• TOP
  • 特集一覧
  • 見過ごされるIoT導入時のセキュリティリスク
2018/10/16

見過ごされるIoT導入時のセキュリティリスク

メイン画像

トレンドマイクロは、2018年9月5日(米国時間)、IoT導入時のセキュリティリスクについてドイツ、フランス、日本、英国、米国のIT企業に所属する情報システムや情報セキュリティに関する意思決定者1,150名を対象にした調査結果を公開しました。

この調査結果から、IoTに対する知覚リスク(※)とその軽減策の実施にギャップがあることを確認しました。

(※:知覚リスクとは利用者が製品やサービスの導入時に回避したいと感じる不安や懸念のことです。)

この調査によると、回答者は、過去1年間にIoTの推進に250万ドル以上を費やし、今後12ヶ月間にも同様に力を入れる予定とのことでした。これだけ多額の投資を行うことを踏まえると、これらのIoTデバイスに関連するリスクを軽減するためにはセキュリティにも同様の投資が行われるべきでしょう。 しかしながら調査では新たに立ち上がったIoTプロジェクトの56%でのみ、セキュリティソリューションを選択する最終意思決定者がCISO(情報セキュリティ最高責任者, Chief Information Security Officer)である状況が明らかになっています。

また、IoT導入におけるシステムやセキュリティの意思決定層の多くは、IoTが組織にもたらすセキュリティ上のリスクについて認識している一方で、そのリスクを改善するためにリソースを投資するとした回答者は限定的でした。

IoTの導入においては、導入で想定される自社のセキュリティリスクおよびそのコントロール状況を把握し、適切に改善していくためにも、システムや情報セキュリティの意思決定者がしっかりとギャップ分析を行うべきでしょう。

ギャップ分析を実施する際は、次の2つについて留意すべきです。

まず1つ目は、IoT導入に関わる経営層や上層部の関係者が管轄するIoT(およびICS(産業制御システム, Industrial Control System))のIT視点での知覚リスクを把握することです。これには、こうした知覚リスクの把握、対処における責任者および責任組織の役割の理解も含まれます。各社員、担当部門レベル、そして知覚リスクの軽減担当チームを含む、IoTデバイスやシステムを管理している現場の技術者や監督者の見解と比較してください。

2つ目は、経営層や上層部の関係者による軽減策への投資内容を現場の技術者や監督者による実際の措置や手順と比較して評価することです。実際の各システム担当者による革新的な手法が実行されていれば、それらも評価に含めるべきです。

想定される軽減策における目的の一貫性、および投資効果も勘案すべきでしょう。

 図 1:サイバーセキュリティ・リスク・マトリックス

図 1:サイバーセキュリティ・リスク・マトリックス

リスクイベントを評価する際、サイバー犯罪者はあらゆるネットワーク上の脆弱性を見つけ出すために自動化されたツールを利用することに注意してください。例えば、評価対象のIoTデバイスがインターネットに接続され未対応の脆弱性を抱える場合、そのデバイスは攻撃される可能性が「高」と評価されます。

軽減策について検討する際、図1の右上の3つの赤字の項目から開始してください。すなわち、イベントの深刻度、発生確率のもっとも高いものから順次対処するということです。次に対角線上の黄色の項目を数字の高い順に検討します。

これらの項目範囲における課題を軽減したら、リスクプロファイルを変更する可能性のある活動を継続して監視するプログラムを構築します。この対応を継続することで、リスクの管理範囲を拡大できるでしょう。

新しいテクノロジーを本格的に展開させる際には、このサイバーセキュリティ・リスク・マトリックスによる評価を設計、製品選択、リリース、そして運用手順の各プロセスで組み込むようにしてください。また、導入する新テクノロジーを使用する関連企業やサプライチェーンのビジネスパートナーともサイバーセキュリティプログラムについて適切な申し合わせを行ってください。順次対応を進めた後、最後に図1の緑色の項目についても検討を進めてください。

IoT関連のギャップ分析を実施する際には、内部の監査チームからの支援を得るべきでしょう。監査チームは、プログラムのリスクの評価方法、および技術者や管理者と検討する方法を熟知しています。万が一、自組織のリスク評価が「高」となったにもかかわらずそのリスクを軽減する措置を講じていない場合、契約条件および規制、法律による制約はもちろん、ビジネスパートナーの期待を裏切る恐れがあります。

自組織のリスク評価が完了したら、すぐさま実用に向けた対応を進めてください。IoTデバイスおよび周辺システムのセキュリティを確実にするために、こうした分析の手間を惜しまなければ、IoT、ICS、そして既存のITインフラストラクチャで、費用対効果に優れた包括的な情報セキュリティプログラムが適切に展開されていることを証明できるでしょう。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop