さまざまなモノがIoT化することにより生成されるビックデータは、デジタルトランスフォーメーション（DX）の推進に寄与しています。一方でサイバー攻撃は激化しており、これまでクローズド環境で使用していた機器がネットワークにつながることで、脆弱性が顕在化しサイバー攻撃を受けるケースが増加しています。このような情勢を受け、製品ライフサイクル（Product Lifecycle）を通してのサイバーセキュリティ対策を義務化する法規・ガイドラインの制定が進んでおり、設計・開発段階でのセキュリティ要件の実装はもとより、ソフトウェアの構成を把握した製品リリース後の脆弱性管理が求められます。

自動車や医療機器業界では、他業界と比較してサイバーセキュリティ対策の国際基準が先行して定められており、日本国内の規定にもその国際基準^※3がすでに取り込まれています。サイバーレジリエンス法（EU Cyber Resilience Act）ではEUで販売されるハードウェア・ソフトウェアを問わずデジタル要素を備えたすべての製品が対象^※4となるため、自動車、医療機器以外の業界でもセキュリティ対策の取り組みが拡大していくと考えられます。
同法は2022年9月に草案が提出され議論が続いていましたが、2023年11月30日に暫定的な合意に至ったとのプレスリリースがあり、2024年の早期の発効が見込まれています。発効から適用までは36カ月の経過措置期間が設定されていますが、攻撃者がよく悪用している脆弱性を発見した際の、製造者による欧州連合のサイバーセキュリティ当局への報告義務については発効後21カ月後には有効となります。残された時間はそれほど多くなく、早めの対策が必要です。
また、今後EU域外でも同様の規制が制定される可能性があります。自動車、医療機器以外の業界でも製品を市場に投入するためにセキュリティ対策が必須となる時代が近づいてきています。

※3 主な国際基準

サイバーセキュリティ対策の各法規において共通して求められることは、製品ライフサイクル全体でのセキュリティ対策です。設計・開発時にはセキュリティ機能の実装が必要となります。しかしIT製品と違い、これまで組込み機器はネットワークへの接続を前提とせずセーフティ最優先で開発されてきた傾向があり、IoT化にあたり必要なセキュリティ対策を実施しようとしても、開発現場の知見が不足している可能性があります。
また、そもそも機器のリソースに制限があり、セキュリティの実装方式は限定されます。さらに、開発時だけではなくリリース後も脆弱性管理が求められますが、サプライヤー納品のコンポーネントについては、ソースコードを保持しておらず管理が困難なケースも想定されます。
またIoT製品はフィールドに設置された数が多い、さまざまな場所に配置されているといった事情により「脆弱性を突かれる可能性がある」というだけで、簡単にパッチを適用することができません。

日立ソリューションズは、サイバーセキュリティに関連する法規への対応に向け、IoT製品の設計・開発時のセキュリティ実装から販売後の脆弱性管理まで、現場目線でトータルに支援します。

IoT製品の開発ライフサイクル全体のセキュリティ対策を支援するプラットフォームです。IoT製品、組込み機器に特徴的な、マイクロコンピュータなどのアーキテクチャーのバイナリ分析を幅広くサポートしています。
SBOMに加え、ハードウェア情報、OS設定といった情報も含むサイバーデジタルツイン^※6を生成し収集した脆弱性情報との突き合わせを実施します。サイバーデジタルツインにより、検出された脆弱性の深刻度や関連性を評価し、本当に対策が必要な脆弱性を見極めることができます。公開脆弱性情報の管理以外にも、実装時の脆弱性の作りこみチェックや、業界準拠チェックの支援機能を提供します。

製造業や重要インフラで培ったセキュリティ対策の豊富なノウハウを生かし、IoT製品の各開発プロセスに求められるセキュリティ対策を支援します。セキュリティの課題を洗い出し、どこまでどのようにセキュリティを確保すればいいかをコンサルティング可能です。

IoT製品のセキュリティを支援するための部品ライブラリです。PKI証明書の配布や管理機能を提供するほか、軽量暗号化により、リソースが少ない製品でもデータ暗号化・改ざん検知機能を実現可能です。デバイスに組み込んで利用できる部品をAPIで提供するので、急にセキュリティ機能が必要になった場合でも、早期に対応できます。