3月6日『セキュリティフォーラム2020』を開催し、JSSEC利用部会の成果発表としてお伝えする予定でしたが、新型コロナウイルスの感染拡大防止のため急遽フォーラムを中止といたしました。新型コロナウイルスの関係で多くの方がテレワークで仕事をされています。テレワークが最も適している業務はコラムなどの原稿作成ではないかと思い、今まで出来なかったことに挑戦する良い機会としてテレワークを活用し、フォーラムで講演予定でした一部をコラムとしてまとめることにしました。尚、本コラムの内容はJSSECなど組織としての見解ではなく、あくまでも個人的な意見となりますのでよろしくお願いします。 コラム後編では、「IoTセキュリティチェックシート」を改定したねらい、「どのように活用してもらいたいか」など、IoTセキュリティ対策で重要となることを解説いたします。コラム前編では、「IoTはどのくらい普及しているか」「セキュリティへの不安を感じているか」などアンケート調査から見えて来たことを取り上げました。コラムで紹介いたしました「アンケート調査結果」および「IoTセキュリティチェックシート」の詳細はJSSECホームページ「https://www.jssec.org/iot」をご参照ください。
1.「JSSECのIoTセキュリティへの取り組み」
JSSEC利用部会では2017年度IoTセキュリティチェックシートの第1版を発行し、主にチェックシートの有用性の確認を致しました。A3両面にまとめたことから、読む気になる、一覧で見やすく有用である、使ってみたいなどご評価を頂いた反面、セキュリティにあまりなじみのない人にも分かりやすく解説して欲しい、国際標準との整合性も重要など改善を求めるご意見を頂きました。
2018年度にはIoTセキュリティチェックシート第2版へと大幅に改定し、2019年度からチェックシートを活用して「ものづくりの現場」の方々へのIoTセキュリティの重要性について啓発活動を行っております。
昨年の2019年2月に公開致しました「IoTセキュリティチェックシート第2版」は縦軸にNIST-CSFの5つの機能と23のカテゴリー毎に一般企業がIoTを利用する時に検討すべき観点を60項目上げております。前編で紹介しましたアンケートで「IoTセキュリティチェックシート」を知っているか質問したところ、40%近い方々が「よく知っている」、更に30%近くの方々が「聞いたことある」と答えて頂きました。また25 %近い方々が「知らなかったが興味がある」と思って頂けたことに、大変驚いております。(図1) さて、本年度の普及・啓発活動の取り組みですが、大きく2つの分野へのセミナーに取り組んでおります。
①IT(Information Technology)系のセキュリティセミナーは、情報セキュリティを担当されている方に向けて、情報セキュリティの知見をIoTセキュリティに活かしていくことの重要性を紹介しております。
②OT(Operational Technology)系へのIoTセキュリティセミナーは、今まであまりセキュリティに関わって来なかった、主に制御系やものづくりの現場に近い方々を対象に、セキュリティの重要性など、先ずはセキュリティになじんで頂くことを重点に進めております。これらのセミナーは電気通信普及財団様の助成事業として認定を頂き、2019年10月から1年間ご支援を頂き開催致しております。
2.「IoTセキュリティチェックシート改訂のねらい」
第2.1版は、今後の啓発活動に重要となる点を中心にとして改訂を致しました。JSSEC利用部会ではIoTセキュリティを効果的に進めるためには、「IT系の方」と「OT系の方」の連携が重要と考えております。普及・啓発とし開催する①IT系のセキュリティセミナーと②OT系へのIoTセキュリティセミナーなどで、各々主体的に取り組んで頂きたいことがより伝わるように見直しいたしました。
検討の主体がIT又はOTどちらがリードしていくのかをチェックシートの項目番号の色づけで明記し、同様に解説編も改訂を致しました。具体的には、①(白丸)はITが主体となり、情報セキュリティや情報技術の面をリードして行くことが求められる項目となります。❶(黒丸)はOTが主体となり、新たにIoT関係の検討が求められる項目となります。❶(赤丸)はITとOTが連携し検討すべき重要な項目を表します。(図2・3)
これらは、チェックシートを活用頂く企業の体制などにより主体や連携すべき項目は変わって来ます。特に中小企業では、ITもOTも専任体制はありませんが、IoT導入に協力頂くベンダーも含め、主体を確認することが現実的かと思います。
3.「IoTセキュリティチェックシートの活用方法」
OT系へのIoTセキュリティセミナーでは、今までセキュリティにほとんど関係されなかったことを考慮し、現場の作業安全の取り組み方を参考に、先ずは知る・気づくことの重要性からお伝えしております。少し紹介いたしますと、現場の作業安全が出来ない要因は3段階に分けられます。入り口が「①知らない」となります。つまり「何が危険か、どうすれば安全か知らない」ために危険作業をしてしまうことにつながります。この「知る・気づく」ことで多くの危険作業が減ると言われています。(図4)
IoTセキュリティの入り口でも同じではないかと考え、先ずは知る・気づくためにセキュリティを少しでも理解頂ければと思っております。
一方、IT系のセキュリティセミナーでは、既に情報セキュリティを担当されている方々が対象となります。「今までの情報を守るセキュリティと何が違うのか」あるいはIoTセキュリティは「自分達は何が関係するのか」といった観点をお伝えしております。
IoTセキュリティで製品を提供する側に求められることとして「Security by Design 」があげられますが、IoTを導入し活用していく企業にとって、何が重要なのでしょうか。企業がIoTセキュリティを効果的に対策していくために最も重要なことは「IT」を担当される方と「OT」を担当される方のコラボレーションです。IoTセキュリティの検討をはじめる段階で、「ITとOT」がどのように連携すべきか議論し合意することが出来れば、その後の検討をスムーズに進めることが出来ます。今回の改定でこの連携のための「検討主体」を明記し、早い段階で連携の議論を進めるため、チェックシートを活用して頂ければと考えております。
最後に、今後の課題ですが、JSSECでは、チェックシート及びチェックシートの解説編を発行し、その内容について広く啓発を行なっております。これを、実際に活用して行くためには、IoTを活用される方々がIoTを活用する現場の知見として、もっと実践的な「チェックシート活用編」などを共有されて行くことが必要ではないかと思っております。(図5)
以上紹介させて頂きましたチェックシートと解説編、およびIoT利用アンケート調査レポートはJSSECのホームページより無償でダウンロード出来ますので、ご活用頂ければ幸いです。
最後まで、ご覧頂きありがとうございました。JSSEC利用部会長 後藤悦夫(株式会社ラック)