何度か企業のサイバーセキュリティ対策の中で、IoT機器は見落としがちなリスクであることを紹介している。その理由は様々だが、

 

・本社のIT部門、セキュリティ部門は、製造部門が独自に入れた機器を知らされない

・当該部門では、セキュリティ知識のある人がいないことも多い

　- IoTだが常時ネット接続していないので、サイバーリスクは無縁と思っている

　- 諸般の設定やUPDATEが必要な場合も、それを理解していない

　- 使用期限が設定してあっても、見ていないか無視されがち

・製品自体も、警告ランプなどがなく「Security by Design」になっていない

 

　という次第。確かに機器の利用側の問題もあるのだが、まずは製造元に「Security by Design」を求めるべきだろう。そこで経産省・IPAでは、IoT機器のセキュリティ適合評価制度「JC-STAR」を作り、適合した製品にQRコード付きのラベルを貼るようにし始めた。

 

　　　　

 

　実際にこの制度を推進している人によれば、例えば製造現場で動いている機器を指して聞くと、基礎的な（セキュリティというより）機器の知識がないことに驚いたとのこと。

 

「ファームウェアって何ですか」

「使用期限があるなんて聞いたこともありません」

「ベンダーさんが置いて行ったので、使っているだけです」

 

　最後の言葉にあるように、ベンダー側の責任も大きい。まずは、リスクの高い通信機器から始め、防犯カメラ、スマート家電の順で適合評価基準を作っている。適合した製品にはシールを貼るので、知識が十分で無い人でも選定しやすい。そしてシール上のQRコードにアクセスすれば、当該機器の使用期限、ファームウェア等のUPDATE要否、製造元連絡先などが分かる仕組みになっている。

 

　サイバーセキュリティ関連業界は非常に多くの企業が絡んだ複雑な世界だが、IoT機器については、まだしも製造元企業は限定されるのでレギュレートしやすい。利用者の教育するよりは、製造元に「Security by Design」を見える形で実現してもらうのが近道である。