IoTシステムは、企業競争力の維持に無くてはならないものとなっています。しかし、その一方で、さまざまなテクノロジーを活用しあらゆるものが繋がることで、サイバー攻撃による被害が急激に増加しています。
KPMGは、IoT特有の制約を考慮したセキュリティ対策について、最新の脅威動向から想定されるリスクを網羅的に分析し、技術・マネジメントの両面から支援します。
IoTの市場規模・適用領域の拡大
IoTは、さまざまな領域に適用され、その市場規模は拡大を続けており、重要インフラは言うまでもなく、日常生活のありとあらゆるところにIoT製品が活用されています。製造業の生産現場ではVR/ARなどの技術を活用した省力化や自動化、センサーなどのデータ収集・AIの分析による生産の効率化や予兆保全などのデジタル化が進んでおり、日常生活においてもスマートホームや自動運転など、利便性の向上やこれまでになかったサービスが実現されています。今後も業界を問わず、多くの企業でIoTシステムの開発が検討・実施されていくと思われます。
IoTシステムを取り巻く脅威
新たな知見や価値の創出を実現するために、IoTシステムは、クラウド、AI、LPWA、5G、エッジコンピューティングなどのテクノロジーを活用しています。ありとあらゆるものをネットワークに接続することが前提となるため、IoTシステムを構成するすべての要素(エッジ(IoT機器)・ネットワーク・クラウドなど)がサイバー攻撃の標的となり得ます。
サイバー攻撃は年々増え続けており、そのなかでもIoTシステムを対象とした攻撃の増加が顕著になっています。IoTシステムはサイバー・フィジカルの双方の特徴を有することから、サイバー攻撃によって不正な操作や情報の改ざん、プライバシーの侵害、事故など、サービスの利用者に対して非常に大きな被害を与えることも想定しなければなりません。
IoTシステムに求められるセキュリティ対策
IoTシステム全体をあらゆるセキュリティ脅威から保護するためには、IoTシステムを構成するすべての要素に対する攻撃経路を洗い出し、最新の攻撃手法も踏まえたリスクシナリオを分析する必要があります。また、それぞれのIoTシステムに特有の脅威や脆弱性、セキュリティ対策への制約を考慮しながら、技術的なセキュリティ対策とセキュリティポリシーの策定・遵守、インシデント発生時の対応体制の構築などのマネジメント面での対策とを併せて実施することが極めて重要となります。
IoT セキュリティアセスメントフレームワーク
| 要素 | 確認事項 |
|---|---|
| 認証と認可 | ユーザーやデバイスの認証によってサービスへアクセス可能となり、適切なシステム利用権限が与えられるかを確認します。 |
| 監視と保守 | 監視と保守が適切に行われており、問題発生時に検知と迅速な対応ができるかを確認します。 |
| セーフティ | 人命や資産などの現実世界に対する致命的な影響が発生しないように設計されているかを確認します。 |
| レジリエンス | 障害やサイバー攻撃が発生した場合に、縮退やバックアップによるシステム保護やサービス継続が可能かを確認します。 |
| プライバシー | サービスが個人情報および個人の特定につながる情報を漏洩させることがないかを確認します。 |
| アタックベクター | サイバー攻撃の入り口となり得るシステムの脆弱性を確認します。 |
| データ保護 | サービスで使用するデータが使用状況に応じて改ざん/削除/盗用などから適切に保護されていることを確認します。 |
| ライフサイクル | サービスに使用されるデバイスが製造から廃棄の前工程において適切に管理されていることを確認します。 |
KPMGによる支援
KPMGでは、IoTシステムがもたらすサイバーとフィジカルの双方への影響と保護すべき範囲の特定から、想定され得るセキュリティ脅威に対するリスクの分析と現状のセキュリティ対策の有効性の評価、あるべき姿とのギャップを埋めてリスクを低減するためのセキュリティ対策案の検討を支援します。
また、IoTセキュリティアーキテクチャの構想、IoTのセキュリティを適切にマネジメントしていくための人材育成や体制構築、監視・運用の設計など、総合的な支援が可能です。
現実世界への影響と保護範囲の特定
IoTサービスがサイバーフィジカルアタックを受けることにより、現実世界の人や物に与える影響を特定します。
また、サイバー攻撃などから守るべきシステムや個人情報等の重要なデータを保護すべき範囲として特定します。
基本的な対策の確認
IoTセキュリティアセスメントフレームワークを用い、IoTシステムとしての基本的なセキュリティ対策が行われているかを確認します。
この確認により、どのようなリスクがあるかを抽出します。
重大リスクの確認
前工程で実施した現実世界への影響と基本的な対策の確認結果から、影響の大きいポイントを詳細に分析し、IoTサービスに潜在している重大リスクを抽出します。
この重大リスクは、IoTサービスや業種により大きく異なります。
リスク分析
発生可能性(脅威、脅威に対する脆弱性、ハザード、ハザードに対する脆弱性)、影響度から対策するリスクを決定します。
対策案検討
影響の大きさと発生可能性の大きさを考慮し、対策するべきリスクの決定と対策案を検討します。
KPMGの特長
IoTシステムに対するグローバルなナレッジと多数の実績
国内外のガイドラインや関連法規制等にかかる知見と、KPMGグローバルのナレッジを最大限に活用し、大規模かつ複雑性の高いIoTシステムの課題に対して多数の支援実績を有しています。
IoTデバイスに対する豊富な診断実績
ハードウェアレベルの高度な診断技術を有する技術者を有しており、メーカーが製造するIoTデバイスや、自社の工場に組み込むために開発されたIoTデバイスなど、さまざまなIoTデバイスに対する診断実績を数多く有しています。
独自のIoTセキュリティアセスメントフレームワーク
IoTシステムに対応するKPMG独自のIoTセキュリティアセスメントフレームワークを用いて、IoTサービスを網羅的に評価するとともに、企画・設計段階からセキュリティバイデザイン、プライバシーバイデザインの推進を支援します。
関連サービス
・制御システムサイバーセキュリティ
・スマートファクトリーサイバーセキュリティ
・CSMS認証取得支援
・IoTセキュリティガイドライン策定
・IoTデバイス診断
・PSIRT (Product Security Incident Response Team)
