Kaspersky Lab、ENISAによるIoTセキュリティ推奨事項の策定に専門機関として参加

[本リリースは、2017年12月15日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

欧州ネットワーク・情報セキュリティ機関（ENISA）は2017年11月、重要情報インフラにおけるIoTのための基本セキュリティ推奨事項（調査報告書『Baseline Security Recommendations for the Internet of Things in the context of critical information infrastructures』）を公開しました。本報告書は、重要な資産や既存のサイバー脅威、IoTのようなシステムを保護するソリューションといった複雑にからみ合う要素を考慮しながら、欧州内の諸組織にIoTのセキュリティに関する勧告を行うことを主目的にしています。Kaspersky Labは、ENISAのIoTセキュリティエキスパートグループ（IoTSEC）の一員として重要インフラの保護に関する勧告を準備するため、ENISAや主要なマーケットプレーヤーと協力しています。

Kaspersky Labが実施した企業における情報セキュリティリスク調査^※1の結果、インターネットに接続するコンピューター以外の機器に関するインシデントは、中小企業でも大企業でも特に深刻な金銭的影響をもたらすランキングのトップ3 に入っています。ENISAでは、増え続けるIoTの脅威に対応し、サイバーセキュリティに関する業界の専門知識を集約して重要インフラの保護に向けた専門家の助言をとりまとめるために、Kaspersky Lab含め業界の主要な企業から第一級の諮問委員を集めました。今回の『Baseline Security Recommendations for IoT』（IoTのための基本セキュリティ推奨事項）報告書においてENISAは、EU機関、IoTハードウェアメーカーおよびソフトウェア開発会社への政策措置を提示しています。

Kaspersky Labのフューチャーテクノロジー部 部長兼技術戦略責任者のアンドレイ・ドゥフヴァーロフ（Andrey Doukhvalov）は次のように述べています。「Kaspersky Labは重要インフラセキュリティ分野における豊富な専門知識を有しています。ENISAのIoTセキュリティ推奨事項に対する当社の協力は、各組織がより効率的なサイバーセキュリティ戦略を策定し、政策立案者が最新のサイバー脅威に立ち向かうための実効性の高い規則を制定する助けとなると考えています」

IoTSECに参加しているKaspersky Labのエキスパートは、EU政策立案者とIoTハードウェアおよびソフトウェア開発会社という2つの対象に向けて推奨事項を示しました。

EU政策立案者向けのセキュリティ上の重要な考慮事項

• 全体的にアプローチするのではなく、業種ごとに推奨事項やガイドライン、認定要件の策定を行うこと。
• サイバーセキュリティの国際標準について、EU全体で標準化し、IoTに関するEU共通の用語や分類を提供すること。
• AIOTIなどの既存の業界団体や組織を活用して、政策立案において業界と積極的に協力し、民間部門を関与させること。
• IoT機器に対する実効性の高い措置として、サイバーセキュリティ脅威に対抗するための多層防御システムを構築すること。

IoTハードウェアおよびソフトウェア開発会社など、直接IoTシステムに携わる人々向けの推奨事項

• 全社員にサイバーセキュリティに関する最新の知識とスキルを習得させ、継続的にテストを受けさせること。
• 信頼できる自動パッチ適用システムとのデータ相互運用性を確保すること。IoTハードウェアメーカーとソフトウェア開発会社はサプライチェーン向けサイバーリスク管理ポリシーを導入し、サイバーセキュリティ要件をサプライヤーやパートナーに周知させること。
• 実装プロセスにおいてコードレビューを行って製品の最終版におけるバグの数を減らすとともに、マルウェアの侵入や認証の迂回を特定すること。

IoT重要インフラの保護のための推奨事項の一覧はENISAの報告書でご覧いただけます。産業向けサイバーセキュリティに関するKaspersky Labの専門知識の詳細については、https://ics.kaspersky.com/をご覧ください。

■ ENISAについて
欧州ネットワーク・情報セキュリティ機関（ENISA）は、欧州のサイバーセキュリティを管轄する専門機関です。ギリシャのクレタ島イラクリオンを本拠とし、アテネに運営事務局を置いています。ENISAは加盟国および民間部門との緊密な協力のもとで助言や解決策の提案を行っています。具体的には汎欧州サイバーセキュリティ演習、国家サイバーセキュリティ戦略策定、CSIRTに関する協業と能力開発のほか、安全なクラウドの導入に関する調査、データ保護の問題への取り組み、プライバシー強化のための技術、新興技術におけるプライバシー、電子IDおよび信任サービス、サイバー脅威動向の把握などの活動に携わっています。また、NIS関連事項に関する欧州連合の政策および法律の策定および施行にも協力しています。

詳細は、https://www.enisa.europa.eu/about-enisaをご覧ください。

※1　企業における情報セキュリティリスク調査（Corporate IT Security Risks survey）は、Kaspersky LabがB2B Internationalと共同で、2011年から実施している年次調査です。2017年は、30か国の小規模企業（従業員数1～49）、中小企業（同50～999）と大企業（同1,000以上）に勤務する5,274人を対象に調査を実施しました。日本の回答者は、中小企業と大企業に勤務する合計224名です。