日本企業に必要な備えは──新たな法規制「欧州サイバーレジリエンス法」対応の勘所：日本の製造業に対応を迫る「欧州サイバーレジリエンス法」とは（2/2 ページ）

[貝田章太郎（KPMGコンサルティング），ITmedia]

脆弱性の少ない事業者に共通するのは……

　実機に対するセキュリティテストを行うと、何らかの脆弱性が見つかることが多い。筆者は前職を含めて数十件に上るIoT機器のセキュリティテストに携わってきたが、発見される脆弱性が少ない製造事業者には、共通して「セキュア開発ガイドライン」が存在していた。

　セキュア開発ガイドラインとは、「V字モデル」の考え方に沿った方法論だ。V字モデルはシステム開発における設計とテストの関係を図式化したものであり、一般的には図に示すような工程で構成されている。

　図から分かる通り、セキュアなIoT機器を開発するうえで最も大切なのが「要件定義」だ。どのような機能要件、業務用件が必要なのかが定義できていないと、以降の工程に大きな影響を及ぼしてしまう。実装すべきサイバーセキュリティの要件を明確化しないまま、開発をスタートしてしまうと、製品のセキュリティレベルが開発者の知識レベル、開発にかけられる時間やコストなどに大きく左右されてしまう。

　一方でセキュア開発ガイドラインは、「製品のカテゴリー」（医療機器、ロボット、民生品など）、「仕向け地」（欧州、米国、日本など）、「対応すべき法規」（EU一般データ保護規則、カリフォルニア州プライバシー権法、個人情報保護法などのプライバシー法規制など）など、狙いに応じて内容が大きく変わってくる。そのため技術的な観点だけではなく、認証や法規制に精通したメンバーの力を借りる必要があるため、作成に当たっては外部の専門家に相談すべき局面もあるだろう。

「開発部門だけが汗をかく」はNO？　PSIRTの重要性

　最後に、自社製品のセキュリティ対応を専門に行う組織である「PSIRT」 （Product Security Incident Response Team）の役割とその重要性についても触れておく。

　セキュアなIoT機器を開発・販売するためには、開発部門だけが汗をかけば良いというわけではない。例えば、製品発売後に脆弱性が発見された場合、（1）規制当局に対しての報告、（2）顧客へのアナウンス文作成、（3） 販売店・代理店への周知、（4）アップデートファイルの配布、（5）技術的な問い合わせへの対応窓口の開設、（6）製品回収する場合のロジスティクス整備──など、会社全体で取り組まなければならない項目は多い。

　しかもこれらの対応項目は全てCRAの要求事項でもあるため、欧州で製品を販売するためには、後回しにできない。

　PSIRTは製品セキュリティに関連する全てのタスクを、部署横断で推進する司令塔の役割を担う組織だ。IoT製品を開発・販売する企業においては必須といってもよい組織だが、新しい組織を立ち上げるのは簡単なことではない。

　特に海外のサイバーセキュリティ法規制に対応するためには、海外拠点との連携が必須となるほか、サイバーセキュリティ技術の専門家として、海外拠点に対する技術支援も必要となる。グローバルなPSIRTの立ち上げは、国内で閉じているPSIRTの設立よりも、難易度が各段に上がると考えたほうがよいだろう。

　筆者はこれまでアジア諸国でIoTセキュリティのサービスを提供してきたが、残念ながら日本はIoTセキュリティ分野で、他国に後塵を拝している状況にあると考えている。

　このままでは製品の価格や機能ではなく、セキュリティの不備によって国際競争に負けてしまうという状況を招きかねない。サイバーセキュリティ対策は重要な経営課題であるとの認識を経営層が持ち、早急にセキュア開発体制とPSIRTの構築に取り組み、競争力を維持する必要があるだろう。

著者プロフィール：貝田 章太郎（かいだ しょうたろう）　KPMGコンサルティング　マネジャー

IoTに関連するサイバーセキュリティ業務に長年従事。医療機器、体外診断機器、産業用ロボット、サイバーレジリエンス法、欧州無線指令（RED）、GDPRなどの法規制、および要求事項に精通している。またIoTが接続するクラウドのセキュリティ対策、プライバシー対策、情報セキュリティに関する業務経験も豊富。KPMGコンサルティング参画前は、欧州系第三者認証機関において、アジア地域のサイバーセキュリティ業務を統括。認証に必要なペネトレーションテストの設計などを数多く手掛ける。