CSA発行のIoTセキュリティに関するガイダンス文書の日本語訳を作成

セキュリティコンサルティング部の山下 亮一です。

CSA(Cloud Security Alliance) は、クラウドのセキュリティに関する調査研究と提言、教育活動を展開する非営利活動法人で、多数のワーキンググループが活動しています。IoTシステムの実装においては、IoTデバイスだけでなく、そのバックエンドとなるクラウドサービスも重要な要素となります。CSAでは、IoTシステムを構成するさまざまな要素について実務者向けの実践的なガイダンスを提供するべく精力的に活動しており、2017年6月時点で6種類のガイダンス文書を公表しています。

ガイダンス文書の日本語訳を公開

CSAジャパンでは、2014年よりIoTワーキンググループを立ち上げ、ガイダンス文書の翻訳や日本支部独自のガイダンス文書作成や記事執筆等の活動を行ってきました。
私自身も2015年から本ワーキンググループに参加してきました。本ワーキンググループの直近の成果物として、ガイダンス文書"Future-proofing The Connected World: 13 Steps to Develop Secure IoT Products"の日本語訳である、「『つながる世界』を破綻させないためのセキュアなIoT製品開発 13のステップ」を先般公開することができました。

本ガイダンス文書では、セキュアなIoT製品の設計および開発に関する課題や調査より、得られた知見を踏まえ、セキュアなIoT製品・システム開発のために必要な以下の13のステップが紹介されています。

1. セキュアな開発プロセスや設計手法
2. セキュアコーディングのための開発言語や統合開発環境
3. 各種フレームワークの選択
4. プライバシー保護の検討
5. ハードウェアに対する攻撃への対策
6. データ保護のための通信プロトコル選択
7. デバイスと組み合わせて用いられるアプリやサービスのセキュリティ
8. デバイス同士・デバイスとアプリ・デバイスとサービス等の様々なインターフェース・APIの保護
9. ファームウェア等のセキュアなアップデート
10. IoTデバイスの認証情報保護や相互に認可・信頼する仕組み
11. セキュアな暗号鍵管理
12. ログ管理機能
13. セキュリティに関するレビュー

13の各ステップにおいて、IoTシステム特有の課題や問題点を踏まえ、さまざまな他のガイダンス文書等を参照しながら検討・実施すべき事項が記載されています。

正直なところ非常に多岐に渡る前提知識が要求される側面があり、深く理解するためには参照として示されている他のガイダンス文書や記事にも目を通しながら、読み解いていく必要があるガイダンス文書ではあります。私自身も翻訳作業の過程で、本ガイドライン上の記述で意図していることを理解するために、他のガイダンス文書や記事を調査する必要に迫られ、そのことが新たな知見を得る契機となりました。

IoTシステムの開発に携わる方やIoTシステムのセキュリティに携わる方には是非ご一読いただいた上で、IoTシステムによりもたらされる『繋がる世界』に対する脅威と対策について考察する一助としていただければと思います。

CSAジャパン IoTセキュリティセミナーのご案内

なお、CSAジャパンIoTワーキンググループでは、本ガイドライン文書の公開を踏まえたセキュリティセミナー開催を予定しています。さまざまなセキュリティ関連団体の方をお迎えしたIoT脅威と対策に関するパネルディスカッションや本ガイドライン文書およびIoT脅威シナリオ集のご紹介等を行いますので、ご興味のある方は下記リンク先からお申し込みください。

CSAジャパン IoTセキュリティセミナー
「繋がる世界を破綻させないために、我々がすべきこと」

• 日時：2017年7月25日（火）13:00～17:00
• 場所：中央大学駿河台記念館
• 詳細はこちらです。