総務省 「IoTセキュリティ総合対策」の公表 (その1)

総務省は、サイバーセキュリティタスクフォースにおいて取りまとめられた「IoTセキュリティ総合対策」を公表しています

構成は、

Ⅰ 基本的考え方

として、「安全な IoT システムのためのセキュリティに関する一般的枠組」を踏まえつつ、総合的な視点 に立って対策を講じていくことが述べられています。

そして、各レイヤーごとにわけて分析するということになっています。

法律家だと、安全のためのセキュリティなので、検討の対象の法的性質(物か、それ以外か、とか)にわけて検討するところですが、それは、セキュリティのアプローチなので、これも一つの方法でしょう。

Ⅱ 具体的施策
においては、
(1)脆弱性対策に係る体制の整備、
(2)研究開発の推進
(3)民間企業等におけるセキュリティ対策の促進
(4)人材育成の強化、
(5)国際連携の推進の5つの項目
にわけて検討される
ということが明らかにされています。

(1)脆弱性対策に係る体制の整備
①セキュリティ・バイ・デザイン等の意識啓発・支援の実施から、⑤ 簡易な脆弱性チェックソフトの開発等 までの話。

では、セキュリティ・バイ・デザインの考え方に準拠の認証マークを考えているみたいです。セキュリティの考え方は、プロセスからいくので、むしろ、結果からいく安全基準のほうがよさそうな気もするのですが、どうでしょうか。要は、コントロールする物が、生命・身体に影響を及ぼしかねない場合には、このような要件を求めるとかしたほうがいいような気がします。

今、一つ気になるのは、根拠法令に何をするのかな。電波法なのでしょうか。でも、無線通信機器の責任分界がわからないと何法に基準を決めるのかもよくわからなかったりします。この枠組み自体、リーガルチェックという発想はなかったようですね。

電気通信事業法でもいけないことはないということは前のエントリで検討したのですが、 ファームウエアの問題に突っ込んでくるのですか>MIC

従来、脆弱性研究会がいろいろと考えてきたんですけど、みたいな話もありそうです。(問題を整理しましょ、という話)

あと、きちんと意味を読む必要があるのが
「重要インフラで利用される IoT 機器のように、国民生活や社会経済活動に直接影響を与える可能性がある重要 IoT 機器と、家電製品などの IoT 機器を含むサイバー攻撃の踏み台となってネットワークに悪影響を及ぼすおそれのある機器の双方について、所要の脆弱性調査と当該調査結果に基づく対策を講じる必要がある。併せて、脆弱性調査の効果を高める観点から所要の法制度の整備についても併せて検討する必要がある。」(5頁)という表現でしょうか。

前者については、あたかも、押しかけ脆弱性調査を認めるべきだという風に読めてしまいます。そのような趣旨はないと信じています。
というか、その前に、ネットワークに悪影響を及ぼすとかと、人の生命・身体に影響を及ぼしかねない場合とをわけるべきだろうとおもいますね。そして、後者に関係しうるIoT機器として、何が、重要インフラの管理下で存在しているのか、その洗い出しをすべきでしょう。(7の「重要 IoT 機器に係る脆弱性調査」を読む限り、現在、実行中のようですが)
洗い出しをする前に、調査を認める法制化とかいってもしょうがないとおもいます。

「脆弱性調査の効果を高める観点から所要の法制度の整備」については、調査をされるほうの身にもなりましょう、ということですね。英国コンピュータ不正使用法の成立の際のときの議論は、きちんと論文でふれているところですが、それを変える必要があるとは思っていなかったりします。

ただし、当社としては、豊富な比較法的検討に基づいた豊かな議論というのは、大賛成ですので、総務省さんで、「脆弱性調査の効果を高める観点から所要の法制度の整備についても併せて検討」についての入札待っています。(その場合、評価指標を途中で、変更したりしないでね)

⑧の「所有者・運用者・利用者に対して脆弱な機器の注意喚起を行い、各者による対策を促進。また、製造業者に対して情報提供を行い、今後製造する機器への対策を促進」は、IoTサイバークリーンセンターでしょうか。おもしろそうです。

⑨「被害拡大を防止するための取組の推進」では、通信の遮断が議論されています。「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定について」が、さらに発展するものとおもわれます。その意味では、通信の秘密のドグマについて柔軟な対応が、当然に考えられるようになっているというのは、いいだしっペとしては、うれしいところです。

⑩「 IoT 機器に関する脆弱性対策に関する実施体制の整備」では、IoTセキュリティセンターが提案されています。これも、この根拠法令は、何なの、と突っ込みたくなりますね。通信に関する責任分界点の範囲についての技術基準は、作る権限があるとおもいます。でも、実際の問題は、その分界点の先の有体物の誤動作だったりするわけでしょう。難しい問題ですね。

(2)以降についても、ゆっくり分析したい事項がならびます。続きは、別のエントリで。

関連記事

  1. 電子署名法が、eシールを認めていないといったのは誰か?
  2. CyCon 2019 travel memo day1 (2)
  3. 防衛におけるサイバー/宇宙-NATOのブリュッセル・コミュニケ
  4. EU、初のサイバー攻撃に対する制裁を決定
  5. CyCon2017 travel memo 4) Day 0
  6. ジョセフ・ナイ サイバーと倫理
  7. 「無線LANただ乗り、電波法は「無罪」…懸念も」の判決文
  8. ENISA「サプライチェーン攻撃の脅威状況」を読む
PAGE TOP