2003年11月に発足した「情報システム等の脆弱性情報の取り扱いに関する研究会」では、これまで官民連携の“情報セキュリティ早期警戒パートナーシップ”の策定、脆弱性関連情報の取り扱い範囲などの検討を重ねてきた。また、同研究会では、IoT製品の脆弱性届出件数の増加を受け、昨年、IoT製品の脆弱性の取扱いのあり方やその開発における脆弱性対策の啓発について検討に着手した。
その手始めに、IoT製品開発におけるセキュリティ対策の現状を把握するため、アンケート調査を行った。今回公開した「IoT製品・サービス開発者におけるセキュリティ対策の現状と意識に関する報告書」はこのアンケート結果をまとめたもの。
また、この調査から明らかになった課題を解決するため、「IoT製品・サービス脆弱性対応ガイド」も併せて公開した。これは、経営者・管理者向けに、企業が実施すべきIoT製品・サービスの脆弱性対策のポイントをまとめたものになる。
■調査から浮き彫りになったこと
- 製品開発段階でセキュリティ方針、基準の有無:「ある」と回答した割合は35.6%
- 開発段階において脆弱性対策を考慮している割合:68.3%
- 2.で実施している対策のうち、実施率が低かった対策:セキュアプログラミングの適用が41.4%、コーディング規約の利用は36.4%
- 製品のサポート期間中に脆弱性が発見されたことがある割合:26.3%
- 製品出荷後に脆弱性対策が困難な場合がある割合:13.7%
- その理由で最多が“製品・サービスの機能が最低限であり、パッチ適応が困難”な割合:42.9%
- 製品出荷後1年以内のパッチ適用率:最多だったのは“把握していない”31.1%
- サポート終了後に脆弱性が発見された場合の対応:最多だったのは“最新の製品・サービスの利用を呼びかける”42.9%
