ニュース
» 2019年06月27日 14時00分 公開

「Mirai」に備えよ、JPCERT/CCがIoTセキュリティチェックリストを公開IoTセキュリティ(2/2 ページ)

[松本貴志,MONOist]
前のページへ 1|2       

手早くセキュリティ対策状況が把握できるチェックリストに

 このような中、IoT製品を対象としたセキュリティガイドラインは国内外で複数の団体から発表されている。これらガイドラインはそれぞれ対象とする読者やレイヤーに違いがあり、「ポリシーレベルのものが多かった」(輿石氏)。そこで、JPCERT/CCがこのほど発表したIoTセキュリティチェックリストでは「運用レベルまで踏み込んだもの」とし、IoT製品の開発者と利用者が手早くセキュリティ対策状況を検討できるチェックリストになっているという。

IoTセキュリティチェックリストと既存のガイドラインとの比較(クリックで拡大) 出典:JPCERT/CC

 同リストは「ユーザー管理」「ソフトウェア管理」「アクセス制御」など8つの大項目に分類される39項目で構成され、開発者と利用者の双方が確認したい項目を具体的に列挙している。加えて、リストには「解説図」が添付されており、それぞれのチェック項目を図解した。これにより、セキュリティ対策に不慣れな場合でも具体的な対策が講じやすくなったとしている。

チェック項目の概要(クリックで拡大) 出典:JPCERT/CC

 また、同リストでは汎用性を高め適合製品を広げていることも特徴だ。特定製品に特化したセキュリティガイドラインも存在するが、同リストでは「IoTシステムを抽象化して製品の違いを吸収した」(輿石氏)。NIST SP 800-183で定義されるIoTシステムの機能要素となる「Sensor」「Aggregator」「Communication Channel」「e-utility」「Decision Trigger」といった5つのプリミティブ(Primitive)での評価にも対応する。

 輿石氏は「利用シーンによっては39項目全てをチェックする必要はない」と述べ、IoT製品のセキュリティ対策に関する議論材料として同リストの貢献に期待を示した。

対象者と活用方法の例(クリックで拡大) 出典:JPCERT/CC
前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.