IoTセキュリティ財団 (IoTSF) - 完全ガイド

IoTとは？

IoTが何であるか分からないなら、IoTSFに精通する意味はありません。IoTは今日注目される技術のひとつです。これは、様々なデバイス間でデータが即時に収集・共有されるよう設計された、密接に連携する技術とデバイスの集合体です。

IoTの三大要素は、スマートデバイス、IoTアプリ、そしてユーザーインターフェースです。ここでいうIoTデバイスとは、カメラ、テレビ、スマートウォッチなど、データ駆動型のデバイスを指します。IoTの分野に参加するには、デバイスが十分な計算能力を備え、即時データの収集や入力の共有、他のデバイスとの通信が可能でなければなりません。

IoTアプリは、連携するIoTデバイスからデータを収集するための単体のソフトやサービス群です。主にAIを活用して即時にデータを取得し、その後、重要な意思決定のために解析します。

最後の要素はユーザーインターフェースで、主にモバイルやウェブで提供されます。利用者はIoT対応デバイスを使い、データを収集できます。

IoTの歴史

• IoTは新興の概念と思われがちですが、実際は1980年代から存在しています。最初のIoT導入は、コカ・コーラが設置した自動販売機で、カーネギーメロン大学に導入され、ARPANETに接続された最初のデバイスでした。
• この自動販売機は、飲料缶の消費量や在庫情報を大学へ報告する機能を備えていました。
• 1985年、Peter T. Lewisが米国黒人会議議員財団のために初めて「IoT」という用語を使用し、人々、主要なプロセス、関連技術の実りある統合としてIoTを定義しました。
• 1991年、Mark Weiserが『The Computer of the 21st Century』を発表し、ユビキタスコンピューティングについて論じたことにより、IoT分野は大きく成長しました。その後、PerComやUbiCompといった学術団体も初期のIoTビジョンを支持しました。
• 1994年、Reza RajiはIEEE Spectrumで詳細にIoTを解説し、家電の自動化が可能な移動可能な小型データパケットと定義しました。
• 1997年になると、MicrosoftやNESTなどのテック大手がデバイス間通信を想定したことで、IoTの概念がより明確に認識され始め、6 Websフレームワークの一要素として公に議論されました。
• 1999年まではIoTは分解された形で存在していました。多くの人がその可能性を想像したものの、真の意義は不明瞭でした。MITの専門家Kevin Astonが初めて体系的にIoT概念をまとめ、RFIDの活用が不可欠であると述べ、短距離モバイル送受信機を通じて技術と人々の通信を向上させるとして説明しました。
• LGは大規模なIoT展開を初めて実施し、2000年にインターネット冷蔵庫を発表。1台あたり2万ドル以上で販売されましたが、その高価格が普及の足かせとなりました。
• 2004年までにIoTは広く知られるようになり、書籍、投稿、記事、メディアで頻繁に取り上げられるようになりました。
• IoTの人気上昇を受け、2004年にチューリッヒで初の国際IoT会議が開催され、その後、GoogleはIoT対応のペースメーカーや自動運転車を発表し、ビットコインもIoT技術を利用しました。
• 2010年、中国政府がIoTを本格的な技術として認定。2014年のAmazon Echoの発表はスマートホームの実現に向けた初動であり、2017年から2019年にかけて、IoTの普及が進んだことで、開発が手頃かつ容易になりました。
• 現在、IoTはあらゆる生活領域で広く活用される主流技術となり、スマートホームからスマートトラッカーに至るまで、この技術に基づいています。

IoTセキュリティ財団とは？

IoTが広がる中、IoTセキュリティは重要な課題となっています。世界中でデバイスが連携すればするほどリスクは高まり、最初のIoTマルウェア攻撃は2018年に確認されて以来、攻撃は後を絶ちません。

2020年には約500億台のIoTデバイスが特定のサイバー攻撃に晒されました。高速インターネットにより、マルウェアは急速に拡散します。そのため、即時対策が取られなければ、1つのマルウェアが何千台ものIoTデバイスに感染することになります。こうした背景から、増大するサイバー犯罪に対処するための組織が求められました。

この課題を解決するために誕生したのが、IoTセキュリティ財団、すなわちIoTSFです。IoTSFは、IoTセキュリティの向上を担う国際的に認知された組織であり、IoTセキュリティへの認識を高め、リスクを管理し、早期に発見、被害を最小限に抑えることを目指しています。認識の普及、ベストプラクティスの支援、IoTセキュリティ保証フレームワークの採用推進を通じてこれを実現します。

その支援は、IoTハードウェア、ソフト、ネットワークプロバイダー、専門家、利用者、セキュリティの担い手など多岐に渡り、すべてがIoTSFの提供するセキュリティ情報から大きな恩恵を受けられます。

同財団には、業界をリードするテック企業も加盟しており、IoTセキュリティ基盤の充実に貢献するコンテンツの発信にも注力しています。

‍

IoTSFの主な目標

IoTSFは以下を目指しています：

• 製品やサービスを守るための持続可能なIoTセキュリティフレームワークを構築する
• 最善のIoTセキュリティ対策の普及を推進する
• クライアントやサービス提供者にコンプライアンスフレームワーク採用の重要性を認識してもらう
• IoTSFコンプライアンスフレームワークに沿った統一的な保証プロセスを確立する

‍

IoTSFの歴史

この協会は、2015年にブレッチリーパークに集った多くのITベテランが、増大するIoTセキュリティリスクに対処する組織の必要性を感じたことから誕生しました。

議論に参加したのは、自動運転車、IT規制、暗号化、データセキュリティ政策などに精通したIT専門家であり、その結果、確立されたIoTセキュリティフレームワークの必要性が認識され、意見がまとめられた上で、2015年9月23日にIoTSFが正式に発足しました。

‍

IoTSFによる主要なIoTセキュリティの提言

前述の通り、IoTSFの主な目的はIoTセキュリティエコシステムの強化です。そこで、同財団は以下の提言を行っています。

• 堅牢な経営体制

フレームワークによれば、各組織は顧客データのプライバシーや製品セキュリティを担当する専門家を配置する必要がありますが、実際にはその役割が充足されている組織は少ないです。

• セキュリティを重視した設計

セキュリティ対策は開発段階から始めるべきです。IoTハードとソフトは、サイバー脅威に対応できるよう設計されなければなりません。

• 暗号技術との互換性

IoTを暗号通信に利用する場合、業界最高の基準と手順が整備される必要があります。

• ネットワークアプリやフレームワークにも十分な注意を払う

IoTセキュリティはアプリケーションのみに留まらず、ネットワークベースのアプリ、ソフト、インターフェースにも注意を払う必要があります。

• 生産とサプライチェーンの守り強化

どんなに強固なセキュリティ対策を施しても、保護されていないサプライチェーンや安全でない生産環境では、IoTデバイスは危険に晒されます。よって、生産から配送まで、IoTSFのベストプラクティスでこれらを守る必要があります。

• 利用者側の安全性を高める

IoTサービス提供者は、ソリューションが利用者にとって完全に安全で使いやすいことを確認し、定期的なアップデートやセキュリティパッチの提供が求められます。

IoTSFの影響

IoTの急速な普及は、この技術に伴うリスクを加速させました。統一されたセキュリティ基準が存在しなかったため、サイバー犯罪者はIoTを狙う機会を得ました。IoTSFは以下の方法でリスク軽減に努めています。

• 教育

IoT攻撃が成功する主な理由は、利用者が攻撃対象や侵入経路を十分に認識していない点にあります。無知であるほど攻撃は容易になってしまうため、IoTSFはガイド、投稿、マニュアルなどのリソースを提供し、認識と教育の不足を解消しようとしています。

IoT利用者もサービス提供者も、これらの資料を参考にしてIoTセキュリティについて理解を深めることが可能です。

• ワーキンググループ

多様なIoTソリューションがあるように、脅威も多岐に渡ります。潜在的な脅威に即時対応するため、優先順位を付けることが大切です。そこで、IoTSFは知識の拡散を目的に複数のワーキンググループを設置し、信頼のインターネット構築を目指しています。各グループには専任のリーダーがいます。

サプライチェーン、コンプライアンスフレームワーク、保証、ベストプラクティス、スマートビルディングなどが、主要なワーキンググループとして挙げられます。

• スマートビルディング開発

上記のグループの中でも、スマートビルディング開発グループは特に有用です。これは、企業向けのセキュリティガイドラインを策定することを目的としており、世界中のサプライチェーンパートナーを招き、IoTのサプライチェーン改善を図っています。

このグループは、調達、設置、運用、統合、保守といったプロセスすべてに適用可能な標準的なサイバーセキュリティガイドラインの策定を目指しており、主に建物内で使用されるHVAC、視聴覚機器、建物のセキュリティ、照明などのIoTデバイスに焦点を当てています。

‍

堅実なIoTセキュリティ実践のためのIoTSFリソース

IoTセキュリティは軽視できないため、IoTSFはしっかりとしたセキュリティ対策の推進に役立つリソースを提供しています。

• IoTセキュリティ保証フレームワーク: 組織が証拠収集の際に参照できる、推奨されるIoTセキュリティ要件の一覧を掲載した精査された文書です。IoT固有のベストプラクティスと、その遵守の必要性について詳述しています。
• ‍保証質問票: フレームワークと併用する広範な評価・監査リソースです。これにより、組織のセキュリティ目標を明確にし、必要な証拠や資源の収集が容易になります。なお、IoTSFメンバーは利用料を支払う必要はありません。
• ‍追加のベストプラクティスガイドライン: IoTSFに関するブログ、投稿、ガイド、文書、出版物など、幅広い資料に手軽にアクセスできます。最新データと洞察に基づいたこれらのリソースは、正しく活用すれば望ましい結果をもたらします。公式ウェブサイトから閲覧可能です。

‍

IoTセキュリティ保証フレームワークとは？

IoTSFが提供するIoTセキュリティ保証フレームワークは、詳細な証拠収集と質問プロセスを通じ、IoT利用者がセキュリティ対策を強化するための指針を示す文書です。IoTが利用される現場で、適切かつ実効性のあるセキュリティ対策が整備されることを目的としています。

以前はIoTセキュリティコンプライアンスフレームワークと呼ばれていましたが、2021年11月に3.0版が発表されて以降、名称が変更されました。更新版では、IoTリスクの詳細や、公的・民間の先進組織がどのようにIoTセキュリティに取り組んでいるかが概説されています。

このフレームワークの提言が正しく実施されれば、あらゆる組織において実用的なIoTセキュリティソリューションが実現可能となります。主な焦点は、チェックリストの作成と関連証拠の収集にあります。

IoTSFメンバーが設計した世界で認められたベストプラクティスの一部を取り入れており、自己監査や第三者監査を行う際の事前対策、また、IoTデバイスや技術の調達時に特定組織のセキュリティ要件をベンダーに明確に伝える手段として推奨されます。

このフレームワークに最も関与するのは、

• IoTサービスや技術、製品の提供を管理する責任者。詳細なベストプラクティスを示すことで、プロジェクトマネージャーや幹部などに指針を提供します。
• 開発者やエンジニア。後にサイバー攻撃につながりかねない開発上の欠陥を指摘する助けとなります。
• 物流や製造の担当者。日常業務でこのフレームワークを参照し、最良のセキュリティ対策の実施を確認します。
• サプライチェーン管理者。IoTセキュリティ監査の指導や問題点の把握に役立ちます。
• 監査を行う信頼ある第三者も、このフレームワークを利用すべきです。

このフレームワークの機能として、保証プロセスは以下の3つのセクションに分かれています。

• リスク分析

各IoTデバイスは、そのエコシステムにおけるサイバーリスクの有無を徹底的に分析する必要があります。詳細なリスク分析は、該当するIoTデバイスやアプリの保証クラスを判断する上で不可欠です。

• 保証クラス

リスク分析が完了すると、フレームワークはIoT担当者に保証クラスの決定を求めます。当該フレームワークでは、保証クラスは5種類に分類されます。

保証クラスは該当デバイスのセキュリティ目標に基づき、文書化された製品エコシステム内で決定される必要があります。これらのクラスは、機密性、完全性、可用性の3つの目標に分類されます。

• 保証質問票の活用

最後に、提示されるすべての質問に回答してください。この質問票はIoTSFメンバー専用で、組織のIoTセキュリティプロセスを評価する上で重要です。

質問票は、まずIoTセキュリティが必要な分野の特定、次に証拠収集、最後に十分なセキュリティ要件の提示という流れになっており、高度に最適化され、特定の製品やサービスに対応可能です.

まとめ

IoTが世界に多大な恩恵をもたらしていることを考えれば、IoTは未来であると言っても過言ではありません。しかし、IoTセキュリティが強化され、リスクが排除されなければ、この技術を安心して活用することは難しいでしょう。

IoTSFは、あらゆるレベルでIoTセキュリティを強化する国際的に認知された組織です。本ガイドで説明したように、IoTSFは：

• IoTセキュリティの認識を広め
• IoTセキュリティに関する豊富な参考資料を提供
• 標準化されたセキュリティ保証フレームワークの提供に努め
• 設計段階からIoTツールのセキュリティを強化する支援を実施

これは、IoTセキュリティに情熱を注ぐ専門家同士の協力体制であり、IoT利用者のセキュリティ認識を高めるための取り組みと言えます。IoT利用者やサービス提供者は、メンバー登録を通じて最新のIoTセキュリティ情報を学ぶことが可能です。