一般社団法人「日本クラウドセキュリティアライアンス(CSAジャパン)」のIoTクラウドサービスワーキンググループ(WG)は2016年4月4日、IoT(Internet of Things)デバイスに対するセキュリティ脅威のリスクを評価するためのガイドライン「Internet of Things (IoT)インシデントの影響評価に関する考察」を発表した。CSAジャパンが独自に作成したドキュメントで、IoTデバイスに対するセキュリティ脅威のリスクを(1)デバイスの特性、(2)サービスの特性、(3)システムを構成するデバイスの数の三つの軸で分析することを提言する。

 ここでいう(1)デバイスの特性とは、そのデバイスがサイバー攻撃を受けた際に、周囲に与える影響や漏洩する恐れのある情報の種類のこと。例えば医療機器は生命に影響を与える誤動作や病気に関する情報の漏洩を招く可能性があるため、最も影響が大きいと判定する。

 二つめのサービスの特性とは、デバイスを統轄するサービスに関して、(1)と同様の判定を行う。(3)はデバイスの数で、数が大きいほど、影響範囲が大きいとみる。

 (1)~(3)はそれぞれ5段階で判定する。「このようにリスクを客観的に評価することで、セキュリティ対策にどの程度、力を割くべきか判断する材料となる」(同WGリーダーの二木真明氏)という。

 同WGは今後もドキュメントの整備やイベントの開催などを通じて、IoTのセキュリティ強化につながる活動を進める予定。同じく4月4日には「IoTにおけるID/アクセス管理 要点ガイダンス」を公開した。

 これに先立ち2月24日には 「IoT早期導入者のためのセキュリティガイダンス」を公開している。いずれも米国のCSA本部が公開しているドキュメントの日本語版である。

 CSAジャパンのIoTクラウドサービスWGはIoTへのセキュリティ脅威とその対策に関して各種の分析と提言を行うため、2014年半ばから活動している。5月24日に開催する「CSA Japan SUMMIT 2016」では、「サイバーフィジカルシステムを支えるクラウドセキュリティ」をテーマにIoTのセキュリティに関する各種講演を行う。