サービス

Security by Design for IoT サービス

企業を取り巻くサイバー攻撃リスクへの対処

セキュアなモノづくりを支援するSecurity by Design for IoTサービスでは、インターネットに接続される各種の機器(インターネット家電、複合機、ヘルスケア機器等)の設計段階から、必要なセキュリティ機能を組み込むために開発者の支援を行います。

IoTを取り巻くリスク

<サイバー攻撃への対処>

2020年までに、コネクテッドカー, デジタルヘルスケア, スマートファクトリー, スマートシティ, スマートホームなどで利用される新たなIoT機器の台数は数百憶個に達し、スマートフォンや通信機器を超えると予想しています。

2017年の不正通信は、1,504億件あり、そのうち54%は、IoT機器を狙う不正通信である(NICT「NICTER観測レポート2017」2018年2月27日)と観測しており、IoT機器へのサイバー攻撃は、急増しています。サイバー攻撃が急増している中、IoT機器は、製品とコストの両立が必須でありつつも、膨大に出てくるハッカー視点によるリスクの抽出に対応し、リライアビリティ(信頼性)、セーフティ(安全性)、知的財産権侵害、輸入規制の検討も必要になり、コンフリクトが増大します。

<法規制>

総務省は、IoTの普及を踏まえ、端末機器に不正アクセスを防ぐ機能を設けることを2020年4月から適用し、サイバー攻撃の防御を義務化すると発表しました。(総務省:http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00011.html)ネットワークを介してあらゆるものがつながることから、不特定多数からのアクセスを遮断する逝去機能とIDやパスワードの初期設定の変更を促す機能、ソフトウェアを常に更新するよう求められ、基準を満たすものだけが、市場投入を許されることになります。

多発するサイバー攻撃の防御だけではなく、このような法規制にも対応する必要があります。

 

課題

<経営者層>

  1. IoT製品の脆弱性を放置したままでいると予期せぬ実害を被る可能性があります。

    ユーザから製造責任(瑕疵)を問われ、賠償請求や訴訟リスクが高まります。*NIST SP800-171(連邦政府外のシステムと 組織における管理された 非格付け情報の保護)も施行されており、政府機関からの賠償請求や訴訟リスクもあり、また、集団訴訟になるリスクも高まります。

    * NIST SP800-171(連邦政府外のシステムと組織における管理された非格付け情報の保護)[PDF, 903KB,外部サイト]
  2. 悪意ある攻撃者がIoT製品をハッキングし、このIoT製品を踏み台にして、他企業のITシステムに対してDDoS攻撃をかけるようなサイバー攻撃が行われた場合、被害を被った企業からの賠償請求や訴訟リスクがあります。また風評被害、ブランドイメージ失墜するリスクがあり、株主からの経営者に対する賠償請求や訴訟リスクが高まります。このようなリスクを避けるためには、IoT製品の回収やバージョンアップが必要でコストが発生します。
  3. ハッカーのスキルは日々進歩しています。今現在、安全なセキュリティ対策も数年後は安全とは限りません。製品のライフサイクルが終了する前に、破られる可能性のあるセキュリティ対策では、製品の安全性を担保しているとは言えません。製品のライフサイクルを考慮したセキュア設計が必要です。
  4. 時代の変化は早く、事業のライフサイクルは非常に短くなっています。急激な事業の変化に合わせて、セキュリティ対策を見直せるような、セキュア設計をしておくことが重要です。
     

<開発層>

IoT機器を販売するにあたり、コストを無視するわけにはならないので、開発チームに大きなしわ寄せがきます。価格、品質を守りつつ、コストを考慮した実装を検討しなければなりません。

 

Security by Design for IoT サービス概要

デロイト トーマツは、下記のサービスを提供します。

  • 製品のライフサイクルを考慮したセキュリティ設計の支援を行います。
    ⇒ 事業環境の変化にも、柔軟に対応できるようなセキュリティ設計が可能になります。
  • セキュリティ要件を整理することで、テスト項目も必要最低限に抑える支援を行います。
    ⇒ 開発にかかるコストを最低限に抑えることが可能になります。
  • 製品出荷後も、製品の安全性を継続して担保できるような体制構築を支援します。
    ⇒ 永続的に安全な製品を供給できる環境構築を支援します。

 

※画像をクリックすると拡大表示します

デロイト トーマツの優位性

<経営者層>

企業は、ROI向上のために、サイバーフィジカルシステムやデジタルツイン戦略などのデジタルトランスフォーメーションの推進、Society 5.0で提唱されている高度なサプライチェーンの構築などを進めていく必要があります。しかし、それに見合うセキュリティ対策がなくては、企業は許容できないリスクを抱える危険性があります。デロイトは、このリスクに対して、Security by Design for IoT を活用して、コストを意識したセキュア設計、開発支援、製品のライフサイクルを考慮した、製品セキュリティインシデント(PSIRT)体制構築を行い、永続的に安全な製品を供給できる環境構築を支援します。

<開発層>

Security by Design for IoTにより、コスト面への影響を抑えつつ、製品のセキュリティに対する網羅性と妥当性を確保、見える化することができます。その結果、集団訴訟が起きた場合も、説明責任を果たすことができるような支援を行います。

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

 

>> オンラインフォームよりお問い合わせを行う <<

プロフェッショナル

北野 晴人/Haruhito Kitano

北野 晴人/Haruhito Kitano

デロイト トーマツ サイバー合同会社 執行役員

二種通信事業者、外資系通信機器ベンダーなどを経て、2001年から2013年春までリレーショナル・データベース、アイデンティティ管理を中心にセキュリティ関連製品の販売戦略・ビジネス開発などを担当。その後、セキュリティ技術と法律、マネジメントをつなぐコンサルティングを提供中。博士(情報学)、ISC2 アジア・パシフィック・アドバイザリーカウンシルメンバー。 公認情報システムセキュリティプロフェッショナ... さらに見る