SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • Security Online
  • DB Online
  • ニュース
  • 新着記事一覧
  • イベント

    コスト高にならない「Oracle Database」クラウド移行の方策ー35年の知見からOCIと最新PaaSを徹底解説! powered by EnterpriseZine
    2025年10月17日(金) オンライン開催

    • 酒井真弓の『Enterprise IT Women』訪問記

      酒井真弓の『Enterprise IT Women』訪問記

    • SaaS ERP最前線──適者生存の市場を勝ち抜く企業はどこに

      SaaS ERP最前線──適者生存の市場を勝ち抜く企業はどこに

    • Next エンタープライズAI

      Next エンタープライズAI

    • IT部門から“組織変革”を~気鋭のトップランナーを訪ねる~

      IT部門から“組織変革”を~気鋭のトップランナーを訪ねる~

  • ブログ

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

コスト高にならない「Oracle Database」クラウド移行の方策ー35年の知見からOCIと最新PaaSを徹底解説! powered by EnterpriseZine

2025年10月17日(金) オンライン開催

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2025年夏号(EnterpriseZine Press 2025 Summer)特集「“老舗”の中小企業がDX推進できたワケ──有識者・実践者から学ぶトップリーダーの覚悟」

Security Online Day 2017 イベントレポート(AD)

IoT時代に求められるセキュリティ・バイ・デザインとは?

「セキュリティ・バイ・デザイン」で設計段階からセキュリティを組み込む

 IoTに関連したセキュリティの技術的な指針としては、IPAや総務省、経産省がさまざまなガイドラインを公開している。Webアプリケーションのセキュリティ向上を目的とした国際的なコミュニティOWASPでも「OWASP Internet of Things Project」を展開しており、プロジェクトの成果として各種のドキュメントがある。

 これらに加えて北野氏が推奨するのが、米NISTの『Security Considerations in the System Development Life Cycle(情報システム開発ライフサイクルにおけるセキュリティの考慮事項)』だ。

 

 IoTに特化しているわけではなく、どちらかというとソフトウェアを中心としたシステムを対象としたものだが、システム開発ライフサイクル(SDLC)全体の中でどのようにセキュリティを組み込んでいくか、それぞれのプロセスで何をすべきかが解説されている。

 「IoT機器やサービスの開発ライフサイクル全体でセキュリティを考えること、特に、より早い段階からセキュリティを組み込む『セキュリティ・バイ・デザイン』を実践することが重要です」(北野氏)

 IoT機器の設計・開発段階においてセキュリティを組み込んでいく大まかな流れは、次のとおり。

 まず最初の開発計画では、IoT機器およびそれを使ったサービスで「何が重要なのか」を考え、守るものを明確化する。基本設計の段階では、どういう問題が起こりうるのか、どんな方針で対応するのかを考え、セキュリティの基本的な枠組みを決める。詳細設計の段階では、基本設計として暗号や認証、耐タンパー性の設計・実装などを行う。

出所:デロイトトーマツリスクサービス株式会社 北野晴人氏
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]

 続いて、採用したセキュアコーディングのルールに従ってソフトウェアを作成するとともに、テストケースを作成。あわせてハードウェアを開発し、プロトタイプに落とし込む。そして、テスト・修正の段階では、脆弱性検査を実施して少なくとも既知の問題については穴がないか確認。リリース(出荷)判定にあたっては、設計されたとおりにセキュリティの機能が動いているかをしっかりとチェックする。

 こうしたセキュリティ・バイ・デザインを基本とするIoTのセキュリティ対策を効率的に進めるためには、組織内の体制やルール作りも欠かせない。工業製品であるIoT機器の設計・開発部門は決して情報セキュリティのエキスパートではないし、情報セキュリティの管理を担う部門(情報システム部門が多い)は工業製品の開発プロセスを熟知しているわけではない。両者がスムーズに連携・協力し合える体制を構築するとともに、IoT製品の設計・開発に関する一元的なセキュリティポリシーの策定および標準化が必要だ。一部はセキュリティポリシーというよりも、製造業における開発標準や品質管理基準に組み込むという形もありえるだろう。

 また、IoT製品の出荷やサービス開始後に問題が起きた場合のインシデント対応の体制も整備する必要がある。具体的には、IT関連のインシデントレスポンスチームである「CSIRT」の考え方を製品(プロダクト)に当てはめた「P-SIRT」の設置などを検討することになるだろう。

出所:デロイトトーマツリスクサービス株式会社 北野晴人氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]

次のページ
多くのIoTサービスで必須の「プライバシー保護」も設計から組み込む

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

Security Online編集部(セキュリティ オンライン ヘンシュウブ)

Security Online編集部翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9859 2017/10/30 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    村田製作所が挑む「自律分散型DX」の現在地──80年の歴史に新たな基盤を築くDXリーダーの覚悟 NEW
  2. 2
    八子知礼氏に聞く、製造業DXのその先──宇宙ビジネスまで見据えた「AI×専門フレームワーク」の長期戦略とは? NEW
  3. 3
    「SplunkはCiscoによって進化する」本社経営陣が明かす、AI時代の“データ覇権”を握る新戦略 NEW
  4. 4
    松山市、変革を担う“推進リーダー”育成に挑んだ1年がかりの研修を振り返る──修了後の適正配置が課題に
  5. 5
    なぜソニー銀行は勘定系システムのフルクラウド化を実現できたか? 成功の鍵を握る「技術負債を作らない」アプローチと、システム企画の舞台裏
  6. 6
    なぜMUFG、ソニー、セブン&アイはGoogleのAIを選んだのか?── Google Cloud幹部が語る日本企業との「共同のイノベーション」
  7. 7
    1年経っても冷めやらぬVMware買収騒動の余波……場当たり的な“離脱”の前に考えるべきポイント
  8. 8
    国内最大級のSaaS企業ラクスはあえてオンプレミス強化 「クラウドネイティブ・オンプレミス」戦略とは
  9. 9
    コロナ危機で仕込んだ「DXのタネ」が花開いた旭化成ホームズ “紙文化”残る不動産業界での奮闘劇
  10. 10
    IT部門は消滅する?大規模開発の常識を覆しかねない自律型AIエンジニア「Devin」のインパクトとは

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    村田製作所が挑む「自律分散型DX」の現在地──80年の歴史に新たな基盤を築くDXリーダーの覚悟 NEW
  2. 2
    八子知礼氏に聞く、製造業DXのその先──宇宙ビジネスまで見据えた「AI×専門フレームワーク」の長期戦略とは? NEW
  3. 3
    「SplunkはCiscoによって進化する」本社経営陣が明かす、AI時代の“データ覇権”を握る新戦略 NEW
  4. 4
    松山市、変革を担う“推進リーダー”育成に挑んだ1年がかりの研修を振り返る──修了後の適正配置が課題に
  5. 5
    なぜソニー銀行は勘定系システムのフルクラウド化を実現できたか? 成功の鍵を握る「技術負債を作らない」アプローチと、システム企画の舞台裏
  6. 6
    なぜMUFG、ソニー、セブン&アイはGoogleのAIを選んだのか?── Google Cloud幹部が語る日本企業との「共同のイノベーション」
  7. 7
    1年経っても冷めやらぬVMware買収騒動の余波……場当たり的な“離脱”の前に考えるべきポイント
  8. 8
    国内最大級のSaaS企業ラクスはあえてオンプレミス強化 「クラウドネイティブ・オンプレミス」戦略とは
  9. 9
    コロナ危機で仕込んだ「DXのタネ」が花開いた旭化成ホームズ “紙文化”残る不動産業界での奮闘劇
  10. 10
    IT部門は消滅する?大規模開発の常識を覆しかねない自律型AIエンジニア「Devin」のインパクトとは