Embedded Security OEM Partner Forum · 7/26/2018 · IoTセキュリティ標準化の動向 ... サイバーセキュリティ経営に関する情報の開⽰の在り⽅の検討

第7回 Embedded Security OEM Partner Forum

IoTセキュリティ標準化の動向2018年7月26日マカフィー株式会社

Agenda

❖ IoTに関する世界の潮流

❖日本企業のセキュリティ経営の実態

❖ サプライチェーンのサイバーセキュリティ管理の実態

❖ まとめ

July 26, 2018 McAfee Confidential. Copyright© 2018 McAfee LLC. All Rights Reserved. 1

IoTセキュリティ標準化の動向

IoTに関する世界の潮流

IoTのプロジェクトおよび標準化動向

❖国家・企業によるIoTプロジェクトに加え，数多の企画が乱立何に対応すべきなのか？


電機産業制御機器ISO, IEC, JTC1

インターネットIETF, W3C, IEEE

ネットワークOneM2M, ITU-T

スマートデバイスOIC, ASA, Thread

IoT推進コンソーシアムスマートIoT推進フォーラム IoT推進ラボロボット革命協議会

中国製造2025両化（工業・情報）融合九大戦略94プロジェクト

Hyper/CAT英国政府主導の

IoTテストベッド

Industrie4.0 ドイツの産学主導の第四次産業革命

DMDI シカゴ拠点の製造エコシステム

Industrial Internet Consortium企業主導でのオープン技術によるエコシステム

海外プレイヤーのグローバル戦略

❖ IoTに対しての戦略は，リアルからネットとネットからリアルとの2つのアプローチ

リアルデータを利活⽤し，プラットフォーム創出を⽬指す


リアルからネットへネットからリアルへ

アプローチ得意とする製造業のノウハウを堅守し，技術を武器に世界へ展開

インターネット上のみならず，実空間の情報も含み，クラウドサービスの範囲を拡大

狙い製造システムを標準化し，世界へ輸出システムの最適制御というサービスの提供

処理の流れ

1. 世界の工場・製品に関わるデータを企業間・工場間・機器間で共有

2. 手元の高性能な製造装置でデータを蓄積・処理3. 工場を最適に制御

1. 世界の工場・製品に関わるデータを収集2. クラウドサーバーにデータを蓄積し，人工知能で処理

3. 工場を最適に制御

工場設備の位置づけ

強みである工場の高性能な設備の価値を維持工場の設備は，クラウドからの指令を受け，それを実行する安価なデバイス

プレイヤーGE，シーメンス，ボッシュ，インテル，ウォールマート，など

グーグル，アマゾン，フェイスブック，アリババ，百度，など

出典：経済産業省『2015年版ものづくり白書』を基に作成

国際協力の取り組み

❖ ドイツが牽引し製造IoT分野の二国間連携が急速に進展（独中，独米，独仏，独日）


独仏共通行動計画 (2016/4/26)

日仏IoT協力文書 (2017/1/25)

日独共同声明 (2016/4/28)BMW1 – 経済産業省

独中I4.0覚書 (2015/7/14)BMW1 – 工業情報化部

IoTAC－IIC MOU締結 (2016/10/3)

PFI4.1-IIC協力 (2016/3/2)

RRI-チェコ産業連盟共同声明 (2016/3/2)

出典：経済産業省『“Connected Industries”推進に向けた我が国製造業の課題と今後の取組』を基に作成

日本企業のセキュリティ経営の実態

セキュリティに対する経営層の意識


民間セクターにおけるセキュリティの責任体制 (1/4)

❖経営層が積極的にセキュリティに関与している企業は6割に満たない (米国の3分の2)


出典：独立行政法人情報処理推進機構『企業のCISOやCSIRTに関する実態調査2017-調査報告書-』


❖ セキュリティが経営上のリスクの1つであることを上司から説明を受けている企業は7割未満






❖日本の専任CISO(Chief Information Security Officer)設置は3割未満であり，欧米の半分以下

民間セクターにおけるセキュリティの責任体制の課題


サイバーセキュリティに対して経営層の問題意識は十分ではない

サイバーセキュリティ経営


経済産業省によるサイバーセキュリティ経営の実現

❖経営者にサイバーセキュリティ経営を促す仕組み『３STEPアプローチ』


1st Stepサイバーセキュリティ経営の明確化サイバーセキュリティ経営ガイドラインの普及・定着

2nd Stepサイバーセキュリティ経営の実践コーポレート・ガバナンス・システム(CGS)に関するガイドラインのとりまとめに向け，サイバーセキュリティを位置付け

『取締役会実効性評価』の項目にサイバーリスクを組み込むことを促進サイバーセキュリティが経営リスクであることの投資家に対する啓発

3rd Stepセキュリティの高い企業であることの可視化セキュリティの高い企業であることを投資家が評価できるようにするための，サイバーセキュリティ経営に関する情報の開⽰の在り⽅の検討

出典：経済産業省『産業サイバーセキュリティ強化へ向けたアクションプラン』

サイバーセキュリティ経営ガイドライン

❖ セキュリティはコストではなく投資であると位置づけ，経営者がリーダーシップを取ってセキュリティ対策を推進していくことが重要であることを⽰したガイドラインを公表


平成27年12月28日策定 (Ver 1.0)平成28年12月8日改訂 (Ver 1.1)平成29年11月16日改訂 (Ver 2.0)

経営者が認識すべき3原則1. 経営者が，リーダーシップを取って対策を進めることが必要2. ⾃社のみならず，ビジネスパートナーを含めた対策が必要3. 平時及び緊急時のいずれにおいても，関係者との適切なコミュニケーションが必要

経営者がCISO等に指⽰すべき10の重要事項原則


(1) 組織全体での対策⽅針の策定(2) ⽅針を実装するための体制の構築(3) 予算・人材等のリソース確保

リスク管理体制の構築

(7) 緊急対応体制の構築(8) 復旧体制の構築

インシデントに備えた体制構築

(4) リスクを洗い出し，計画の策定(5) リスクへの対応(6) PDCAの実施

リスクの特定と対策の実装

(9)サプライチェーンセキュリティの確保

サプライチェーンセキュリティ

(10)情報共有活動への参加

関係者とのコミュニケーション

経営層向けサイバーセキュリティ経営を求める仕組みの構築

❖ CGSに関するガイドラインのとりまとめに向け，サイバーセキュリティを位置付け

コーポレート・ガバナンス・システムに関する議論の中で，「守り」のリスク管理の一環としてサイバーセキュリティ対策を位置付け，コーポレート・ガバナンス・システム（CGS）に関するガイドラインのとりまとめに向け，サイバーセキュリティを位置付け

❖ サイバーセキュリティを考慮した取締役会の実効性評価の促進

コーポレートガバナンス・コードでも求められている取締役会の実効性評価(原則4-1-1)に，サイバーセキュリティへの経営層の関与を，上場企業で行われている『取締役会の実効性評価』の評価項目へ組み込むことを促進

投資家に対するサイバーセキュリティの啓発を実施


実効性評価のコンサルティングメニューにサイバーセキュリティへの関与を追加


評価依頼

評価の実施

企業外部専門家コンサルティング会社・監査法人等

現場の実務者向けサイバーセキュリティ対策導入の促進

❖ サイバーセキュリティ対策の導入を促す対策事例集と可視化ツールの作成

企業現場での対策導入を促すべく，具体的な対策の参考となる『対策事例集』と自社の状況（成熟度）を把握するための『可視化ツール』の整備

ツール整備・活⽤推進のため，『サイバーセキュリティ経営プラクティス検討会(2018年6月)』を発足



『可視化ツール』のイメージ(平成30年度に公開予定)『対策事例集』の作成

サイバーセキュリティ経営ガイドライン

業界団体

連携

重要10項⽬毎のベストプラクティス

作成

中小企業向けサイバーセキュリティ運⽤支援

❖ 24時間相談窓口などの体制を持つ損保会社等と連携して，中小企業のサイバーセキュリティに関するトラブル対応を支援する『サイバーセキュリティお助け隊』を創設

❖ ITに従事してきたシルバー人材の再教育などを通じて人的リソースを確保


損害保険会社，ITベンダーなど

相談窓口

サイバーセキュリティお助け隊

ITシルバー人材等の活⽤

事案が発生したと思われる中小企業


相談の例原因はわからないがパソコンの調子が悪い外部から情報漏洩の疑いの指摘が来たが，どうしたらいいかわからない

③復旧調査など電話対応，現地訪問①相談

②専門家対応依頼

サイバーセキュリティに関する情報共有の強化

❖ サイバーセキュリティ基本法の改正案の閣議決定により，事業者が，分野を超えて横連携で情報共有を図り，必要な対策等について協議を行うための協議会を創設

❖分野を超えた横連携の強化：サイバーセキュリティ基本法の改正

❖産業分野ごとの縦連携の強化

民間事業者によるISACや，J-CSIPの取組

本研究会の下に設置したSWGにおいて，具体的な対策レベルでの情報共有を促進

電力分野については，次期エネルギー基本計画の中で情報共有の強化を位置付ける⽅向で検討


専門機関等から得られたサイバー攻撃に関する情報を迅速に共有

サイバーセキュリティ協議会

事務局(NISC・専門機関) 有識者等

国の行政機関対策実施

地⽅公共団体対策実施

重要インフラ事業者対策実施

サイバー関連事業者対策実施

教育研究機関対策実施

サイバーセキュリティ確保の促進

海外の行政機関・

民間事業者等

連携


IoTのセキュリティ


安全なIoT システムのためのセキュリティに関する一般的枠組（概要）


IoT(Internet of Things)システムは，従来の情報セキュリティの確保に加え，新たに安全確保が重要

セキュリティ・バイ・デザインの思想で設計・構築・運⽤されることが不可欠

安全なIoTシステムが具備すべき一般要求事項としてのセキュリティ要件の基本的要素を明らかにしたもの

目的

安全なIoTシステムのためのセキュリティに関する一般的な枠組み（個別分野の標準のテンプレート）

自動車電力農業鉄道医療

分野固有の要求事項

内閣官房内閣サイバーセキュリティセンター(NISC) 平成28年8月26日発行

一つのIoTシステムリスクが他のIoTシステムに波及する可能性➡ System of Systemsとしての捉え⽅機密性，完全性，可用性に加え，安全性の要件確保

検討の視点

関係者間の相互理解及び相互信頼の下，ネットワーク側モノ側が一体となりシステム全体としてセキュリティ確保を図ることが必要

セキュリティ・バイ・デザインを基本原則とし，システム稼働前に確認検証できる仕組が必要

基本⽅針の設定，リスク評価，システム設計，システム構築，運⽤・保守の各段階の要件定義が必要

基本原則

出典：内閣サイバーセキュリティセンター『我が国のサイバーセキュリティ政策の概要』を基に作成

法令等要求事項の明確化 IoTシステムの構成をモデル化し，モデルを参照しながらセキュリティ要件を議論

リスクアセスメントを活⽤しセキュリティ対策や実装⽅法等の明確化普遍的な性能要求と有効な手段の具体的⽅法を⽰す仕様要求の適⽤

技術革新を前提とした段階的・継続的アプローチ，など

取組⽅針

IoTセキュリティガイドライン

❖ セキュリティ・バイ・デザインを基本原則とし，IoT機器やシステム，サービスの提供にあたってのライフサイクル（⽅針，分析，設計，構築・接続，運用・保守）における指針を定めるとともに，一般利⽤者のためのルールを定めたもの


指針主な要点

⽅針 IoTの性質を考慮した基本⽅針を定める経営者がIoTセキュリティにコミットする内部不正やミスに備える

分析 IoTのリスクを認識する守るべきものを特定するつながることによるリスクを想定する

設計守るべきものを守る設計を考えるつながる相手に迷惑をかけない設計をする不特定の相手とつなげられても安全安心を確保できる設計をする

安全安心を実現する設計の評価・検証を行う

構築・接続ネットワーク上での対策を考える機能及び⽤途に応じて適切にネットワーク接続する初期設定に留意する

認証機能を導入する

運⽤・保守安全安心な状態を維持し，情報発信・共有を行う

出荷・リリース後も安全安心な状態を維持する出荷・リリース後もIoTリスクを把握し，関係者に守ってもらいたいことを伝える

IoTシステム・サービスにおける関係者の役割を認識する脆弱な機器を把握し，適切に注意喚起を行う

一般利⽤者のためのルール問合せ窓口やサポートがない機器やサービスの購入・利⽤を控える初期設定に気をつける

使⽤しなくなった機器については電源を切る機器を手放す時はデータを消す

出典：IoT推進コンソーシアム『IoTセキュリティガイドラインver1.0概要』

サプライチェーンのサイバーセキュリティ管理の実態

❖⾃社のサイバーセキュリティ状況把握は欧米に比べてやや少ない程度

サイバーセキュリティ対策状況 (1/3)



❖業務委託先の状況把握は3割程度であり，米国の半分以下，欧州の3分の2




❖物品調達先の状況把握は2割強程度であり，欧米の6割以下




サイバーセキュリティ対策の状況把握


⾃社のサイバーセキュリティ対策は欧米よりやや少ない程度

しかしながら，委託先などの取引先への対応が大幅に遅れている

サプライチェーンのサイバーセキュリティ


欧米において強化されるサプライチェーンのサイバーセキュリティへの要求

❖米国，欧州は，サプライチェーン全体に及ぶサイバーセキュリティ対策を模索


米国 2018年4月16日，サイバーセキュリティフレームワーク（NIST策定のガイドライン）に，『サプライチェーンのリスク管理』及び『サイバーセキュリティリスクの自⼰評価』を追記

2017年末，防衛調達に参加する全ての企業に対してセキュリティ対策（SP800-171遵守）を義務化

欧州 2018年5月10日，エネルギー等の重要インフラ事業者にセキュリティ対策を義務化（NIS Directive）を施行

2017年，単一サイバーセキュリティ市場を⽬指し，ネットワークに繋がる機器の認証フレームの導入検討を発表

2018年5月25日，EUの顧客データを扱う企業に対するデータ処理制限等の新たな義務(GDPR)を施行

ドイツにてルーターのテクニカルガイドラインを作成中

セキュリティ要件を満たさない事業者，製品，サービスはグローバルサプライチェーンからはじき出されるおそれ

『サイバー・フィジカル・セキュリティ対策フレームワーク』の策定

❖ Society5.0，Connected Industries の実現へ向けて，産業構造，社会の変化に伴うサイバー攻撃の脅威の増大に対応することが必要

❖産業に求められるセキュリティ対策の全体像を整理し，産業界が活⽤できる『サイバー・フィジカル・セキュリティ対策フレームワーク』を策定

❖各事業者が本フレームワークを活⽤することで期待される効果

Society5.0，Connected Industries の実現に求められるセキュリティの確保

製品・サービスのセキュリティ品質を差別化要因(価値)にまで高めることで競争力を強化

❖ サイバー・フィジカル・セキュリティ対策フレームワークに必要な要件

各事業者が実施するセキュリティ対策のオペレーションレベルで活用可能

セキュリティ対策の必要性とコストの関係を把握可能

グローバルハーモナイゼーションを実現可能


出典：経済産業省『サイバー・フィジカル・セキュリティ対策フレームワークの策定に向けて』

『サイバー・フィジカル・セキュリティ対策フレームワーク』の策定

❖ Society5.0，Connected Industriesの進展によって複雑化していく，サプライチェーンのサイバーリスクに対応する新たな対策フレームワークの原案を作成

❖ IoTやビッグデータの活⽤などに伴う新たなリスクに対応するため，産業社会を三層（企業間，フィジカルｰサイバー，サイバー空間）に分類した新たなアプローチを提⽰


仕様どおりの製品，サービス組織の信頼

正確な転写機能レジリエンス

セキュアなデータ流通サイバー上での信頼あるデータサービス

製品へのマルウェア混入組織からの情報漏えい

計測データの改ざん制御機能への攻撃

ネットワーク上でのデータ改ざん偽称されたデータサービス

納品されたモノの検証マネジメントルールの徹底

セキュリティバイデザインセキュアなIoT機器等の導入安全とセキュリティのための運⽤

暗号化によるデータ保護データ提供者の信頼性確認

第1層企業間のつながり(従来型サプライチェーン)

第2層フィジカル空間とサイバー空間とのつながり

第3層サイバー空間におけるつながり

守るべきもの

セキュリティリスクの洗い出し

具体的な対策の提⽰構成要素ごとに整理

互いに関係互いに関係


『サイバー・フィジカル・対策フレームワーク』の国際化

❖ グローバルサプライチェーンにそのまま適用できるフレームワークとするため，国際標準(ISO27001等)や米国規格(NIST Cybersecurity Framework等)と連動

❖国外からも積極的に意見を募るため，英語版パブリックコメントを実施

❖国外の会議などでフレームワークを積極的に紹介するとともに，国際標準化についても検討


国内23，海外9の組織・個人より300件強の意見提出あり。肯定的な意見が9割弱海外からの主なコメント各産業への「行動の呼びかけ」として有⽤（米国企業）中小企業でも利⽤しやすいフレームワークとすると良い（米国産業団体）国際標準や海外規格に留意して進めてほしい（欧州企業他）

パブリックコメント

TechGlobal(米国・ワシントンDC）4月日ASEANサイバーセキュリティＷＧ（インドネシア・バリ）5月 Securing Global Industrial Value Networks（ドイツ・ベルリン）5月 OECD・SPDE（フランス・パリ）5月

海外における周知活動


まとめ

IoTセキュリティ標準化の動向まとめ


国家・企業によるIoTプロジェクトに加え，数多の企画が乱立

特定のドメインのみではなく，国際連携を見据えた対応が必要

『ガイドラインだから・・・』という考えでは，市場から弾き出される可能性

IoTのセキュリティは，政府のガイドラインに軸足を置き，市場とする領域を見据え実装することが好ましい

免責事項McAfeeのロゴは，米国およびその他の国におけるMcAfee, LLC.の商標です。

その他のマークとブランドは，各所有者に帰属します。製品計画，仕様および説明は予告なく変更され，これらの変更に伴う，いかなる種類の保証（明⽰または黙⽰を問わず）も提供されません。

Copyright © 2018 McAfee, LLC.

免責事項McAfeeのロゴは，米国およびその他の国におけるMcAfee, LLC.の商標です。

その他のマークとブランドは，各所有者に帰属します。製品計画，仕様および説明は予告なく変更され，これらの変更に伴う，いかなる種類の保証（明⽰または黙⽰を問わず）も提供されません。

Copyright © 2018 McAfee, LLC.

Embedded Security OEM Partner Forum · 7/26/2018 · IoTセキュリティ標準化の動向 ... サイバーセキュリティ経営に関する情報の開⽰の在り⽅の検討

Documents