2021年12月21日公開

企業のITセキュリティ講座

IoT機器にセキュリティを組み込む規格が国際標準化、ISOとは?

ライター・吉澤亨史

2021年5月、IoT製品・サービスにセーフティー・セキュリティ等を実装するプロセスが「ISO/IEC 30147:2021」として国際標準規格となった。この規格は、内閣官房の内閣サイバーセキュリティセンター(NISC)が公開した「安全なIoTシステムのためのセキュリティに関する一般的枠組」の考えを基にしつつ、IPAが公開した「つながる世界の開発指針」シリーズの内容を規格の中心として日本が提案していたもので、情報セキュリティマネジメントシステム「ISO/IEC 27001」(ISMS)に次ぐものとなる。ここではISO規格について説明する。

1. ISO規格とは、「ISO 9001」との違い

IPA(独立行政法人 情報処理推進機構)は2021年6月、日本がISO/IEC JTC 1/SC 41に提案していた、「ISO/IEC 30147:2021 Internet of Things (IoT) - Integration of IoT trustworthiness activities in ISO/IEC/IEEE 15288 system engineering processes」が国際標準規格として成立し、2021年5月に出版されたと発表した。

これは、いわゆる「ISO規格」と呼ばれる世界的な規格で、例えばネジ(ISO 68)やカードのサイズ(ISO/IEC 7810)などがあり、この規格に沿うことで世界中のどこでも同じ品質、同じレベルのものを生産できる。またISOでは、製品だけでなくさまざまな環境や品質を維持・改善していく仕組みも規格として制定している。これがマネジメントシステムと呼ばれるものだ。

多くの工場では「ISO 9001」(QMS)を取得していると思うが、ISO 9001は品質マネジメントシステムと呼ばれ、組織が顧客に提供する製品やサービスの品質を継続的に改善していく仕組みである。同様に、「ISO 13485」(医療機器・体外診断用医薬品)、「ISO 14001」(環境)、「ISO/IEC 27001」(情報セキュリティ)、「ISO 22000」(食品安全)など、多くのISOマネジメントシステム規格がある。

ISO規格の認証を取得することで、自社の製品やサービスの品質を継続的に改善していることを世界的に証明できる。例えば、海外の企業と契約をする際に、ISO規格の取得を条件とされることが多い。つまり、ISO規格を取得することで海外の一流企業と契約できる可能性が高くなる。

なお、ISOは「International Organization for Standardization(国際標準化機構)」の略称で、スイスのジュネーブに本部がある。ISOは国際的に通用する規格の制定を目的とした団体で、規格の制定や改訂は世界160以上の参加国の投票によって決定される。これには日本も参加しており、「ISO/IEC 30147:2021」以外にも日本が提案し制定された規格がある。例えば「ISO/IEC 27001」は日本のISMSがベースとなっている。

ISOには、製品そのものを対象とする規格と、マネジメントシステムを対象とする規格がある

目次へ戻る

2. IoT機器のセキュリティ問題の解決に向けて

日本が提案した「ISO/IEC 30147:2021」は、IoT機器やデバイスの安全性を高めるためのもの。現在、インターネットに接続したIoT機器やデバイスを活用した、さまざまな製品やサービスが数多く存在する。しかし、製品やサービスの開発や運用においてセーフティー・セキュリティのリスクの増大が懸念されている。

IoT機器やそれを活用したサービスは競争が激しいため、セーフティーやセキュリティに対する意識が低く、後回しにされがちという現状がある。最後の段階でこれらを適用しようとしても、既にIoT機器やデバイスのメモリーにセキュリティ機能を追加する余裕がなかったり、動作させる要件をCPUが満たしていなかったりと、難しい状況になってしまい、結果としてこうした機能の搭載を見送ることになってしまう。

よって、IoT機器やデバイスにはその設計、開発段階からセーフティー・セキュリティ機能を組み込む必要がある。いわゆる「セキュリティ・バイ・デザイン」や「シフトレフト」などと呼ばれる考え方だ。もちろん、製品やサービスの開発・提供者が、セーフティー・セキュリティに関する設計・保守・運用に個別に取り組んでいるケースもある。しかし、国際的な標準は存在していなかった。

日本では、2016年3月に内閣サイバーセキュリティセンターが「安全なIoTシステムのためのセキュリティに関する一般的枠組」を、さらにIoT推進コンソーシアムが2016年7月に「IoTセキュリティガイドライン」を策定して公表している。これらの中には、IPA 社会基盤センターが公表した「つながる世界の開発指針」シリーズの内容も盛り込まれている。

IoT社会の安心・安全の確保のためのセーフティー・セキュリティの基準は、国際的にもそのニーズが認識されていることから、日本は「IoTセキュリティガイドライン」などをベースにした規格を国際標準化機関であるISO/IEC JTC 1/SC 27(情報セキュリティ、サイバーセキュリティおよびプライバシー保護)に提案。

また、「IoTセキュリティガイドライン」に加え「安全なIoTシステムのためのセキュリティに関する一般的枠組」や「つながる世界の開発指針」シリーズなどをベースにした規格をISO/IEC JTC 1/SC 41(IoTとデジタルツイン)に提案し、標準化活動を推進した。これがISOに採用された形となる。

セキュリティ・バイ・デザインのイメージ(IPA「セキュリティ・バイ・デザイン入門」より)

引用元:IPA「セキュリティ・バイ・デザイン入門」

目次へ戻る

3. ISO規格の認証を取得するには

ISO規格はさまざまな業界に対応するものがあり、特にマネジメントシステムはそれぞれの業界において「規定や手順を定めること」、また「規定や手順を運営する従業員の責任・権限を定めること」といえる。これは既に多くの企業で実践されていることだが、ISO規格の認証を取得することでさらに多くのメリットがある。

一つ目は、前述のように世界共通の社会的な信頼を得られること。ISO規格の認証の取得には、第三者機関である認証機関による監査が行われる。これをクリアし認証を取得すれば、組織の内外に対する説明責任を果たすことができ、社会的な信頼を得られる。

二つ目は、認証機関の監査によって、第三者の視点による問題点を発見できること。ISO規格には多くの要求事項が存在し、監査の際にはこれらの要求事項を満たしているかどうかを判断する。それは書類であったり機器であったりする。認証機関の審査により「不適合」と判断された場合は是正処置を行うことになり、これにより問題点を改善していくことができる。

三つ目は継続的な改善ができるようになること。ISOのマネジメントシステムの認証制度は、毎年実施される。定期的に監査を受けることで品質の維持や改善が継続的に行われることになり、それは顧客満足度の向上にもつながる。

ISO規格の認証を行う第三者機関は、日本では公益財団法人日本適合性認定協会(JAB)と情報マネジメントシステム認定センター(ISMS-AC)の二つの認定機関があり、これらの認定を受けた認証機関が監査を行う。その多くはコンサルティングから入り、認定取得までのサポートを行っている。

認証取得の効果

目次へ戻る

関連記事