ITmedia NEWS > セキュリティ >
ニュース
» 2018年03月22日 14時48分 公開

IoT製品の開発時、「セキュリティ基準あり」わずか35.6%

IoT製品の開発全体で、セキュリティ基準が「ある」は35.6%、「ない」は30.2%――IPAの調査でそんな結果が明らかに。

[ITmedia]

 IoT製品の開発時、社内に統一されたセキュリティ基準が「ある」のは35.6%、「ない」は30.2%――情報処理推進機構(IPA)は3月22日、そんな調査結果を出した。特に企画、設計から製造、検査という各段階を通じて具体的な手順や社内規則が「ある」ケースは3割に満たず、「未整備な製品、サービスが多い」(IPA)という。

photo 各段階で具体的な手順、社内規則が「ある」ケースは3割に満たなかった

 開発段階で脆弱性対策を考慮している割合は68.5%と高い。「外部のソフトウェア部品を利用する場合、既知の脆弱性がないか確認する」(57.9%)、「ソフトウェア(ファームウェア)更新機能を実装する」(57.9%)が多かった。「セキュアプログラミングの適用」(41.4%)、「コーディング規約の利用」(36.4%)など、設計時の対策は比較的少ないことが分かった。

photo 開発段階での脆弱性対策を考慮している割合は68.5%
photo

 製品出荷後、販売段階で脆弱性が見つかった経験が「ある」は26.3%。そうした企業が、顧客へ提供した対策は「パッチの作成・リリース」(83.3%)が最も多かった。しかしパッチをリリースしても、1年以内のパッチ適用率を「把握していない」企業が31.1%を占めた。

photo 販売段階で脆弱性が見つかった経験が「ある」は26.3%
photo 顧客へ提供した対策は「パッチの作成・リリース」(83.3%)が最多
photo リリース後1年以内のパッチ適用率

 一方、脆弱性が見つかった経験が「ない」企業も含め全体では13.7%が「脆弱性対策が不可能な場合が『ある』」と答えた。理由は「製品・サービスの機能が必要最低限で、パッチ適応が困難」(42.9%)、「連続稼働が前提であり、パッチ適用が困難」(25.0%)、「脆弱性対策を検討する人員が不足」(25.0%)などが挙がった。対策が不可能な場合は「顧客に使用中止を呼び掛け」(50.0%)、「最新製品・サービスへの切り替え」(46.4%)を促す企業が多い。

photo 脆弱性対策が不可能な場合が「ある」は13.7%
photo
photo

 また、サポート終了段階(EOS/EOL)で脆弱性が見つかった経験が「ある」は6.8%。そのうち42.9%が、修正は行わず「最新の製品・サービスの利用を呼び掛ける」(42.9%)という対応だった。脆弱性が修正される場合は限られるが、企業によって何らかの対応がなされていた。

photo

 調査は2017年11〜12月、日本国内に拠点を置くIoT製品開発者(企業)に対し、郵送方式でアンケートを実施。205件の有効回答を得た。

 調査結果を受けIPAは、経営者・管理者向けに、企業が実施すべき対策を紹介する「IoT製品・サービス 脆弱性対応ガイド」を公開している。

Copyright © ITmedia, Inc. All Rights Reserved.