我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法 | ScanNetSecurity
2024.03.19(火)

我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

セキュリティ対策の必要性は認知されているものの、実際の対策はどうすればいいのかという現実的な課題がハードルとなっている企業は少なくない。そういった企業こそ、このJSSECの「IoTセキュリティチェックシート」のようなツール(道具)が有効である。

研修・セミナー・カンファレンス セミナー・イベント
PR
 企業はIoTセキュリティをどう考えていけばいいのか。

 そのヒントのひとつとなるのが、2020年の年の瀬に開催された「IoT Security Forum 2020 ONLINE」で行われた日本スマートフォンセキュリティ協会(JSSEC)の講演だ。

 「『IoTセキュリティチェックシートの最新版と動画セミナーのご紹介』 ~ 企業が安心・安全にIoTを活用するために求められていることは~」と題された講演には、JSSEC 利用部会 部会長 後藤 悦夫 氏(株式会社ラック)が登壇し、JSSECが自ら編纂した「IoTセキュリティチェックシート第2.1版」の概要や具体的な使い方がつまびらかにされた。「ピンチをチャンスに変え」ようとする後藤氏の講演の模様をレポートする。

IoT Security Forum 2020 ONLINE
 日本スマートフォンセキュリティ協会(JSSEC)は、2020年1月にIoTセキュリティに関するウェブアンケートを実施している。アンケートによれば、家庭でなんらかのIoT機器を利用している割合は17.6%となり、企業利用の11.5%を上回った。IoT利用は企業より一般家庭のコンシューマユースのほうが多い現状が明らかになった。AIスピーカーやネット家電の普及が市場を牽引していと考えられるが、この波は今後企業にも広がると見られる。DX(デジタルトランスフォーメーション)が進む過程で、PCやサーバー以外のさまざまなSIM搭載のIoT機器がネット接続され、クラウドとデータ通信をはじめることが予想される。

IoT利用調査結果(1)普及(全体調査)
IoT利用調査結果(先進利用者調査)
 後藤氏は「IoT(Internet of Things)という用語はIT(Information Technology)とOT(Operational Technology)の組み合わせで出来ている。セキュリティ対策でもIT(業務系)とOT(ものづくり・制御系)の連携と調和がポイントとなる」とSecurity by IOTの考え方を示した。

 IoTのセキュリティを考える場合、IT側はインターネットやITの知見を生かし、OT側はITセキュリティと現場セキュリティの融合を目指すことが重要だ。特にITセキュリティに馴染みの薄いOT側は、情報セキュリティについて知ることが重要となる。

 JSSECでは、そのために「IoTセキュリティチェックシート」を企画製作し、無料で公開配布を行っている。シートはA3用紙1枚の両面印刷形式のデータが公開されており、これを自由にダウンロードして利用する。アンケート式のチェック項目を埋めていけば、自組織に必要なセキュリティ対策や弱点、強みなどが見えてくる。

 チェックシートは、NIST-CSF(米国国立標準研究所 サイバーセキュリティフレームワーク)をベースに5つの機能(識別・防御・検知・対応・復旧)と23のカテゴリに整理されている。管理者の視点で検討すべき点や、重要度別の推奨項目などが分析できる。最新の第2.1版は分析項目を、IT主体、OT主体、ITとOT連携の3つに色分けしており、後藤氏の言う「Security by IOT」のコンセプトを生かしやすくなっている。

効果的なIoTセキュリティ(改訂)
 後藤氏は「シートの項目をすべて埋める必要はなく、自社の状況を客観的に可視化して把握することが重要。その上で、できるところから対策や改善に着手するとよい」とアドバイスする。チェックシートの具体的な使い方の解説ドキュメントも公開配布されている。

 さらに、COVID-19の影響でオンサイトのセミナーや啓発活動実施が難しくなっていることから、JSSECでは6本のオンラインセミナーを開催、動画として公開している。奇しくも今回のIoT Security Forumの開催テーマは、「ピンチはチャンスに変えられる」と題された。これまで主に都内近郊や地方大都市で開催されていたさまざまな講演や研修が、感染予防対策によって続々とオンライン化され動画アーカイブ化されることで、全国どこからでも時間を選ばず高品質なコンテンツにアクセスできるようになったことは、ピンチがチャンスになった好例でもある。JSSECのオンラインセミナーはいずれも15分程度。短すぎて中身のない出オチ動画でもなく、要点が絞られていない長時間ファイルでもない「ちょうどいい長さ」だ。セミナーで用いられているスライドをPDFダウンロードすることもできる親切なサービスもある。

効果的なIoTセキュリティ(動画)
 前述のアンケートでは、70%近くの回答者が、家庭や職場でIoTのセキュリティになんらかの不安を感じているということが明らかになっている。セキュリティ対策の必要性は認知されているものの、実際の対策はどうすればいいのかという現実的な課題がハードルとなっている企業は少なくない。そういった企業こそ、このJSSECの「IoTセキュリティチェックシート」のようなツール(道具)が有効である。

 チェックシートの問いに応えていくことで、導入段階の最初の壁である「何がわからないのかわからない」袋小路を突破できるはずだ。オンラインセミナー動画と併用すれば、時短や深い理解など、より高い効果が期待できる。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×