NRIセキュア、IoT機器向けの開発ガイドラインを販売開始 ~ コンサルティングと診断で培ったノウハウを盛り込み、国内外のセキュリティ標準を網羅 ~
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:小田島 潤、以下「NRIセキュア」)は、IoT(モノのインターネット)機器を開発する企業向けに、開発時に組み込むべきセキュリティ要件をまとめた「IoTセキュア開発ガイドライン(以下「本ガイドライン」)」の販売を、本日開始します。
本ガイドラインは、NRIセキュアが長年にわたり実施してきたIoT機器メーカに対する開発支援コンサルティングと、IoT機器に関する豊富なセキュリティ診断の経験で培ってきたノウハウ、およびNIST(米国標準技術研究所)など、国内外の公的機関・団体などから発行されているIoT関連のセキュリティ標準やガイドライン[1]で求められる対策を集約・統合したものです。最新の技術動向を取り込み、IoT機器のセキュアな開発を支援します。
■ 開発時点におけるセキュリティ対策の重要性
IoTが普及するにつれ、IoT機器を狙ったサイバー攻撃や、セキュリティ上の脆弱性の報告件数が増加しています。背景には、開発工程で十分なセキュリティ対策がなされないまま、サイバー攻撃に対して脆弱な機器が多数出荷されていることが挙げられます。IoT機器は、出荷された後では脆弱性の修正が困難な場合が多く、開発時点で製品特性に合わせたセキュリティ対策を講じることが重要です。
■ 「IoTセキュア開発ガイドライン」の概要
本ガイドラインでは、IoT機器開発に関する長年の支援実績を踏まえて、開発の工程ごとに実施すべき対策を取り上げ、実装方式や設定値の具体例を挙げながら解説しています。また、実際に発生したインシデント(事件・事案)の事例をもとに、各要件を取り込まない場合のリスクについても紹介しています。
本ガイドラインを活用することで、一定のセキュリティ水準を保ちながら、IoT機器の設計・開発が可能になります。開発を社外に委託する場合においても、本ガイドラインを委託先と共有することにより、順守すべきセキュリティ基準を明確に示すことができます。また個別の企業ごとに、適合が求められる業界標準規格や社内ポリシーを取り入れ、カスタマイズしたガイドラインを策定することも可能です(オプションサービス)。
■ IoTシステム全体のセキュリティをトータルで支援
NRIセキュアでは、「Webアプリケーション」および「スマートフォンアプリケーション」向けのセキュリティ開発ガイドラインも、それぞれ販売しています(下図を参照)。これらと本ガイドラインをあわせてご利用いただくことで、IoTシステム全体のセキュアな設計・開発が可能となります[2]。このほか、上流工程における開発支援コンサルティングサービスやセキュリティ診断を組み合わせることで、セキュリティ水準の高いIoTシステムの構築をトータルで支援します。
図:IoTシステム全体のセキュリティを支える3つのガイドライン
・ NIST, NISTIR 8200 “Interagency Report on the Status of International Cybersecurity Standardization for the Internet of Things (IoT)”
・ NIST, NISTIR 8228 “Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks”
・ NIST, NISTIR 8259 (Draft) “Recommendations for IoT Device Manufacturers: Foundational Activities and Core Device Cybersecurity Capability Baseline”
・ NIST, NISTIR 8267 (Draft) “Security Review of Consumer Home Internet of Things (IoT) Products”
・ NIST, White Paper (Draft) “Internet of Things (IoT) Trust Concerns”
・ ENISA, “Good Practices for Security of IoT - Secure Software Development Lifecycle”
など
[2] Webアプリケーション、スマートフォンアプリケーション、IoT機器のセキュア設計・開発ガイドラインの詳細については、次のWebサイトをご参照ください。https://www.nri-secure.co.jp/service/assessment/guideline
■ 開発時点におけるセキュリティ対策の重要性
IoTが普及するにつれ、IoT機器を狙ったサイバー攻撃や、セキュリティ上の脆弱性の報告件数が増加しています。背景には、開発工程で十分なセキュリティ対策がなされないまま、サイバー攻撃に対して脆弱な機器が多数出荷されていることが挙げられます。IoT機器は、出荷された後では脆弱性の修正が困難な場合が多く、開発時点で製品特性に合わせたセキュリティ対策を講じることが重要です。
■ 「IoTセキュア開発ガイドライン」の概要
本ガイドラインでは、IoT機器開発に関する長年の支援実績を踏まえて、開発の工程ごとに実施すべき対策を取り上げ、実装方式や設定値の具体例を挙げながら解説しています。また、実際に発生したインシデント(事件・事案)の事例をもとに、各要件を取り込まない場合のリスクについても紹介しています。
本ガイドラインを活用することで、一定のセキュリティ水準を保ちながら、IoT機器の設計・開発が可能になります。開発を社外に委託する場合においても、本ガイドラインを委託先と共有することにより、順守すべきセキュリティ基準を明確に示すことができます。また個別の企業ごとに、適合が求められる業界標準規格や社内ポリシーを取り入れ、カスタマイズしたガイドラインを策定することも可能です(オプションサービス)。
■ IoTシステム全体のセキュリティをトータルで支援
NRIセキュアでは、「Webアプリケーション」および「スマートフォンアプリケーション」向けのセキュリティ開発ガイドラインも、それぞれ販売しています(下図を参照)。これらと本ガイドラインをあわせてご利用いただくことで、IoTシステム全体のセキュアな設計・開発が可能となります[2]。このほか、上流工程における開発支援コンサルティングサービスやセキュリティ診断を組み合わせることで、セキュリティ水準の高いIoTシステムの構築をトータルで支援します。
図:IoTシステム全体のセキュリティを支える3つのガイドライン
- 脚注
・ NIST, NISTIR 8200 “Interagency Report on the Status of International Cybersecurity Standardization for the Internet of Things (IoT)”
・ NIST, NISTIR 8228 “Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks”
・ NIST, NISTIR 8259 (Draft) “Recommendations for IoT Device Manufacturers: Foundational Activities and Core Device Cybersecurity Capability Baseline”
・ NIST, NISTIR 8267 (Draft) “Security Review of Consumer Home Internet of Things (IoT) Products”
・ NIST, White Paper (Draft) “Internet of Things (IoT) Trust Concerns”
・ ENISA, “Good Practices for Security of IoT - Secure Software Development Lifecycle”
など
[2] Webアプリケーション、スマートフォンアプリケーション、IoT機器のセキュア設計・開発ガイドラインの詳細については、次のWebサイトをご参照ください。https://www.nri-secure.co.jp/service/assessment/guideline
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 商品サービス
- ビジネスカテゴリ
- システム・Webサイト・アプリ開発アプリケーション・セキュリティ
- ダウンロード
- プレスリリース素材
このプレスリリース内で使われている画像ファイルがダウンロードできます