IoT
2017年11月、欧州ネットワーク・情報セキュリティ機関(ENISA)は、『Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures』(重要情報インフラにおけるIoTのための基本セキュリティ推奨事項)を公開しました。この文書をこのたび取り上げるのは、Kaspersky Labのエキスパートが作成に貢献したことも1つの理由ではありますが、それだけではありません。毎年開催のIndustrial Cybersecurity Conference(英語)で繰り返し取り上げられた重要課題の一つ、「産業IoT(IIoT)デバイスの情報セキュリティ標準など産業オートメーション向けのサイバーセキュリティに関する国際標準の欠如」という課題に対処しているからでもあります。ENISAが提示するのは要件ではなく推奨事項ですが、セキュリティポリシーや運用方法の統一化へ向けた着実な一歩を示しています。
この文書は、重要インフラ施設向けIoTデバイスのベンダーや利用者だけでなく、情報セキュリティポリシーを策定するEUの各種機関も対象としています。今回の推奨事項は、修正の有無はあれど、いずれ標準となるでしょう。当社のエキスパートがIoTSEC (ENISAのIoTセキュリティエキスパートグループ)作業部会の一員として主に協力した箇所は、統一的なセキュリティポリシーの策定に関する項目です。
産業オートメーションのセキュリティに関する知識を集約する文書としては、これまでで最も包括的な試みの一つであり、IIoTの脅威モデルや、関連のリスクを軽減する手段などが盛り込まれています。実用的なアドバイスについては、実際の手順が記載された『Annex A: Detailed Security measures / Good practices』(別添A:詳細なセキュリティ対策/適正規範)をご参照ください。文書の全文はENISAのサイト(英語)でご覧いただけます。
重要インフラの保護に向けたKaspersky Labの取り組みについて、詳しくはKaspersky Industrial Cybersecurityのページをご覧ください。
ヒント