政府は2016年5月31日、IoT(Internet Of Things)の安全性を確保するためのガイドライン案を公表した。企業や有識者、総務省や経済産業省からなる「IoT推進コンソーシアム」のセキュリティワーキンググループがまとめたもので、6月14日までパブリックコメント(意見募集)を行う。
IoTでは、自動車や家電製品、医療機器、工場の制御システムなど異なる分野のシステムがインターネットに接続してデータをやりとりする。ガイドラインは、情報セキュリティ対策として、リスクの大きさに応じて関係者が取り組むべき内容や情報共有を促すことが目的という。一般利用者が日常生活で注意すべき点も盛り込んだ。
ガイドライン案では、IoT特有の性質として、IoT機器に対する監視が行き届きにくく、開発者が想定していなかった接続が行われて、機器メーカーやサービスの開発者らが当初想定していなかった影響が発生する可能性などを挙げている。
そのためIoTのリスクとして、あらゆる機器がつながってインターネットから直接アクセスできることを想定しておくことを求めている。例えば、過去にHDDレコーダーが外部からの不正侵入の踏み台にされたり、プリンター複合機に蓄積されたデータがネットに公開される状態となったりした事例を踏まえ、出荷時の初期パスワードを同一にしないようにするほか、ユーザーによるパスワード変更を必須にするといった対策を求めている。
また企業に対して、IoT機器の出荷時の初期パスワードを変更することを消費者へ注意喚起して、初期パスワードの変更が行われなければ機能を制限するなどの対策を取ることも有効だとしている。IoT機器やシステムの状態や動作をログとして記録する機能を設けることなども求めている。
[IoT推進コンソーシアムの発表資料へ]
[総務省の発表資料へ]
