English

お問い合わせ

BLOG

セミナーレポート

組込みOS最前線 #3 IoTを取り巻く環境と関連法案の動向

組込みOS最前線 #3セミナーに参加した記者による各セッションのレポートをお届けします。

IoTを取り巻く環境と関連法案の動向

サイバートラストでは、IoTや組込みLinuxの最新動向を紹介するセミナーを開催しています。組込み機器におけるLinux OSの利用を推進するために、組込みOSや関連技術、コミュニティの動向などを共有することを目的にしたものです。

ここでは、6月21に開催されたセミナー「IoTデバイス保守編」から、セキュアIoTプラットフォーム協議会 事務局長 白水公康氏のセッション「IoTを取り巻く環境と関連法案の動向」の模様をレポートします。

白水氏のセッションでは、IoTデバイスによるインターネットのセキュリティリスクと、その政府による対策が解説されました。

セキュアIoTプラットフォーム協議会 事務局長 白水公康氏

IoTセキュリティは重要インフラに重大な影響

白水氏は、まず、セキュアIoTプラットフォーム協議会について紹介しました。IoTセキュリティに関する国の方針を具現化するためのガイドライン作りのために、2017年4月設立された一般社団法人です。特徴はレイヤーの広い会員企業で、たとえば損害保険会社なども入っていますが、「IoTデバイスメーカーがまだ少ない」と白水氏はコメントしました。

さて、IoTセキュリティが問題となる背景には、増加するIoTデバイスと脅威の拡大があります。2020年には400億台のデバイスがネットにつながるともいわれる中で、市場の70%のデバイスが脆弱性を抱えているとのことです。

そのため、点滴装置の乗っ取りの可能性や、サンフランシスコ市営路線バスのシステム乗っ取りの事例、電力、市の緊急サイレンなど、重要インフラにさまざまな障害が起こる可能性があり、命にかかわる問題にもなります。特に、過去の例に鑑みて、オリンピックイヤーに開催地が狙われるという危険があると白水氏は警告しました。

iot-190621-01.png

では、なぜIoT機器が狙われるのでしょうか。その理由となるIoT機器の特質として、常時接続、PCなどに比べると脆弱性が多いこと、PCやサーバーなどに比べると低コストでハッキングできること、管理者不在でアップデートやパッチあてがなされていないこと、長期利用されるケースが多いことを白水氏は指摘しました。

iot-190621-02.png

総務省と経産省のIoTセキュリティ対策

これに対して日米の政府がとる方針は、設計製造の段階から安全性を担保する「セキュリティバイデザイン」と、ライフサイクル全体を管理する「プロダクトライフサイクル管理」があり、それぞれ法令化されています。

具体的な日本の政策としては、2017年10月3日に公表された「総務省IoTセキュリティ総合対策」があります。これには、セキュリティバイデザインとプロダクトライフサイクル管理の両方の必要性が書かれています。

http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000126.html

iot-190621-03.png

同じく総務省が2018年7月27日に公表した「IoTセキュリティ総合対策プログレスレポート」では、IoT機器内のICチップに電子証明書を格納して製造元等を識別する手法が取り上げられています。これは平成30年度戦略的情報通信研究開発推進事業(SCOPE)のプロジェクトとして採択され、セキュアIoTプラットフォーム協議会が受託したと白水氏は説明しました。

iot-190621-04.png

http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00026.html

経産省では、「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」を2019年に策定しました。これは、IoT機器のセキュリティバイデザインから、正規品の導入、適切な廃棄まで扱ったものです。「サイバー層」と「サプライチェーン層」のほかに、両者をつなげる「フィジカル - サイバー層」の3層で考えるのが特徴です。

iot-190621-05.png

https://www.meti.go.jp/press/2019/04/20190418002/20190418002.html

改正民法でバグの瑕疵担保責任がバグ発見から1年に

これを受けて改正民法が2020年4月から施行されることが決定しています。この改正民法では、5年間のセキュリティパッチ供給が義務化されます。また、バグの瑕疵担保責任がバグ発見から1年になり、1年以内であれば損害賠償請求ができると白水氏は説明しました。

iot-190621-06.png

そのほか国の対策として、2019年2月から実施された「NOTICE」があります。これは、脆弱性があったり、パスワードが設定されていないか初期状態であったりするIoT機器を、無差別にスキャンするというものです。そのための法改訂までしてNICTが実施したもので、「弱いところを狙われるから、先に叩いておく」ものだと白水氏は表現しました。

通信端末の技適のセキュリティ要件変更

その先の施策としては、2020年4月に施行される、通信端末の技術基準適合認定(技適)変更があります。ここでは、アクセス制御機能(ハードウェアのRoot of Trustを推奨)、初期パスワードの変更を促す機能、ファームェアの更新機能(OTAアップデートを推奨)がセキュティ要件となります。なお対象は、直接接続される端末機器で、IPを使用するものであり、任意のソフトウェアにより変更できる端末(PC・スマホなど)を除くとなっています。

技適の変更の注意点として白水氏は、「推奨」はその次の改訂で義務化される可能性が高いこと、認定が施行日より前でも製品化が施行日以降であれば対象になること、外国の機器が日本で使われる場合やその逆も対象になることを説明しました。

iot-190621-07.png

そのほか、国際協調によるサイバーセキュリティ対策として、2019年3月15日に公表された「B20東京サミット共同宣言:Society5.0 for SDGs」も白水氏は取り上げました。IoTや5G、ビッグデータ、クラウド、AIなどの技術による新しい価値の創造がテーマとなっています。

「そのベースになるのはセキュリティと言われている」と白水氏。「グローバルなサプライチェーン全体のICTリスクを管理する、一貫性のある、または相互運用可能な枠組みの開発・運用」について国際協力が必要とされていると氏は説明しました。

iot-190621-08.png

国家レベルでのサイバーセキュリティへの対策が法律・予算ともに大きく動いており、複数の官庁から対策もでていることで動向ウオッチを続けることは容易ではありません。その中で、参加者は、最新の動向を知ることができ、今後の、組込みシステムにおけるシステム開発で気にしていく必要があることが理解できたことでしょう。今後も、組み込みOS最前線から、興味深いテーマを選んでお届けしたいと思います。