経済産業省は4月10日、IoTセキュリティ・セーフティ・フレームワークVersion 1.0の適用実証報告書と適用手順書を公開した。
同省では、サイバー空間とフィジカル空間をつなぐ新たな仕組みによってもたらされるリスクに着目し、リスク形態とリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する「IoT セキュリティ・セーフティ・フレームワーク」を2020年11月に公表、2022年4月には、IoT セキュリティ・セーフティ・フレームワークをより活用しやすいものにするために「IoT セキュリティ・セーフティ・フレームワーク Version 1.0 実践に向けたユースケース集」を公表していた。
「適用実証報告書」では、参考となる事例の蓄積を通じた利用促進やIoT セキュリティ・セーフティ・フレームワークの改善点の洗い出しを目的とし、「スマートホームサービス窓シャッター連携」「家庭用エアコン遠隔操作」「ボ イラーの遠隔監視」「設備保全業務支援サービス」の適用実証を実施している。
また適用実証の実施と並行して、参画した事業者から、今後のIoT セキュリティ・セーフティ・フレームワーク及び関連する検討活動への参考とするために、「適用した際に感じたメリット/デメリット」「適用して気付いた新たなリスク」「適用の際の問題点/悩んだ点(他の文献へのハレーションを含む)」「IoT-SSF等の改訂に向けた要望等」のデータを収集している。
「適用手順書」では、IoT セキュリティ・セーフティ・フレームワークの適用方法について、下記のステップごとに説明している。
1.リスクアセスメント、リスク対応に向けた事前準備
分析対象となる範囲についてステークホルダーの合意を得たうえで、IoT 機器・システムの概要及びシステムを構成する機器の一覧、システム構成図、データフロー図、目標とするリスクの水準を整理する
2.リスクアセスメント
適用範囲において想定されるリスクやその原因を特定し、想定される被害の大きさを「第1軸:発生したインシデントの影響の回復困難性の度合い」や「第2軸:発生したインシデントの経済的影響の度合い」に沿って整理する
3.リスク対応
リスク対応を行うステークホルダーが実施すべき対策を「第3軸:求められるセキュリティ・セーフティ要求の観点」ごとに整理する
![中露攻撃ツール共有/米TSA新セキュリティ要件/Win版Outlook未解決の脆弱性/英MI5新組織設立 ほか [Scan PREMIUM Monthly Executive Summary 2023年3月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/41179.jpg)
