業界分析

スマートホームのセキュリティガイドラインの目的はサイバーセキュリティ上の技術的な対策と管理項目の明確化

現在、IoT機器や関連システムの開発が様々な産業分野において進んでいます。しかし、安全安心の基準が異なるシステムが相互接続することで、当初は想定していなかったリスクが顕在化することも懸念されています。守るべきものやリスクは産業分野によって違いがあり、各産業分野の特性に応じたセキュリティ対策の検討が必要です。そのため、2021年4月に「スマートホームの安心・安全に向けたサイバー・フィジカル・セキュリティ対策ガイドライン」が策定公開されました。今回はスマートホームのセキュリティガイドラインについて解説します。

スマートホームの安心・安全に向けたサイバー・フィジカル・セキュリティ対策ガイドライン

2021年4月、一般社団法人電子情報技術産業協会(JEITA)スマートホーム部会は、経済産業省産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)と連携して、スマートホームにおけるサイバーセキュリティ対策の考え方や、各ステークホルダー(実行することで影響を受ける利害関係者)が考慮すべき対策について規定した「スマートホームの安心・安全に向けたサイバー・フィジカル・セキュリティ対策ガイドライン」を策定公開しました。

このガイドラインは、スマートホームに関係する家電・住宅設備メーカー、サービス提供事業者、住宅デベロッパー等の幅広い関係者の参加を得て、日本初となるスマートホーム市場に関わるステークホルダーごとの対策指針を経済産業省サイバーセキュリティ課の委託事業としてまとめました。

スマートホームでは、住宅の様々な IoT 機器がサイバー攻撃の対象となります。
このガイドラインは、知識やバックグラウンドがさまざまなステークホルダーに対応するため、シンプルな対策ガイドから、具体的な対策要件や国際標準との対比まで、セキュリティ対策を階層的に整理しています。この策定により以下のような効果が期待されています。

・スマートホーム分野でIoT機器を通じたさまざまなサービスを利用する上で生じる可能性がある被害(情報漏洩、サイバー攻撃、フィジカル空間への被害など)対策促進
・スマートホーム利用における住人の安心・安全の確保の手助け

スマートホームガイドライン策定の背景

スマートホームガイドライン策定背景の流れは以下の通りです。

スマートホームセキュリティ対策に関する文献がなかった

スマートホームにおけるサイバーセキュリティは、サプライチェーン全体で行うことが必要です。
スマートホーム特有のサイバー攻撃は以下の通りです。
・膨大な攻撃対象(世帯数はおよそ5,300万世帯)
・マネジメント不在に起因する脆弱性(統制された管理・運用されなく、セキュリティ対策が不十分)
・利用者側の誤操作等による想定外のインシデントなど

スマートホームへのサイバー攻撃は、住人の生命財産に直接影響します。しかし、今までスマートホームの利用者を含む幅広い関係者全体に向けたセキュリティ対策に関する文献はありませんでした。

CPSFの策定

2018年2月7日、経済産業省では「Society5.0」「Connected Industries」における新たなサプライチェーン全体のセキュリティ確保を目的としたサイバー・フィジカル・セキュリティ対策について議論を進めてきました。
産業サイバーセキュリティ研究会ワーキンググループ1 (WG1)の下にスマートホームサブワーキンググループ(スマートホームSWG)を設置し、スマートホームにおける安心で安全な暮らしを実現するための基本的な指針の考え方について検討を行い、CPSF(サイバー・フィジカル・セキュリティ対策フレームワーク)を策定しました。

多様なステークホルダーを交えた検討が不可欠

一般の家庭においてIoT機器の導入や維持・運用に一貫した計画性がないことが多く、また誤使用が発生する可能性があります。そのため、サービスによってはサイバー空間における問題が想定外の開錠や閉じ込めといった現実空間における問題を引き起こす可能性があります。このような問題に対して、従来からの機器単体におけるサイバーセキュリティ対策に加え、住まいや住まい手の特性も含めて、多様なステークホルダーを交えた検討が不可欠となります。

スマートホームSWGでは、スマートホームにおけるサイバー・フィジカル・セキュリティ対策の考え方や、各ステークホルダーが考慮すべき最低限の対策をまとめたガイドライン原案について2020年7月29日から8月31日までパブリックコメントを実施するなど、策定に向けた検討を進めてきました。WG1及びスマートホームSWGでの議論を踏まえ、2021年4月「スマートホームの安心・安全に向けたサイバー・フィジカル・セキュリティ対策ガイドライン」を策定されました。

ガイドラインの目的

近年、Society 5.0実現に向けConnected Industriesの形成が進められています。
Society 5.0とは、「サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会(Society)」と定義されています。社会の変革を通じて日本が目指すべき未来社会の姿と提唱されています。
Connected Industriesとは、データを介して、機械、技術、人など様々なモノがつながることで、新たな付加価値創出と社会課題の解決を目指す産業のあり方です。IoTによって「モノとモノ」をつなぐだけでなく、「人と機械やシステム」「人と技術」「(国境を越えた)企業と企業」などがつながったり協働したりすることで、新たな付加価値を創出しようというコンセプトです。

Connected Industriesの重点分野の1つであるスマートライフ分野では、スマートホームが1つの核となります。そのスマートホームに必要となるサイバーセキュリティ上の技術的な対策、 および管理項目の明確化がガイドラインの目的です。

スマートライフとは、子育て世代、高齢者、単身者など、さまざまなライフスタイル・ニーズにあったサービスをIoTによって実現する新しい暮らしのことです。
IoTに対応した住宅設備・家電機器などがスマートホームと連携することによって、住人とその関係者に快適な生活を提供します。

ガイドラインの対象とステークホルダー

ガイドラインの対象は戸建、共同住宅、持ち家、賃貸などの住宅です。これら住宅では、企業のような専任の管理者がいない場合が一般的であり、IoT 機器やシステムのセキュリティを考慮した管理・運用がなされていないことが多いです。
ステークホルダーは以下の通りです。

・スマートホーム向けIoT機器の事業者
・スマートホーム向けIoT機器を遠隔から管理する事業者
・スマートホーム向けサービス事業者
・スマートホームを供給する事業者
・スマートホーム向けにメンテナンスやサポートを行う事業者
・スマートホーム化された分譲共同住宅・団地の管理組合や管理受託会社
・スマートホーム化された賃貸住宅の所有者や管理受託会社
・スマートホームの住人

各ステークホルダーに対するセキュリティ対策のガイド

ガイドラインは以下の段階を踏んで各ステークホルダーに対するセキュリティ対策のガイドを導出しています。

①スマートホームのセキュリティ上の運用や個人情報の管理に支障を来すような事態に陥りかねない状況、関連する脆弱性を検討するための想定シーンと脅威を設定
②想定シーンとリスク源(脅威、脆弱性)を抽出
③対策要件について対策例を示すと共に、対策例を他の標準や規格と対比
④対象ステークホルダーごとに対策要件を整理・要約し、必要な対策のガイドを導出
⑤導出セキュリティ対策に対し補足説明を加えて、ガイドライン文書として整理

想定シーンと脅威

ガイドラインでは、主に住人に影響を及ぼすリスク元を抽出することを念頭に想定シーンと脅威を設定しています。

スマートホームとサイバー空間との間のデータに関する脅威

1つは「スマートホームとサイバー空間との間のデータに関する脅威」です。

以下のような例が該当します。
・IoT機器が攻撃を受け、センサーでの測定ができない
・IoT機器が攻撃を受け、デジタル情報への変換ができない
・IoT機器が攻撃を受け、データをサイバー空間に送る機能が正しく動作しない
・サイバー空間から受け取る通信データが、通信経路において改ざんまたは暴露される

物理的なモノを含めた管理上の脅威

2つは「物理的なモノを含めた管理上の脅威」です。

以下のような例が該当します。
・共同住宅に新規に設置するIoT機器が想定された用途・用法に基づき設定されないため、住戸内ネットワークに接続されている既存のIoT機器に干渉してしまう
・転居や販売、譲渡の際に、新たな利用者が前の利用者の個人情報が残存した状態で、IoT機器やサービスを利用し続けてしまう

スマートホームに求められる最低限のセキュリティ対策

スマートホームに求められる最低限の具体的なセキュリティ対策は以下の通りです。

・スマートホーム向けIoT機器の事業者:出荷時や初期状態からセキュリティ確保
・スマートホーム向けのサービス事業者:サービス提供事業者システムを適切運用・管理
・スマートホームを供給する事業者:IoT機器の正しい選定

まとめ

スマートホームのセキュリティガイドラインについて解説してきました。以下、まとめになります。

・スマートホームへのサイバー攻撃は住人の生命財産に直接影響するのに、スマートホーム関連の幅広い関係者全体向けセキュリティ対策に関する文献がなかったため生まれた
・ガイドラインの目的は、スマートライフの中核であるスマートホームに必須なサイバーセキュリティ上の技術的な対策、 および管理項目の明確化
・ガイドラインは各ステークホルダーに対するセキュリティ対策のガイドを導出し、主に住人へ影響がおよぶリスク元を抽出することを念頭に想定シーンと脅威を設定している

守るべきものやリスクは産業分野によって違いがあり、各産業分野の特性に応じたセキュリティ対策の検討が必要です。
安心安全のために、各ステークホルダーに必要なセキュリティ対策が必要であり、そのためにはセキュリティ上の脅威と想定シーンを理解・実施することが重要です。ぜひガイドラインを理解して活用させましょう。

関連記事

TOP