• TOP
  • ニュース一覧
  • 開発現場で“後回しにされるIoTセキュリティ”、IPA調査で実態が浮き彫りに
2018/03/27

開発現場で“後回しにされるIoTセキュリティ”、IPA調査で実態が浮き彫りに

独立行政法人情報処理推進機構は3月22日、IoT製品・サービス開発者のセキュリティ対策と意識を調査した報告書を公開しました。さらに調査結果等を踏まえ、脆弱性対策の促進に資する内容等を盛り込んだ「IoT製品・サービス脆弱性対応ガイド」を公開しました。

IPAでは「情報システム等の脆弱性情報の取扱いに関する研究会」を開催し、2003年度よりさまざまな検討および情報の取りまとめを行っています。2017年度は、IoT製品の脆弱性に起因した実際の事例を踏まえ、アンケート調査、ヒアリング調査を行っています。

この報告書では「ポケットルータ」「車」「モバイルストレージ」「ブロードバンドルータ」「心臓ペースメーカー」を巡る5つの事例を採り上げ、不正アクセス・遠隔操作・情報漏えいといった被害の発生経緯、報道、経営に与えた影響が考察されています。さらにこれら事例を踏まえて、IoT推進コンソーシアムの法人会員に対してアンケートを実施。有効回答205件を得ています。

それによると、「開発段階のセキュリティ方針・基準の有無」について尋ねた質問では、「全社統一の社内方針がある」としたのは35.6%と低調。企画・設計、製造、検査の3段階において「具体的な手順・社内規則・基準がある」としたのは、さらに低く3割未満に留まっていました。また、開発の各段階におけるセキュリティ担当の社員・部門の関与は、企画・設計段階で約5割、製造段階で3.5割、検査段階で約4割と、関与が限定的であることも判明しました。

「開発段階の脆弱性対策の考慮」を聞くと、68.3%が「考慮している」と回答しましたが、実際に、更新機能の実装等の脆弱性対策を行ったという企業は、それよりも数字が下がります。具体的な脆弱性対策としては、「外部のソフトウェア部品を利用する場合、既知の脆弱性が存在しないか確認する」「ソフトウェア(ファームウェア)の更新機能を実装する」が57.9%と同数で1位。以下、「製品出荷前に各種のテスト(既知の脆弱性検査、ソースコード検査、ファジングによる未知の脆弱性検出)を実施する」が57.1%で続きました。

なお、製品・サービス別に考慮状況を見ると、「ネットワーク機器」は「考慮している」は100%ですが、「産業用IoT機器」では68.7%、「コンシューマー向けIoT機器」では37.5%まで大きく下がるなど、脆弱性対策へのスタンスのばらつきが見られます。IoT機器、とくにコンシューマー向け製品ほどセキュリティ軽視の傾向があると言えるでしょう。調査ではこの他にも、リリースされた脆弱性対策が顧客側で導入されていないケース、サポート終了となったIoT製品の脆弱性対策が提供されないケース等についても、集計を行っています。開発・販売しているIoT製品・サービスの主要分野といった、一般的な項目についてもアンケート結果を集約しています。

ガイドでは、「IoTに潜むリスク」「IoTが攻撃されたら」「IoTの脆弱性対策とは」「IoTによくある課題と対応」「IoT製品・サービスの対策ポイント」といった内容を紹介しています。

報告書(全85ページ)およびガイド(全44ページ)は、情報処理推進機構サイトからPDFファイルがダウンロード・閲覧可能です。


開発段階の脆弱性対策の考慮<製品・サービス別>(IPAの発表資料より)<br />

開発段階の脆弱性対策の考慮<製品・サービス別>(IPAの発表資料より)

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop