4 IoTに関する国内における政策及びセキュリティガイドライン
初めに
前回に引き続きIoTに関する調査である。
今回はIoTに関して国内で取り組まれている政策及びそのセキュリティガイドラインについてまとめた。
4.1 IoTに関する国内における政策
IoT産業の発展とともにIoTセキュリティの脅威は国内でも大きな関心事として取り上げられている。
また、総務省サイバーセキュリティフォースでは、IoT・5Gの時代にふさわしいサイバーセキュリティ政策の在り方について検討し、2019年8月に「IoT・5Gセキュリティ総合対策」として策定・公表を行い、2020年5月にはIoT・5Gセキュリティ総合対策の進歩状況と今後の取組の方向性についてプログレスレポートを公表している。
以下では、総務省サイバーセキュリティタスクフォースの政策を国内における主な政策としてまとめる。
総務省サイバーセキュリティタスクフォースは、IoT・5Gセキュリティに対し、以下に示すような国内における3つの枠組みと、国外における1つの枠組みに分けて、総合対策に取り組んでいる。
(1):AIや暗号、ハードウェアの脆弱性などに対する研究開発の推進
(2):東京オリンピック大会向けの人材育成、地域の人材育成などの人材育成・普及啓発の推進
(3):事業者間の情報共有基盤の構築による情報共有・情報開示の促進
(4):ASEAN各国との連携や国際標準化などの国際連携の推進
などである。以下、(1)~(4)それぞれの主な具体的政策例をまとめる。
4.1.1 (1)AIや暗号、ハードウェアの脆弱性に対する研究開発の推進
まず、(1)の活動例として、総務省等は電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト「CRYPTREC」を実施している。これにより、CRYPTRECの暗号技術検討会のもとに「量子コンピューター時代に向けた暗号の在り方検討タスクフォース」を設置し、量子コンピューター時代の推奨暗号の検討を行っている。安全とみなされた暗号技術は「CRYPTREC暗号リスト」として公表している。
また、ハードウェアの脆弱性の面では、近年IoT機器を狙ったサイバー攻撃は増加傾向にあり、脆弱なIoT機器への対策が課題となっている。それとともに、今後無線通信を利用するIoT機器の割合は増加するものと見込まれていることを受け、「周波数有効利用のためのIoTワイヤレス高効率広域ネットワークスキャン技術の研究開発」に取り組むことで、効率的な広域ネットワークスキャンの実現とともに、「セキュリティ対策が必要な脆弱なIoT機器を特定することで安全なICT基板の実現」を目指している。
一方、情報通信研究機構(NICT)ではサイバー攻撃に悪用される恐れのあるIoT機器を調査し、インターネットプロバイダを通じた利用者への注意喚起を行う取り組み「NOTICE」を2019年2月より実施するなど、ハードウェアの脆弱性に対する対策を呼び掛けている。
4.1.2 (2):東京オリンピック大会向けの人材育成、地域の人材育成などの人材育成・普及啓発の推進
近年さらに高度化・多様化するサイバー攻撃に備え、総務省は、高度な攻撃に対処可能な人材の育成を行う実践的サイバー演習「サイバーコロッセオ」を平成30年2月から本格的に実施している。目的は2020年東京オリンピック・パラリンピック競技大会の適切な運営を確保することであり、対象を大会関連組織のセキュリティ担当者等としている。
他にも、NICTを通じ、体験型の実践的サイバー防御演習(CYBER)や「SecHack365」と呼ばれる未来のサイバーセキュリティ研究者・技術者等の創出を目的とした実習・研修などを実施している。前者は、国の機関、指定法人、独立行政法人、地方公共団体及び重要インフラ事業者等の情報システム担当者等を対象とし、全国都道府県において、年間100回、計3000名規模で実施。後者は日本国内に居住する25歳以下の若手ICT人材を対象とし、2019年度には45名が修了している[8]。
以上のように、国は対象者を区分し、実習や演習等を実施することにより、高度な攻撃にも対処できるサイバーセキュリティ人材の育成を図っている。また、地方においては首都圏以上にサイバーセキュリティ人材が不足している。ゆえに、研修リーダーの不在・組織体制の不足・就業機会の不足による悪循環が生まれている。これを踏まえ、総務省では、地域のコミュニティや企業、教育機関等と連携して新たな事業を2019年10月から実施し、地域におけるセキュリティ人材の育成を図っている。
4.1.3 (3):事業者間の情報共有基盤の構築による情報共有・情報開示の促進
事業者間における迅速な情報共有は非常に重要である。既存の情報共有基盤モデルでは、攻撃元の情報は共有されていたが、防御側の弱点である脆弱性情報は機械的な速度で共有できていない。
そのうえ、現状、国内ではサイバーセキュリティ人材が不足している中、サイバー攻撃による被害が多発・深刻化している。そのような状況においては、攻撃元情報に加え、脆弱性情報についても機械的速度で情報を共有し、深刻度の正確な把握と迅速な対処を行う、新たなモデルを確立する必要がある。国は上述のようなモデルを実現するため、情報共有基盤の高度化を進めている。
また、サイバー攻撃が深刻化する中、民間企業においてサイバーセキュリティ対策は重要な経営課題であるが、ステークホルダーからの信頼を得るためには、サイバーセキュリティ対策の実施のみならずその内容について適切な情報開示が重要である。
総務省では、民間企業によるサイバーセキュリティ対策やその対策の情報開示の重要性の認識を促進するために、情報開示の事例等をまとめた「サイバーセキュリティ対策情報開示の手引き」を公表し、情報開示の促進を図っている。
4.1.4 (4):ASEAN各国との連携や国際標準化などの国際連携の推進
複雑化・高度化が進むサイバー空間の脅威に対応するためには、官民での情報共有や国際連携の強化が重要である。総務省等はASEAN各国との連携を強化するため「日ASEANサイバーセキュリティ能力構築センター(AJCCBC)」プロジェクトや日・ASEANサイバーセキュリティ政策会議等を実施。また、日米ISAC連携ワークショップを継続的に実施することにより、国際連携の強化を行っている。
上記の他にも、総務省等は2020年7月より開催される予定であった2020年東京オリンピック大会に向けた対処として早急に取り組むべき事項を整理・公表し、促進していた。取り組むべき事項にはIoT機器のセキュリティ対策の拡充や、サイバーセキュリティに関する情報共有体制の強化、公衆無線LANのセキュリティ対策や、制度的枠組みの改善などが挙げられていた。
このように、国は国内におけるIoTセキュリティ政策の公表や国外との連携を強化するなどして、高度化するサイバー攻撃に備えようと、IoTセキュリティ対策の促進・強化に取り組んでいる。
4.2 IoTに関する国内におけるセキュリティガイドライン
国内では、IoT関係者にセキュリティ対策の取り組みを促進するために、IoTセキュリティガイドラインが様々な組織から発行されている。表4-1と表4-2は国内における主要な組織から発行されたIoTセキュリティガイドラインである。
表4-1 IPAが公開したIoT関連の主なガイドライン
出典:IoT開発におけるセキュリティ設計の手引き
表4-2 国内で公開されたIoT関連の主なガイドライン(2019年4月時点)
出典:IoT開発におけるセキュリティ設計の手引き
参考文献
[8]資料34, サイバーセキュリティタスクフォース(令和2年5月)