NISTの「IoTセキュリティガイドライン」には何が書かれているのか：“危ないIoTデバイス”一掃への第一歩？

米国土安全保障省（DHS）と米国立標準技術研究所（NIST）がリリースしたIoTセキュリティのガイドラインは、企業がセキュアなIoT開発を進めるのに役立つ。

[Michael Cobb，TechTarget]

DHSやNISTのIoTセキュリティガイドラインの中身とは

　世界的にネットワーク接続型技術の活用が広がる一方で、情報セキュリティがそれに追い付けていないのが実情だ。IoT（モノのインターネット）デバイスの開発者やベンダーの多くは、市場への参入を急ぐあまり、製品のセキュリティ面の評価をおろそかにしているのではないかとの声がある。何百万台あるいは何千万台もの脆弱（ぜいじゃく）なデバイスが、全世界の家庭や企業、地域に配備されているという見方もある。

　こうした状況の改善を促し、セキュアなIoT開発のフレームワークを構築するために、米国土安全保障省（DHS）と米国立標準技術研究所（NIST）はIoTセキュリティのガイドラインをリリースした。

　IoTデバイスの開発や導入など、何らかの形でIoTを担当している人にとって、DHSが発行したドキュメント「Internet of Things Fact Sheet」（IoTファクトシート）と「Strategic Principles for Securing the Internet of Things」（セキュアなIoTのための戦略的原則）は必読だ。これらを読めば、対処すべき問題の現状を素早く把握できる。

　両ドキュメントは、セキュアなIoTを実現するための6つの戦略的原則（以下）を示している。

1. 設計段階でセキュリティを組み込む
2. セキュリティの改善と脆弱性対策を進める
3. 既存のセキュリティ手法を拡張する
4. 潜在的な影響に応じてセキュリティ対策の優先度を決める
5. IoT全体を通じて透明性を促進する
6. 接続には慎重を期する

　最初の4項目については、Microsoftのソフトウェア開発プロセス「Security Development Lifecycle」や業界団体OWASP（Open Web Application Security Project）の活動をはじめ、数年前からソフトウェア業界が積極的に取り組んでいる。インターネット接続可能な製品をセキュアにするノウハウに乏しい企業が、IoTデバイスを開発するケースは少なくない。これらの原則は、常識的なアドバイスのように思えるかもしれない。それでもセキュアで信頼性が高く、存続可能なシステムの開発／導入経験のない企業が、最初に考慮すべきポイントであることに違いはない。

　DHSのドキュメントは読みやすく、企業の経営幹部が現状を理解するのに役立つ。その中で推奨している手法の多くは、他のドキュメントを参照する形になっている。例えばNISTの「Cybersecurity Framework」（サイバーセキュリティフレームワーク）、DHSの機関ICS-CERTの「Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies」（深層防御による産業制御システムのサイバーセキュリティの改善）などだ。これらは具体的なIoTセキュリティのガイドラインを示しており、セキュアな開発ライフサイクルを実現する責任がある企業には必須のドキュメントだといえる。

併せて読みたいお薦め記事

「IoTセキュリティ」についてもっと詳しく

• 「テディベアがあなたの会話を聞いている」時代のIoTセキュリティとは
• 「ベンチャー気分のIoTは“炎上”する」　専門家が警告するIoTの落とし穴
• 専門家が口をそろえる「IoTのセキュリティは難しい」、強化のための3ステップ

IoTマルウェア「Mirai」とは何だったのか

• “アンナ先輩”が公開したマルウェア「Mirai」に専門家が震え上がる訳
• “アンナ先輩”の「Mirai」がより凶悪に？　DDoS攻撃を約50倍に増幅する手口が判明

　一方でNISTの「SP 800-160」（Systems Security Engineering：システムセキュリティエンジニアリング）は、セキュアなIoTデバイスを開発する上で必要な作業を詳細に説明している。NISTが発行する特別刊行物（SP：Special Publication）のうち、「SP 800」シリーズはコンピュータセキュリティに関して記述されている。