特集:IoT時代のセキュリティリスクに備える
連載
» 2017年02月13日 09時00分 UPDATE

組み込み開発視点で見る「IoTの影」(6):組み込み開発者のための「IoT製品 セキュリティ実装ガイド」(その1) (1/2)

「コンシューマー向けIoT製品」を開発する際、どのようなセキュリティを実装すべきか。筆者も執筆監修に携わったJNSAのガイドブックより、機器とサービスの仕様から「どのようにセキュリティ対策を想定し、優先順位を決定するべきなのか」を例示していきたい。

[松岡 正人,TechFactory]
photo

 日本ネットワークセキュリティ協会(JNSA)というNPOがある。2017年1月時点で191社が参画し、サイバーセキュリティについての啓蒙活動や調査研究をボランティアで行っている団体だ。

 連載の第2回で触れた通り、私は2015年の4月からIoT セキュリティワーキンググループのリーダーとして「コンシューマー向けIoT」のためのセキュリティガイドの執筆監修を行った。

 発行は2016年6月で、2014年4月にワーキンググループが発足してから2年あまりかけて収集し検討した情報をもとに、個人が購入利用することの多い「コンシューマー向けIoT」というカテゴリーを定義し、既存の機器について脅威分析を行い、想定される対策の例を列挙することにした。

 日本の開発者の多くが欲しいと思うものだと思って書いたが、想像以上に反響が大きく、また、IoT機器のセキュリティに関連する諸団体とセミナーを行うなど普及のための活動も散発的に行っており、2017年はワークショップもやろうと思っている。

 そこで、この連載で書き散らかしてきたさまざまな事柄を支えるものとして読者のみなさんに役立ててもらえるよう、機器とサービスの仕様からどのようにしてセキュリティ対策を想定して優先順位を決定するのがよいか、例を示していこうと思う。少し冗長な部分が出るとは思うがご容赦いただきたい。

「製品」と「セキュリティ更新」の保証期間

 まず、機器とサービスのライフサイクルの定義を確認することにする。ここでいうライフサイクルとはIoT機器を利用する個人ユーザーが機器を購入して廃棄するまでを指しているが、それと並行して機器の開発販売(提供)をするベンダーの責務としての保証期間のもある。

 コンシューマー向け製品の製品保証期間は「購入後12カ月」というのが一般的であり、その保証内容は「製品が機能すること」である。加えて、スマートフォンなどで一般的になりつつある「ネットワーク経由のセキュリティ更新」についても、製品の保証期間以上に提供することを想定しなければならないというのがガイドの第3章に記してある。対象となる製品や機器が子供向けのオモチャであろうと、IoTの仕組みの上で使われるからにはセキュリティを担保してほしいからだ。

 脆弱性の無い完全な機器を提供してくれるのであれば素晴らしい話ではあるが、現実的な話として、完全無欠の機器という絵空事を期待しているのではなく、自分の作ったものには責任を持とうというだけの話である。安価に提供されることが求められるコンシューマー向け製品において、テストへのコストに多くは期待できない。しかし、それでも脆弱性を指摘された際には、求めに応じて修正したセキュリティ更新を提供することで安全性をうたうことができるだろう。

 では、どのくらいの期間、セキュリティ更新を提供するのが妥当だろうか。これは機器によって違ってくるだろう。

 我が家のテレビは購入して8年ほどになるがまだ5年くらいは使う(える)と思う。ビデオカメラは子供が保育園に通っていた頃に購入したが、小学校の運動会で使ったのが最後で使わずにとってあるが、テープに録画するタイプのビデオカメラは撮影した動画を再生する目的以外で使うことはなさそうだし、古いテープは先日DVD-Rに焼いて捨ててしまった。デジタル一眼レフカメラは子供が中学生になってサッカーに没頭していた頃に買った。画素数は最新機種の半分程度だがまだ使える。これも10年選手だ。

 白物家電はどうだろう、洗濯機は引越し前に買ったものを修理しながら使っているので、かれこれ14年くらい使っているし、まだまだ現役。冷蔵庫は引越し時に買い替えたように思うので、こちらは12年。

 こうしてみると、身の回りにある家電はおおよそ10年くらい使っていることになるが、その全てでソフトウェアの更新が提供されていない。

 他に使っているものといえばGarminのサイクルコンピュータがある、二世代前のモデルだが今でも使える、しかし2013年に最後の更新がリリースされており、壊れたら新しいモデルを買うことになるだろう。これも5年くらい使っている。

 一方、スマートフォンはほぼ2年周期で機種変更し、PCも5年くらいで更新している。そしてこれらはソフトウェアに対してセキュリティ更新が提供されている。Wi-Fiルーターもそうだ、4年前の製品を中古で入手したがいまだにソフトウェアの更新が提供されている。

 ちなみにだが、「10年間、セキュリティ更新を提供するためにどれだけのコストが必要になるか」を念頭に置いておいて欲しい。現在は法制度化されていないが、将来的にIoT製品の販売に関してサイバーセキュリティの担保が義務化される可能性は誰にも否定できない。そのコストを事業計画あるいはオプションとして必要コストに含んでおくことは、将来の事業リスク低減となるだろう。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.