もりが難しいことです。後者については、自然災害や人的事故の事例を参考にするとよいでしょう。

IoTシステムのリスク対策

最後に、「IoTシステムのリスク対策」について説明します。通常の情報セキュリティにおける対策であれば、洗い出したリスクに対し、大抵の場合、製品・ソリューションを関連付けることができます。あとは、リスクに対応する許容コストの範囲で対策を検討することになります。

しかし、IoTシステムにおいては、特に「モノ」のリスクに対する直接的なセキュリティ対策が「存在しない」または「できない」ことが多いです。

例えば、第3回で取り上げた工場の現場で使用される制御装置は、OSやメモリの制限などの制約のため、対象の装置にインストールできるようなセキュリティ対策がそもそも「存在しない」こともあります、また、既存の設備を活用する場合は、可用性を重視するがゆえに、仮にセキュリティ対策が存在したとしても、システムへのインストールのような変更が「できない」場合も多いです。

このような場合は、物理セキュリティ、セキュリティログ監視の強化や、セキュリティ事故が起こる前提で装置のバックアップを用意するといった「復旧」に力を入れるなどの対策を検討することになります。それも費用面で難しい場合は、リスクを受け入れる(保有)こともあります。

            *     *     *

今回説明したIoTシステムのセキュリティの考え方は、情報セキュリティの考え方に「モノ」の考え方を取り入れて拡張したように見えるかもしれません。それは、逆の見方をすれば、IoTシステムにおける「モノ」が、パソコンやサーバであるのが、情報システムだともいえるわけです。すなわち、IoTシステムのセキュリティは、情報システムのセキュリティを包含する概念だと捉えることができます。

次回は、ここで紹介した考え方を、具体的なIoTシステムに適用してみたいと思います。

著者プロフィール

佐々木 弘志(ささき ひろし)

マカフィー株式会社 セールスエンジニアリング本部 サイバー戦略室 シニアセキュリティアドバイザー CISSP

2014・2015年度に、経済産業省の委託調査で米国や欧州の電力関連セキュリティガイドラインの現地ヒアリング調査を実施、日本国内の電力制御セキュリティガイドライン策定に貢献。
また、2016年5月からは経済産業省非常勤アドバイザー「情報セキュリティ対策専門官」として、同省のサイバーセキュリティ政策に助言を行う。