経済産業省は4月19日、「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公表した。セキュリティ検証サービスの高度化を目的とした「手引き」で、「本編」と「別冊」3冊の計4冊で構成され、合計301ページ。機器のセキュリティ検証サービスを提供する事業者向けのガイドだが、ユーザー企業もセキュリティ対策に活用できそうである。各冊とも経産省のWebサイトからダウンロードできる。
昨今、サイバーセキュリティの脅威が増し、被害も多数報告されている。そのなかで、IoT機器を狙った攻撃が急増しており、対策が急務の課題となっている。
IoT機器の安全性を確認するには、機器に対するセキュリティ検証が有効になる。しかしながら、現在のセキュリティ検証サービスは「検証人材の暗黙知に依存している部分が大きく、効果的な検証手法や実施すべき事項について統一的な整理がなされていない状況にある」と、経産省は指摘する。また、セキュリティ検証サービス事業者を選定するための基準もあいまいなため、「依頼者が求める結果が十分に得られないような状況も生じていた」という。
経産省はこのような状況を踏まえ、2017年に「産業サイバーセキュリティ研究会」を設置し、その「ワーキンググループ3(サイバーセキュリティビジネス化)」において2018年4月から、サイバーセキュリティビジネスの成長促進に向けた検討を行ってきた。今回の「手引き」はその成果で、次の3点についてまとめている。
・機器のセキュリティ検証において検証サービス事業者が実施すべき事項
・よりよい検証サービスを受けるために検証依頼者が実施すべき事項および持つべき知識
・検証サービス事業者・検証依頼者間の適切なコミュニケーションのために2者間で共有すべき情報や留意すべき事項
また、「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」は、以下の内容で構成されている。
・本編 「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」
・別冊1「脅威分析及びセキュリティ検証の詳細解説書」
・別冊2「機器メーカに向けた脅威分析及びセキュリティ検証の解説書」
・別冊3「検証人材の育成に向けた手引き」
「手引き」が対象とする機器。IoT機器をはじめとするネットワークに常時接続する機器および関連サービス。
別冊2「機器メーカに向けた脅威分析及びセキュリティ検証の解説書」では、具体的な攻撃ポイントと想定される脅威の分析などの詳細な解説があり、ユーザーはこの部分だけでも参考になりそうである。
・経済産業省「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」
[i Magazine・IS magazine]
