情報セキュリティマネジメント

IoT税制(投資減税)の要件-IoTのセキュリティ対策(第2回)

弁護士・情報処理安全確保支援士 石田 優一


第1回では,IoT税制の概要と,認定要件であるセキュリティ対策について説明しました。第2回では,具体的にどのようなセキュリティ対策が求められるかについて,掘り下げていきたいと思います。

 

IoTのセキュリティ上の脅威とは

 

IPA(独立行政法人情報処理推進機構)発表の「情報セキュリティ10大脅威2018」によれば,IoT機器に関するセキュリティ上の脅威が,「組織」部門では7位,「個人」部門では9位となっています。

 

「組織」部門では,IoT機器に関する脅威の例として,マルウェア感染によるDDoS攻撃や,機器の不正操作の問題が取り上げられています。

 

IoT機器を利用したDDoS攻撃とは,マルウェアによって多数のIoT機器を乗っ取ったうえで,特定のサーバー等に一斉にデータを送信する手法です。DDoS攻撃を受けたサーバー等は,動作不能になるおそれがあります。例えば,平成29年頃から,「Mirai」というマルウェアや亜種が,猛威を振るっています。

 

また,IoT機器の不正操作について,具体的には,産業用ロボットを不正動作させて業務を妨害したり,企業内のカメラや各種センサーを乗っ取って制御不能にしたり,企業内の情報を盗み取るなどの被害が想定されます。実際,すでに,電力会社の施設監視カメラや自治体の河川監視カメラが不正操作されて制御不能になる被害が報告されています。

 

他にも,不正アクセスなどによる情報漏えい機器間の通信内容の盗聴・改ざんなど,IoT機器に関するセキュリティ上の脅威は様々です。

 

システム設計におけるセキュリティ対策

 

IoTのシステム設計に当たっては,システムの全体構成を明確にして,セキュリティ上の脅威を十分に想定する必要があります。

 

また,システム開発者(ベンダー)とユーザーとが連携しながら,(1)どのような機能が必要か,(2)そのためにどのようなデータを取り扱うか,(3)要保護性の高いデータはあるか,(4)業務上の必要性を考慮してデータへのアクセス権限をどのように設定すべきかなどを,きちんと分析する必要があります。

 

そのうえで,システム開発担当者や情報セキュリティの専門家の意見も踏まえて,システムの脆弱性を分析し,適切な対策を施す必要があります。脆弱性の検討に当たっては,「JVN iPedia」(脆弱性対策情報データベース)などを活用して,導入するソフトウェアのセキュリティホールや,暗号技術の脆弱性など,最新情報を入手する必要があります。

 

情報漏えいは内部不正から発生することも多いため,適切なアクセス権限の設定は重要なことです。必要に応じて,多段階認証・多要素認証も活用すべきです。また,IoT機器の場合,そもそも認証パスワードの設定に対するユーザーの意識が低いことから,認証パスワードを初期状態から変更しなければ使用できない設計にするなどの配慮も必要です。

 

IoTのシステムにおいては,多数のデータを機器間でやりとりすることから,データや通信経路の暗号化や,安全な通信方法の選択も重要です。また,1つのIoT機器のマルウェア感染がシステム全体に影響を及ぼすリスクがあることから,IoT機器用のウイルス対策ソフトや,セキュリティ上の安全性の高いソフトウェアを導入することも重要です。特に,オープンソースソフトウェアを利用する場合は,脆弱性を狙われるリスクが高いことから,十分な情報収集と対策が必要です。

IoTシステムに対する不正アクセスを防止するためには,ネットワーク内の適切な位置にファイアウォール・IPSなどを設置したり,不正アクセスの難しいネットワーク構成を検討するなどの配慮や,保存データの暗号化などの対策が必要です。

 

さらに,IoT機器は小型で持ち出しの容易なものも多いことから,社外持ち出し時の紛失に備えた対策として,遠隔ロック・データ消去機能の導入なども必要な場合があります。

 

事業実施時におけるセキュリティ対策

 

セキュリティ対策は,システム設計段階だけでなく,実際に事業に導入した後の運用段階でも重要です。

 

例えば,機器の動作状況や機器間の通信状況をログに残したり,IDS・IPSで不正アクセスの疑いのある通信を検知するなどして,不正アクセスが発生した場合に発信元の特定や原因の分析などができる体制を整えておく必要があります。原因分析のために必要な知識を持った技術者を置くことも重要です。

 

システムがマルウェアに感染した疑いのある場合には,通信状況のログを確認して感染の範囲を特定し,対象のIoT機器を迅速にネットワークから切り離す対応も重要です。IoTのシステムは,多数の機器がネットワーク上でつながっているため,わずかな対応の遅れによって甚大な被害が発生するおそれがあります。

 

また,不正アクセスなどのインシデントが発生した場合において迅速に対処することができるように,組織体制を整備したり,マニュアルをあらかじめ作成しておく取組みも重要です。

 

さらに,他の事業者などとデータ連携をする場合は,その事業者に対してあらかじめセキュリティ対策に関する資料の提出を求めたり,セキュリティ対策を継続的に実施することを義務づける内容の契約書を交わしておくなどの対応も必要です。

 

脆弱性の有無を定期的に確認する方法

 

その他,定期的に脆弱性の有無を確認して対処する体制も必要です。

 

システム開発者においては,システム導入後も脆弱性対策情報をユーザーに定期的に通知して,必要に応じて更新ソフトウェアを提供する対応が必要です。システム開発者は,「JVN iPedia」などから定期的に最新の脆弱性情報を入手し,ユーザーに分かりやすい形で提供できる体制を整える必要があります。

 

また,ユーザーにおいても,脆弱性や更新ソフトウェアに関する情報がシステム開発者から提供された場合には,各管理担当者に速やかに周知し,対策を講じさせる体制が必要です。

 

システム開発者とユーザーにおいては,脆弱性対策情報や更新ソフトウェアの提供に関するサポート内容と期間をきちんと取り決め,書面化しておくことが重要です。

 

また,システム開発者とユーザーにおいて,システム全体を構成する機器のリストを共有し,脆弱性のある機器がシステム内に存在しているかどうかを迅速に判断できる体制を整えることも重要です。

 

おわりに

 

実際にIoTのシステムを導入する際には,システムの仕様や取り扱うデータの内容に応じて,必要なセキュリティ対策を個別に検討する必要があります。

 

「IoT税制を活用していきたいけれども,情報セキュリティの対策をどうしたらよいか困っている」という場合は,ぜひ当事務所にご相談ください。導入検討段階のご相談から,セキュリティ対策実施状況の確認まで,IoTのセキュリティ対策をトータルにサポートいたします。

 
ー当事務所の「情報セキュリティマネジメント」サービスはこちらですー
 
ー当事務所でご提供する法人向けサービスはこちらですー
 
―コラムの一覧はこちらです―

 

 

このコラムを書いた人

弁護士 石田優一
兵庫県弁護士会所属 68期 登録番号53402
情報処理安全確保支援士、応用情報技術者の資格を持つ若手弁護士。IT、IoT、営業秘密など、いつでもすぐに、最新の問題に対応するリーガルサービスを提供できるよう、5年先、10年先を読みながら、日々研鑽を積んでいる。
プロフィールはこちら

同じカテゴリのコラム記事

情報セキュリティマネジメント
日本の企業にGDPRが域外適用されるケース
情報セキュリティマネジメント
医療ビッグデータの利活用と個人情報保護(第2回)
情報セキュリティマネジメント
医療ビッグデータの利活用と個人情報保護(第1回)

みおの関連サービス