IoTの最新セキュリティ対策、CCDSが取り組みを説明：セミナーを開催（1/2 ページ）

IoT（モノのインターネット）の普及が進んでいく中で、セキュリティ対策としてどのような取り組みが進められているのか。重要生活機器連携セキュリティ協議会（CCDS）は2019年4月3日、IoTセキュリティセミナーを開催。検討を進めている「IoT Security Certification Program」や「IoT分野共通セキュリティ要件ガイドライン2018年度版（案）」の説明などが行われた。

[永山準，EE Times Japan]

　重要生活機器連携セキュリティ協議会（以下、CCDS）は2019年4月3日、IoTセキュリティセミナー「今、何が起こっているのか？　安心・安全に向けた諸施策を読み解く」を開催した。セミナーでは、「IoT Security Certification Program」や「IoT分野共通セキュリティ要件ガイドライン2018年度版（案）」の説明が行われた他、総務省、経済産業省（経産省）および、各企業の担当者らが、集まった業界関係者に最新のセキュリティ対策動向を紹介した。

新たな「Certification Program」を整備

IoT Security Certification Programについて説明する萩野司氏

　CCDSは、日常生活で利用する機器で予期せぬ動作が発生すると、利用者の身体や生命、財産に影響を及ぼす可能性があるものをネットワークに接続しても安全、安心に利用できる環境を実現することを目的として、2014年に設立された産学連携団体。重要生活機器のセキュリティ技術に関する調査研究やガイドラインの策定、標準化の検討などを行っている。

　セミナーではまず、CCDSの代表理事である萩野司氏が、「IoT Security Certification Program」と「IoT分野共通セキュリティ要件ガイドライン」を紹介した。

　IoT分野共通セキュリティ要件ガイドラインは、「Web入力経由によるSQLインジェクションの不具合がないこと」「未使用のサービスポートを外部から使用されないようにすること」「ソフトウェア更新が可能なこと」「ソフトウェア更新された状態が電源OFF後も維持できること」などの11要件で構成されており、分野を問わず、IoT機器やサービスが最低限守るべきものをレベル1として定義。CCDSは、2019年4月から、まず会員向けに認証プログラムである「IoT Security Certification Program」を始めたという。

　要件は市場におけるハッキング動向に迅速に追随できるよう適時アップデートできる仕組みで、萩野氏は「世の中に出回ったウイルスに対して適切なワクチンが打てるよう、日々、セキュリティ強度や内容も考えていくべき」と語った。

　この制度は、申請から付与までの期間やコストがコントロールしやすいライトウェイトなものであり、IoT向きだとして申請者（製造業者など）による自主検査を基本とするが、自主検査が難しい中小企業などのための第三者機関による検査のスキームも整備しているという。

　また、検査を担当するエンジニアの養成コースも作成。既にプレ講習も実施しているという。講習では、脆弱性検証ツールを使用した疑似スマートホームセキュリティ検証演習も実施しており、萩野氏は「IoT Security Certification Programは人材育成もセットになっている。ハッキングがどう行われているか、どう守るかということは、実際に開発する人、品質評価している人も知るべきである」と説明。「防御をする人が攻撃をしらないと防御できないということだ」と強調した。