“回転すし屋”のアプローチが必要なIoTセキュリティ実装（3/3 ページ）

全てのものをインターネットに接続する手段であるIoT（Internet of Things）。第4次産業革命におけるキーテクノロジーの一つであり、企業変革をもたらすキーフレームとしての役割を持つIoTは、既に多くの企業で積極的に活用されていることだろう。ただし、インターネットに接続可能なIoTデバイスだけに、これまでのITと同様、セキュリティに対しては配慮が必要だ。そこで今回は、そんなIoTセキュリティにおける現状と、理解しておきたいセキュリティの考え方について紹介したい。

[松尾正克，デロイトトーマツ サイバー合同会社]

IoTセキュリティにおける注意点

　これまでIoTセキュリティにおける考え方を説明したが、自社に適応する際に注意したいポイントについて見ていこう。

モニタリング機関としてのPSIRTの位置付け

　企業の中には、セキュリティインシデントに対処するための組織であるCSIRT（Computer Security Incident Response Team）が設置されているケースがあるが、最近はIoTを意識してPSIRTを設置し始める企業もある。しかし、その位置付けが十分に理解できていない企業が少なくなく、CSIRTの一部にPSIRTが存在していたり、特別な権限もなく運用していたりするケースが散見される。PSIRTが組織横断的にモニタリングを行う役割であることを考えれば、社長直下の組織にするなど、CSIRTとは独立した形で設置するのが理想的だろう。

設計と施工の違いを知るべき

　本来プログラム開発の現場では、まずは機能要件を洗い出したうえで設計を行い、ブロック図やシーケンス図などの資料を作成し、その資料を基に開発、いわゆる施工に取り掛かることになる。しかし最近では、設計を飛ばしてアジャイル的な手法で開発するケースが増加している。もちろんこれは有効な部分もあるが、本来はしっかりとした設計が必要なことを理解した上でアジャイル手法を用いるべきである。特にIoTセキュリティについては、ライフサイクル全体で考える必要がある。例えばセキュアコーディングのように施工技術だけを安全にすればいいという考え方では通用しない。IoTセキュリティにおいては、しっかりとした設計とそれに基づき施工することが重要となる。