サイバーセキュリティ戦略とIOT

cyber_002_R

サイバーセキュリティ戦略(案)の決定

政府は、2015年5月25日の「サイバーセキュリティ戦略本部」第2回会合で、「サイバーセキュリティ戦略(案)」を決定し、6月8日までパブリックコメントを募集していました。これは、2020年オリンピック・パラリンピック東京大会の開催を見据えつつ、今後3年程度の基本的な施策の方向性を示すものです。

「サイバーセキュリティ戦略」については、2013年6月に「情報セキュリティ政策会議」で決定したもの(現行)がありますが、今回はその更新となるとともに、2014年11月に成立した「サイバーセキュリティ基本法」第12条の「サイバーセキュリティに関する基本的な計画を定めなければならない」という規定に基づく法的位置づけがされたものでもあります。

サイバーセキュリティ戦略(案)の構成

戦略(案)は、はじめに「策定の趣旨」を述べ、次に「サイバー空間に係る認識」、次に「目的」を記しています。目的としては、『自由、公正かつ安全なサイバー空間』を創出・発展させ、もって

『経済社会の活力の向上及び持続的発展』

『国民が安全で安心して暮らせる社会の実現』

『国際社会の平和・安定及び我が国の安全保障』

に寄与することを掲げています。

次に目的を達成するための基本原則として、

「情報の自由な流通の確保」

「法の支配」

「開放性」

「自律性」

「多様な主体の連携」

の5つを掲げています。そして、「戦略(案)」の大半(3/4)を割いて「目的達成のための施策」の説明しています。

cyber_001_R

サイバーセキュリティ戦略(案)より

サイバーセキュリティ戦略案におけるIOTの位置づけ

戦略の中では、IoTというキーワードが55回も出てきます。また、「5 目標達成のための施策」の最初の項立てを「5.1. 経済社会の活力の向上及び持続的発展」として、その中で次のようにIOTの重要性を述べています。

到来しつつある連接融合情報社会においては、コンピュータのみならず、家電、自動車、ロボット、スマートメーター等の様々なモノがインターネット等のネットワークに接続され、そこから得られるビッグデータの利活用等により新たなサービスの実現が可能となるシステム(以下「IoTシステム」という。)が普及してくる。そして、このIoTシステムの普及により、サイバー空間と実空間の融合が高度に深化する。今後、企業は、こうしたIoT システムを活用した新たなビジネスの創出や既存ビジネスの高度化を図る方向に向かうと見込まれる。このため、我が国企業がこうしたビジネスチャンスを確実に捉えることは、我が国の経済社会の活力の向上及び持続的発展にとって極めて重要である。

このように述べたあと、企業が、IoT システムを通じて新たなサービスを提供し、経済をけん引していくには「セキュリティ品質」の保証が前提となり、そのためにセキュリティリスクを可能な限り低減しなければならないとして、官民一体となって先手を取って対策を進めることが必要を強調しています。具体的な対策として以下の3つの視点から述べています。

(1)安全なIoT システムの創出

(2)セキュリティマインドを持った企業経営の推進

(3)セキュリティに係るビジネス環境の整備

ここでもIoTが最初に取り上げられており、実空間とサイバー空間の融合が高度に進化したIoT社会の到来を見据え、IoTに重きをおいた内容になっているようです。

安全なIoTシステムの創出では、エネルギー分野、自動車分野、医療分野等におけるIoTシステムのセキュリティに係る総合的なガイドライン等の整備、セキュリティ・バイ・デザイン(Security By Design)の推進、セキュリティマインドを持った企業経営の推進では、企業におけるセキュリティに係る取り組みが市場等から正当に評価される仕組みの構築などについて述べています。

安全なIoTシステムの創出

IoT システムにおける「高いレベルでのセキュリティ品質」のための投資は、新たなビジネス・新規雇用等の創出のため必要不可欠であるとして、次の具体的取組みを掲げています。

(1)安全なIoT システムを活用した新規事業の振興

セキュリティを後付けで導入しても、IoT システムが本質的に安全になるものではなく、むしろコストの大幅な増加の要因となるだけだとして、システムの企画・設計段階からセキュリティの確保を盛り込むセキュリティ・バイ・デザイン(Security By Design)の考え方を推進するとしています。

(2)IoT システムのセキュリティに係る体系及び体制の整備

IoT システムに係る大規模な事業は、官民の主体が連携することで、ビジネスイノベーシ
ョンを巻き起こしていくことが重要であり、相互信頼に基づく連携と各主体の自律的な取組による協働を実現するためには、当該事業に求められるセキュリティ対策に係る目標、方法、期限等について共通認識を醸成し、その上で、各関係主体の任務を明確化する必要があるとしています。そして、国が推進するIoT システムに係る大規模な事業のうち、経済社会への影響が大きいものについては、サイバーセキュリティ戦略本部が、横断的な対策のために必要な企画・立案・総合調整を行い、関係府省庁や関係機関の間における有機的・一体的な連携を働きかけるなど、必要な取組が整合的かつ遺漏なく実施されるよう促していくとしています。

(3)IoT システムのセキュリティに係る制度整備

 市場が期待する高いレベルのセキュリティ品質のIoT システムを適時に市場に投入していくためには、IoT システムのサプライチェーン全体で適切な対策が講じられていることが求められるとして、官民で連携しつつ、IoT システムの構成要素であるM2M(Machine to Machine)機器やウェアラブル端末等の機器を含め、エネルギー分野、自動車分野、医療分野等におけるIoT システムのセキュリティに係る総合的なガイドラインや基準の整備を行うとしています。
また、関係者が連携しIoT システムや、その構成要素である機器等の脆弱性が確実に修正される仕組みや、IoT システムの開発者等の関係者にフィードバックする仕組みを構築し、安全かつ高品質なサービスを実現するための取り組みを促すとしています。

(4)IoT システムのセキュリティに係る技術開発・実証

 IoT システムを活用した新ビジネスの創出等を促進していくためには、従来の情報通信機器とは異なるIoT システムの構成要素の特徴を踏まえ、セキュリティを担保するための技
術開発・実証事業を行うとしています。そして、高付加価値のサービスが提供されていくためには、システム全体としてのセキュリティ確保のための対策が必要であり、このため、テスト環境の構築や、システム全体の脅威分析・リスク評価手法の開発、IC チップを含むハードウェアの真正性の検証等、社会科学的な研究も含め、IoT システムにおける対策検討等に必要な技術開発・実証事業を行うとしています。

〇関連リンク

IoTとセキュリティ脅威

ベライゾン2015年度データ漏洩と侵害調査報告書より

FIDO(Fast IDentity Online)

iotのセキュリティ技術の事例

FTCリポートに見るiotのリスク

IoT時代に考えるセキュリティ

 

 

 

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です