• TOP
  • 特集一覧
  • EU一般データ保護規則(GDPR)を踏まえたIoTセキュリティへの取り組み
2018/06/06

EU一般データ保護規則(GDPR)を踏まえたIoTセキュリティへの取り組み

メイン画像

EU一般データ保護規則(GDPR)が施行されました。IoTのシステムでも様々な個人情報が取り扱われる中、これらのシステムでGDPRへの順守を進めることは、業界全体が統一された指針の元でIoTセキュリティを強化することにも役立ちます。

ここ何年かの間で、IoTはさまざまな業界と多くの家庭で一時的な流行を超えたものとなっています。IoTは、利用者の生活を高める可能性を秘めています。一方、注目を浴びるにつれて、IoTはサイバー攻撃者を引きつける標的にもなっています。国内でもMiraiを使ったサイバー攻撃が話題になったのは記憶に新しいところです。

現在、IoTセキュリティは、組織や個人といったデバイスやサービスの利用者に委ねられています。すでに数十億個のIoTデバイスが使用されており、今後さらに多くのIoTデバイスがインターネットに接続されることを考えれば、セキュリティに対して、IoTのエコシステム全体でもっと様々な視点から注意を払うべき必要があります。

組織が自社のIoTシステムを維持、保護するために現状講じている措置に加えて、公的に整備された規制に準拠する包括的なアプローチをとることで、IoTのセキュリティを最大限に高めることができます。

共同責任としてのセキュリティ

共通の目標に向けてIoTにおける主要関係者が連携するにあたって、規制は重要な役割を果たします。監督当局は、IoTデバイスの製造業者からデバイスやサービスの利用者に至るまで、IoTのセキュリティに関する共同責任を課すことができます。

具体的な規則を設けることで、IoTデバイスのセキュリティの不備に関する責任を明確にすることもできます。責任を課すことにより、製造業者による継続的なセキュリティの強化が推進され、IoTデバイスに関連した情報漏えいなどの問題が起きた際には利用者の安全を確保することができます。

政府や監督当局の影響力は、IoTシステムにセキュリティの文化を根付かせるのにも役立つでしょう。世界レベルでのIoTデバイスの開発、提供に関するベストプラクティスと基本理念を浸透させるうえでも、規制は大きな役割を果たします。

データ保護規則の順守

IoTは、自動化されたタスクを実行するために、主としてデータを受信、共有をおこなうIoTデバイスやその他様々な要素から成るネットワークです。そのため、さまざまなデータ規制の範囲に含まれます。

特に関連のあるデータ規制は、今年注目を浴びているEU一般データ保護規則 (GDPR) です。GDPRはヨーロッパ連合 (EU) が制定したもので、2018年5月25日に施行されました。個人情報の定義が拡張され、データ主体の権利が強化されているため、IoTシステムにおけるデータの処理に関しては、疑問が呈される可能性があります。

GDPRでは、利用者に関するいかなるデータの処理が行われる前に、利用者の同意を得る必要があります。そのため、IoTシステムを使用するデータ処理者とデータ管理者は、IoTシステムのどの部分で利用者の同意を求める必要があるのかを考慮しなければなりません。とはいえ、自動化されてつながっているというIoTの性質を考えると、それを正確に示すことは困難です。

さらに、GDPRではデータのセキュリティとプライバシーが重視され、「設計段階から標準でのデータ保護対策」が謳われています。GDPRのこの理念をIoTシステムに適用するには、IoTデバイスの開発時という早い段階でプライバシーとセキュリティを組み込む必要があります。プライバシー保護の対応は、IoTを使用して個人情報を処理するシステムを構築する組織にも課せられます。

GDPRのような規制は広義の条件に基づいており、プライバシーとセキュリティの確保に当たっての具体的な方法について特定の要件はありません。複数の規制に準拠する必要があるIoTの利用組織においてコンプライアンスを簡素化するには、広範な規制に適合したIoTデバイスに関する規則や基準の作成が有効です。

GDPRのパズルを解く表紙画像

・参考:「GDPR のパズルを解く-最先端のサイバーセキュリティによるデータ保護」

https://resources.trendmicro.com/jp-docdownload-form-m034-web-gdpr.html

IoTにおける現在の規制とガイドライン

ここ何年かの間にいくつかのガイドラインや規制が導入されており、IoTに関する現在の規制は徐々に整備されてきたと言えます。米国の連邦取引委員会 (FTC) は、企業が消費者のプライバシーとセキュリティの保護を強化するために従うべき一連のガイドラインを公開しました。FTCのガイドラインには、多層防御や設計段階からのデータ保護対策などの推奨事項が盛り込まれています。イギリスもIoTデバイスの安全性を高める一連のガイドラインを公開し、IoTデバイスの設計段階からのプライバシーに関する報告書を最近発表しました。

さらに、米国ではInternet of Things Cybersecurity Improvement Act of 2017が提出されました。この法案はIoTデバイスの製造業者に直接要求するものではなく、米国政府が調達するすべてのIoTデバイスにセキュリティ機能を求める項目を契約に盛り込むように政府機関に命じるものです。現在(2018年5月3日時点)のところ、この法案はまだ可決されていません。

その一方で、IoTにも影響が及ぶDirective on security of network and information systems (ネットワークと情報システムのセキュリティに関する指令: NIS指令) をEUは採択しています。EU加盟国を対象とするこの法律は、全体的なサイバーセキュリティの向上を目的としています。NIS指令では、商品、サービス、人の移動を促進するインターネットの重要性が認識されています。

IoTセキュリティのベストプラクティス

IoTを活用したビジネスを行うすべての組織における説明責任を明確にし、情報共有を強化するという観点で、効果的に策定された規制は各業界によるIoTセキュリティの牽引を促すことができるでしょう。

一方、IoTセキュリティに関する規制のいくつかはまだ完成しておらず、IoTデバイスの取り扱いに関するベストプラクティスの実践はIoT関係者に委ねられています。組織は、機能とセキュリティの両立をするうえで、IoTシステムの保護策をすでに講じていなければなりません。

ここでは、IoTの利用者と事業者の双方がIoTのシステムを保護するためにとるべき対策をいくつか示します。

・ネットワーク接続前にIoTデバイスの監査を行う

ネットワークに接続する前にそれぞれのIoTデバイスで使用されている暗号化のレベルをチェックし、必要な認証機能を備えているかどうか確認します。


・脆弱性が悪用される前に発見し、対処する

ペネトレーションテストを実施して脆弱性を評価します。IoTシステムやIoTデバイスの設計段階では予測し得ない脆弱性を重点的に調べます。


・更新プログラム適用し、ソフトウェアを最新の状態に保つ

あらかじめセキュリティとプライバシーに配慮して設計されたIoTデバイスであっても、進化する脅威の現状を考えると、脆弱性が発見される可能性は十分あります。セキュリティ更新プログラムが適用できるシステムを設計することで脆弱性の問題を解決できます。


・常時接続の要否を検討する

IoT利用者は、機器の常時接続が本当に必要かを考慮すべきです。ネットワークに接続していなければ、少なくともその間サイバー攻撃者がそのデバイスを発見し、デバイスに対して攻撃を試みる機会を減らすことができます。


・全レイヤーでサイバーセキュリティ対策を行う

デバイスで収集されたデータは、ネットワークを通じて事業者のクラウドに格納されます。セキュリティ技術を活用することで、IoTデバイスだけでなく、ネットワークからクラウドに至るまでIoT全体を保護することが必要です。


IoTのセキュリティに関する実装方針については、これらのガイドラインも併せて参考にしてください。

IoTセキュリティガイドライン -デバイスライフサイクルの概要-

NFVネットワークでIoTサービスのセキュリティを強化する

スマートホームの実現に不可欠なホームネットワークセキュリティ

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop