政府、IoTシステムにおけるセキュリティの一般的枠組を決定

内閣サイバーセキュリティセンターは、「安全なIoTシステムのためのセキュリティに関する一般的枠組」を決定した。

同枠組みは、従来のセキュリティ対策では不十分であるIoTシステムの安全確保を目的として、IoTシステムの設計、構築、運用に求められるセキュリティの一般要求事項を示したもの。セキュリティ要件の実装や、相互運用性の確保を促すことで、安全なIoTシステムの積極的な開発を促すとしている。

6月にパブリックコメントを実施しており、16の団体や個人などから68件の意見が寄せられ、25件の修正を加えた上で決定した。

「安全性」「機密性」「完全性」「可用性」の要件を確保することを前提とし、「ネットワーク」と「モノ」が接続するIoTシステムにおいて、関係者の相互理解や官民連携による環境整備の必要性を指摘。

セキュリティを事前に考慮した「セキュリティバイデザイン」を基本原則に掲げた上で、稼働前に確認および検証できるしくみの必要性に言及している。

その上で基本方針の設定、リスク評価、システム設計、システム構築、運用保守における要件定義が必要としており、システムの定義、セキュリティ確保やサービス回復に必要な要件、ネットワークの安全確保水準、責任分解点、情報の所有権など、要求事項の明確化を求めている。

さらに「要求事項の明確化」「IoTシステムのモデル化」「リスクに応じた対応」「性能要求と仕様要求の適切な適用」「段階的、継続的アプローチ」「役割分担、対処のあり方」など取組方針を示した。

ただし、同枠組みは、あくまで一般要求事項にとどめており、個々の分野に関しては、特性を踏まえた分野固有の要求事項を定めるなど、2段階のアプローチが必要であるとしている。

（Security NEXT - 2016/08/31 ）ツイート