★☆★JNSAメールマガジン 第116号 2017.7.21 ☆★☆

こんにちは
JNSAメールマガジン 第116号 をお届けします。

JNSA主催「全国横断セキュリティセミナー2017」が昨日の東京会場をもって無事に5箇所終了いたしました。資料は近日中にPDFで公開予定です。

さて、今回は、一般社団法人日本クラウドセキュリティアライアンス運営委員二木真明様に「「繋がる世界」を破綻させないために」をご寄稿いただきました。


【連載リレーコラム】
「繋がる世界」を破綻させないために

一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)
          運営委員/IoTワーキンググループリーダー 二木真明

一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)は、米国に本拠をかまえる、クラウドセキュリティの団体 Cloud Security Alliance(CSA)の日本支部として有志により設立された団体で、クラウドセキュリティに関する様々な活動を行っています。CSAジャパンでは、JNSA同様に、様々なワーキンググループがボランタリーな活動を展開していますが、今回は、その中でIoTワーキンググループ(WG)の活動について紹介します。

Internet of Things(IoT)は、現在急拡大を続けています。一方で、ご存じのように様々なセキュリティ面での課題も浮き彫りになっています。CSAジャパンのIoT WGでは、IoTと、そのバックエンドであるクラウドサービスとの関係に着目して、「システム」としてのIoTにおけるセキュリティについて考えています。
また、CSAがグローバルに組織するリサーチ活動としてのIoT WGにも参加すると同時に、CSAからリリースされる主要な英語版ドキュメントの日本語版翻訳作業なども積極的に行っています。

今回、紹介する「繋がる世界を破綻させないための、セキュアなIoT製品開発13のステップ」は、CSAのグローバルWGが昨年リリースした、”Future-Proofing The Connected World:13 Steps to Develop Secure IoT Products”の日本語版です。Future-Proofとは、未来に「耐えられる」、つまり長続き来るという意味ですが、これを意訳して、(将来的に)破綻させないための・・・、と訳しました。

タイトルに書かれているとおり、内容は「セキュアなIoT製品」を開発するための課題と要点を上流から下流工程、ハード・ソフト・サービスなどにまたがってまとめています。現状で、IoT開発に関して、最も網羅的な内容のドキュメントだろうと自負しています。オリジナルの執筆には、主に米国で、様々な分野でガイダンスの策定に携わっているメンバーが知恵を絞っており、様々な組織や機関でリファレンス文書として利用されています。今回、翻訳作業にあたっては、原文の意味を重視し、可能な限り意味に忠実に日本語化することを心がけています。日本語としての読みやすさも、できる限り追及しました。是非、皆様にもご一読いただければと存じます。

IoTを進めていく主体は、IT企業ではありません。むしろ、これまでインターネット等に無関係だった製造業の、しかも中堅どころの企業が、現在こぞってIoTに舵を切りつつあります。IT企業は、こうした動きをサポートすべく、
様々な開発、運用基盤を提供する役割を担いますが、「モノ」の動きと密接に関わるIoTの仕組みやサービスは、従来からのITの枠組みだけで組み立てら
れるものでもありません。「モノ」「サービス」「IT(+セキュリティ)」の専門企業がタッグを組んで、はじめて成り立つ世界なのです。そういう意味では、IoTセキュリティに関する啓発活動は、ひとつの切り口だけではありません。
利用者も含めたステークホルダーのそれぞれに対して、必要な知識を提供していかなければならないだろうと思います。そして、これは一つの組織だけでできることではありません。我々、CSAジャパンのIoT WGとJNSAのIoT WGも、
それぞれ違った切り口から活動を進めています。他の様々な業界団体も、それぞれの切り口で活動を進めていて、その全体が「繋がる世界」の未来を保証していくのだろうと考えています。

CSAジャパンのIoT WGでは、こうした翻訳作業以外に独自の活動も行っています。
それは、IoTにおける脅威やリスクの評価方法を考え、それによって、必要な対策のレベルを考えやすくしようという活動です。昨年、「IoTインシデントの影響評価の考察」を発表し、デバイス、サービス、システム規模の3軸での評価方法を提案しました。今年は、IoT脅威シナリオ集を策定中で、近々リリースする予定です。これらを通じて、IoTの開発企業、開発者、サービス提供企業がシステムの隠れたリスクに気づき、対策を考えようという「気持ちになる」ことが重要だろうと考えている次第です。

我々は、JNSAをはじめ、様々な団体と情報交換、意見交換をしながら、相互に補完し合える関係を築きたいと考えています。今後とも、様々な形で連携して行ければと考えておりますので、何卒よろしくお願いいたします。

【関連リンク】
一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)
https://www.cloudsecurityalliance.jp/newsite/

CSAジャパンIoT WG
http://www.cloudsecurityalliance.jp/IoT_WG.html

繋がる世界を破綻させないための、セキュアなIoT製品開発13のステップ
https://www.cloudsecurityalliance.jp/newsite/?p=2872

IoTインシデントの影響評価の考察(PDFへの直接リンク)
https://www.cloudsecurityalliance.jp/newsite/wp-content/uploads/2016/05/IoT_incident_evaluation_V11.pdf

Cloud Security Alliance (CSA)(英語)
https://cloudsecurityalliance.org/

CSA IoT WG(グローバル:英語)
https://cloudsecurityalliance.org/group/internet-of-things/#_overview

Future-Proofing The Connected World:
13 Steps to Develop Secure IoT Products(英語版)
https://cloudsecurityalliance.org/group/internet-of-things/

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】

★「SECCON 2017 × CEDEC CHALLENGE」の競技概要を公開しました。
  競技概要、参加申込みは「SECCON 2017」サイトをご覧下さい。
  https://2017.seccon.jp

★アイデンティティ管理WGでは、「ID管理システム導入における現状把握
 チェックリスト」を公開しました。ぜひ、ご覧下さい。
 https://www.jnsa.org/result/2017/std_idm/

★西日本支部技術研究WGで「CSIRT演習 マルウェア解析 机上演習」として
 勉強会を開催いたします。
 日時:7月26日(水)18:30〜(18:10受付開始)
 会場:エムオーテック株式会社 大阪本社10Fセミナールーム

 参加ご希望の方は、JNSA事務局<office@jnsa.org>までご連絡ください。


【事務局からの連絡、お知らせ】

★「IT活用促進資金向けセキュリティ対応製品サービスリスト」を公開しました。
 IT活用促進資金のセキュリティ対策要件を満たすと思われるJNSA会員企業が開発・販売・提供しているセキュリティ製品・サービスの一覧です。
 IT活用促進資金のご利用を検討の際にご参照ください。
 https://www.jnsa.org/it_katsuyou/

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第116号
発信日:2017年7月21日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.