インダストリアル・インターネット・コンソーシアムの会員企業とともに作成に携わった「IoT Security Maturity Model : Practitioner’s Guide」は、インダストリアルIoTの事業者が、自社のセキュリティ対策に関する目標やリスクへの考え方に基づいて、実現したいセキュリティ成熟度を定義する際の参考となるものです。
[本リリースは、2019年2月25日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Kaspersky LabのICS CERT部門のエキスパートは、インダストリアル・インターネット・コンソーシアム(以下IIC)のほか会員企業とともに「IoT Security Maturity Model : Practitioner's Guide」の作成に携わりました。このガイドは、インダストリアルIoTの事業者が、自社のセキュリティ対策に関する目標やリスクへの考え方に基づいて、実現したいセキュリティ成熟度を定義する際の参考となるもので、IICより提供されます。
このセキュリティ成熟度モデル(Security Maturity Model、以下SMM)は、2016年にIICが発行したIndustrial Internet Security Frameworkに基づいており、インダストリアルIoT向けのセキュリティについて考察した初のモデルです。ステークホルダー向けのセキュリティフレームワークをそれぞれのセキュリティレベルに基づいて明確化し、ガバナンス、テクノロジー、システム管理の観点から組織のIoTシステムの成熟度を評価します。これまでIoT、セキュリティのいずれかを単独で扱うモデルはあっても、両者を同時に扱うモデルはありませんでした。このSMMはそのすべてをカバーするとともに、重複を避けるために既存モデルの要素についても適宜取り上げています。
今回提供する実践ガイドは、多種多様なインダストリアルIoTのステークホルダーを念頭に作成されました。情報システムに接続するIT機器も含めたインフラのセキュリティ強化を重視するセキュリティ専門家だけでなく、産業用施設の運用者、専用ソフトウェアの開発者、ビジネスの意思決定者、規制当局なども含まれます。したがって、このSMMでは、従来の規制機関による基準や要件とは異なり、インダストリアルIoTの運用に関わるあらゆる組織や個人の関心事とセキュリティニーズが考慮されています。
この実践ガイドは、インダストリアルIoTの事業者が現況を評価し、目標に到達するために必要な手順を理解するのに役立ちます。ガイドに記載されている36項目に基づいてIoTシステムを評価し改善を継続することで、段階的にセキュリティを強化することができます。また、事例としてデータ駆動型の高性能瓶詰めライン、OTAアップデートが可能な車載ゲートウェイ、住宅用防犯カメラの3つを紹介しています。
Kaspersky Lab のICS CERT部門シニアシステムアナリスト、エカテリーナ・ルディナ(Ekaterina Rudina)は次のように述べています。「十分にセキュアなシステムにするためのセキュリティ対策、目標設定、そして戦略策定の優先順位付けは、組織の長期的な経済計画や投資や保険制度の選択、そのほか相反する要因に影響を及ぼします。このようなタスクへの最新のアプローチ方法の1つが、いわゆる『ナッジ(nudge)』の利用です。これは、ある特定領域での効率的な意思決定を促すような、選択肢のアーキテクチャを予め構築しておくものです。このSMMは、選択肢のアーキテクチャ(ナッジ)を、IoT情報セキュリティ分野で行うためのフレームワークです。大規模な製造設備でも、フィットネス用のウェアラブル端末でも、このSMMを参考にしてセキュアなシステムの実現に取り組むことができます」
このプロジェクトは、Kaspersky Labを含む専門家グループが約2年にわたって取り組んできました。今回提供を開始するガイドは、2018年に発行された「IoT SMM: Description and Intended Use White Paper」の実践編となっています。
■ 参考情報
IIC発行資料は以下をご覧ください。
・2019年2月発行「IoT Security Maturity Model : Practitioner's Guide」(英語)
・2018年発行「IoT SMM: Description and Intended Use White Paper」(英語)
・2016年発行「Industrial Internet Security Framework」(英語)
Kaspersky Lab、ICS CERTの詳細についてはこちらをご覧ください。