ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. IoT時代のセキュリティ
ここから本文です。

IoT時代のセキュリティ

重要性増すIoTセキュリティの確保
全社での体系的な取り組みが不可欠

開発・製造メーカに求められる取り組み

このような状況を受け、IoT関連の製品やシステムを開発・製造する国内メーカの取り組みも盛んになっている。IoTによって多様化するリスクに企業として適切な対応を行うには、組織としてセキュリティ対策に取り組むことが重要だ。しかし、実際に製品やシステムを開発・製造するメーカでは、個々の現場レベルでの取り組みはあっても、全社全体のセキュリティ体制や仕組みがつくられていないことが少なくない。
それでは製品セキュリティの確保のために、具体的にどのような取り組みを進めるべきなのか。必要な活動の概要と、多くの企業においてみられる典型的な課題を示したのが下記である。

拡大する必要な活動の概要および企業での典型的な課題
IoT製品のセキュリティに関する開発・製造メーカの課題と、実際に行うべき取り組み。組織的な対応、ノウハウの蓄積、リリース後の対応が重要になる

第1の課題は、「全社の体制や規程などの確立」だ。製品やシステムに求められるセキュリティ対策を効果的かつ効率的に実施するには、開発・運用のライフサイクル全体を視野に入れた上で、セキュリティの方針や体制を整備することが重要となる。ここで注意すべきなのが、従来はセキュリティがさほど重要でなかった現場でも強化が必要なケースが増えている点だ。取り組みを漏れなく実施するためにも、組織的な対応が求められる。
第2は、「開発時におけるセキュリティノウハウの蓄積」だ。セキュリティに考慮した開発を行うためには、脅威分析、セキュア設計、セキュアコーディング、セキュリティテストなど、セキュリティ確保のための様々なタスクを実施する必要がある。そのためにはセキュリティに関する相応のスキルが要求されるが、実際の開発現場ではそのような人員が不足しやすい。
そして第3が、「出荷・リリース後のインシデント対応体制の確立」である。製品やシステムをいかにセキュアに作っても、新たな脆弱性が見つかることは避けられない。そして製品の脆弱性などによる影響は、広範囲化する危険性がある。このような影響を早期の対応によって押さえ込むには、PSIRT(Product Security Incident Response Team:自社製品・システムの脆弱性対応窓口)のような体制・プロセス面でのサポートと、遠隔アップデートなどの機能面でのサポートの両方が必要だ。

NECが提供するコンサルティングサービス

これらの課題に対応するため、NECは2011年にセキュア開発を推進するための体制を構築。セキュア開発・運用の基準や各種ガイドラインなども整備し、各部門にて実践してきた。さらに、そこで培ってきたノウハウを活用した、以下のようなサービスをはじめとするセキュア開発コンサルティングサービスの提供も、2016年度から本格的に開始している。

  • セキュア開発基準・体制構築支援サービス
    セキュア開発・運用の規程やガイドラインの策定、関連部門との関係整理、ワーキンググループや各事業部門における推進者の設置を含めた体制の構築を支援。
  • PSIRT・脆弱性管理プロセス構築支援サービス
    NECのPSIRTのノウハウを基に、PSIRT構築および自社製品・システムの脆弱性を管理するためのプロセス構築を支援。
  • 脅威分析支援サービス
    セキュリティ人材の不足に対応するため、脅威分析の支援、代行、教育サービスを提供。

またNECはこの他にも、経済産業省が発行する「サイバーセキュリティ経営ガイドライン」に基づいた「リスクアセスメントサービス」も提供している。これは、社内の情報セキュリティも、製品・システムのセキュリティも含む、組織全体でのサイバーセキュリティリスクの見える化を行うもの。セキュリティ課題が明らかになっていない場合には、必要なアクションを決めるためにこのようなサービスの活用をお薦めしたい。

ページの先頭へ戻る