IoT化により利便性が向上する反面、ネットワークと接続することで、外部から攻撃を受けるリスクが高まり、Ripple20に代表されるIoT機器の脆弱性も注目されています。
また開発においては、下記のように遵守すべきガイドラインが定められている業界もあり、こうしたガイドラインの策定は今後ほかの製造業にも広がっていくと予想されます。

• 制御システム

  IEC 62443（欧州で調達要件に）、NIST SP800-82（米国政府）

• 自動車

  UN-R155/156（WP29）、ISO 21434/24089（基準を満たさない場合は販売不可）

• 通信モジュール

  2020年の技適改正により最低限のセキュリティが義務化

このように、今後、安全性の基準を満たした設計にくわえて、各業界のセキュリティガイドラインを満たした設計がより求められると考えられます。

IoT機器のセキュリティ対策について、以下のような課題でお悩みではないでしょうか。

• ネットワークと接続しない前提で設計を行ってきたため、セキュリティ対策についてのノウハウが設計部門にない。
• セキュリティ管理が不十分で、脆弱性を抱えたまま設計されている可能性が高い。
• 最近、セキュリティ意識の高い顧客や、海外の顧客からガイドライン基準への対応を求められるようになった。
• 顧客の漠然としたセキュリティ面の懸念に対し、回答しなければならない。
• 製品リソースや価格とセキュリティのバランスをどう決めればいいかわからない。
• ガイドラインで求められるセキュリティにどこまで対応するか、その根拠について社内外のステークホルダーへの客観的な説明が必要。

日立グループの一員である日立ソリューションズは、製造業や重要インフラで培ったセキュリティ対策の豊富なノウハウを生かし、システム全体のセキュリティを考え、開発段階からIoT機器、IoTシステムのセキュリティ対策を支援します。IoT機器、IoTシステムについてセキュリティの課題を洗い出し、どこまでセキュリティを確保すればいいかをコンサルティングします。

下記のポイントでお客さまの現状を分析し、レポートを作成します。

• 開発プロセスがセキュリティを考慮したものになっているか。
• システム構成、データフロー設計にセキュリティ上の問題がないか。
• 出荷した製品のファームウェアにセキュリティ上問題のあるOS設定がないか。
• 出荷した製品の利用OSS（Open Source Software）に緊急度の高い脆弱性が残っていないか。

お客さまの課題に合わせて、さまざまな支援を提供します。

• プロセスの改善：開発ガイドライン、開発者への教育。
• 設計上の懸念：鍵管理、証明書管理機能などの追加。
• ファームウェア設定：最低限必要な項目の洗い出し。（請負開発も可能）

ツールによる脆弱性診断の実施に加え、診断結果にもとづく影響判定の支援や、脆弱性情報の報告サービスを行います。
組み込み機器のファームウェアに利用しているOSSで一般的な脆弱性が発見されたとしても、実際に製品に影響があるかは発生条件や使い方によって変わってきます。また、組み込み機器のファームウェアのアップデートには手間と工数がかかるため、脆弱性の影響を判断することが重要になります。ツールによる脆弱性診断だけでなく、こうした分析もサービスとして提供することで、お客さまの判断を支援します。

IoT機器の開発製造に求められるセキュリティ対策の基礎知識、業界動向をワークショップ形式で学んでいただきます。なお、オンラインでの開催も可能です。

• 狙い

  関係する担当者のセキュリティ知識の底上げ、および取引先のセキュリティ要求やインシデント発生時に対応する体制整備のお手伝いをします。

• 主なワークショップの内容　　※ご要望に応じて内容は調整します。

  ・製品セキュリティ課題の整理
  ・外部からの攻撃や脆弱性などインシデント事例
  ・セキュリティに関する標準規格の解説
  ・セキュリティ対策事例
  ・組織、体制づくりの事例
  ・質疑応答

• 期待される受講の効果

  ・自社のIoT機器、制御システム、スマートファクトリーにおいて、セキュリティ対策が不足している部分を把握し、対策を検討できるようになる
  ・セキュリティ対策を検討する際、セキュリティとコスト両面について、バランスの良い設計を考えられるようになる
  ・IoT機器、IoTシステムにおけるセキュリティインシデント発生時の対応の方針と手順を策定できるようになる