IIC、産業用IoTのセキュリティフレームワークを発表：民生用IoTとは異なる要件

Intelらが設立したIIC（Industrial Internet Consortium）が、産業向けIoT（IIoT）の開発に関するセキュリティフレームワークを発表した。IIoTは民生用IoTとはセキュリティ要件が異なるので、IIoTにフォーカスしたセキュリティフレームワークを作る必要があったと、専門家は述べる。

[Rich Quinnell，EE Times]

IIoT向けのセキュリティフレームワーク

画像はイメージです

　IIC（Industrial Internet Consortium）が、産業向けIoT（IIoT）の開発に関するセキュリティフレームワークの初期バージョンを発表した。このフレームワークは、IICが2015年に発表した「IIoT Reference Architecture（レファレンスアーキテクチャ）」への追加事項となる。今後、IIoTシステムの安全性の確立方法について、幅広い業界の合意を得られるような手順の開発に着手していくという。

　最終的には、ただ単にセキュリティを追加するのではなく、システム全体をエンド・ツー・エンドでサポートすることなどを目標とする。

　IICは、相互接続機器の開発や導入、普及、インテリジェント分析などを加速することを目的として2014年に設立された、オープンな会員組織である。創設メンバーには、AT&TやCisco Systems、General Electric（GE）、IBM、Intelなどが名を連ね、現在では、世界24カ国から160社のメンバー企業を集めるまでに拡大した。IICは、技術標準化団体「Object Management Group（OMG）」の管理下に置かれている。

　IICのセキュリティ関連のワーキンググループで議長を務めるHamed Soroush氏は、EE Timesのインタビューに応じ、「セキュリティフレームワークでは、3つの異なる視点から、IIoTセキュリティが考察されている。半導体メーカーと、機器開発メーカー、エンドユーザーの3者はいずれも、IIoTセキュリティにおいて重要な役割を担っているが、それぞれがどのような視点を持っているのかを理解し合えていない状態にある。このためフレームワークでは、これら3つのグループがやりとりできるようサポートする他、経営幹部向けに、セキュリティを検討する際のリスク管理について、ガイダンスを提供していく」と述べている。

　Soroush氏は、「今回のフレームワークの策定に至った背景には、IIoTと民生向けIoTとではセキュリティ要件が異なるため、IIoTの要件に焦点を当てた議論が必要だったという理由がある」と述べる。

　例えばIIoTのセキュリティでは、発電など重要なインフラへのリスクを低減する必要があるので、民生向けIoTよりも高い堅ろう性が求められる。さらに、IIoTセキュリティは、導入期間が数十年間に及ぶため（パッチ管理への影響も生じる）、高可用性システムのインテグリティを維持したり、操作上の安全要件との対立を回避したりするためのサポートを提供する必要がある。この点も、民生用IoTとは異なる点だ。

　今回のフレームワークは、こうしたニーズへの対応方法を議論していく上での基礎を構築する。Soroush氏は、「関連性のある既存の安全基準やベストプラクティスを特定し、ディベロッパーを指導していく上での資料にもなる」と指摘する。

　さらに、セキュリティとプライバシー、耐性、信頼性、安全性の5つに関する詳細な情報を提供することにより、IIoT分野の中で重複した状態にあるIT（Information Technology）／OT（Operational Technology）システムの信頼性の定義をサポートする他、リスクや評価、脅威、測定基準、性能などの指標を定義することで、経営管理者が組織を保護できるようサポートすることができる。

【翻訳：田中留美、編集：EE Times Japan】