IoT製品のライフサイクル全般でセキュリティ対策を強化する

あらゆるモノがネットにつながる「IoT」時代の幕が開けた。IoT製品を取扱う企業は、製造物責任(PL法)を果たすために、セキュリティ対策においても説明責任が求められる。サイバー攻撃が増えこそすれ止むことのないなか、各企業は販売後も脆弱性等が発見されるたびに対策を行わねばならない。

近年、ソフトウェア部品表(SBOM)の管理を行政機関も要求しはじめている(参考:経産省PDF)。IoT製品ではソフトウェアに加えて、ハードウェアなどのセキュリティ対策の危殆化や脆弱性を監視する必要があり、当社では製品ライフサイクル全体を通したセキュリティ対策を部品表(セキュアBOM)として管理することを提唱している――

それらはIoT製品を製造する企業のみならず、製品に付加価値をつけて提供する企業にも求められる一方、通年管理するには作業が煩雑なうえ、見逃してしまう恐れ、さらには専門知識が要求されるといった課題があるという。DTCYは今月15日、スマート家電を含むIoT製品のライフサイクルに渡ってセキュリティ対策の危殆化や脆弱性の監視を自動化し、対策を支援するサービスを開発したことを発表した。

新サービスは、IoT製品の企画・設計段階でのセキュリティ機能の組み込みに加え、企業のセキュリティレベル向上やインシデント発生時の対応を行う組織"PSIRT"を支援する。「危殆化・脆弱性の監視」では、クライアント企業のIoT製品のSBOMならびにセキュアBOMを登録。日々更新される脆弱性情報の該当を自動検知し、アラートを通知。 関連部門が連携して対処するための機能を提供する。

「プロセス監査」は製造・運用・保守において、セキュリティ対策がガイドライン通りに実施されることを定期的に確認した結果を記録し、ダッシュボードで可視化するという。同社は製品セキュリティ関連の企業の態勢強化に向けたサービスを幅広く提供している。