国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)は2019年6月27日、IoT(インターネット・オブ・シングズ)製品のセキュリティーをチェックするためのリスト「IoTセキュリティチェックリスト」を公開した。JPCERT/CCのWebサイトから無料でダウンロードできる。

 IoTセキュリティチェックリストはA3サイズ1枚の大きさで、対象はIoT製品の開発者やビジネス向けIoT製品の利用者。

「IoTセキュリティチェックリスト」の一部
(出所:JPCERT/CC)
[画像のクリックで拡大表示]

 IoT製品を狙ったサイバー攻撃が問題になり始めた2016年以降、多くの組織や企業がIoTのセキュリティーに関するガイドラインやチェックリストを公表している。

 今回公開されたIoTセキュリティチェックリストの特徴は、「ポリシーレベルのガイドラインではなく、運用レベルにフォーカスしたこと」(JPCERT/CCの輿石隆 早期警戒グループ情報分析ライン情報セキュリティアナリスト)。

 具体的には、チェック項目を単に並べるのではなく、対象のIoT製品がその項目を満たしているかどうか確認する方法まで記載した。

 例えば、チェック項目の「アカウントロックアウトメカニズム」については、開発する際に確認する項目として「連続した規定回数以上のログイン失敗や多重ログインなどの痕跡を確認したら、アカウントをロックし、ログインが不可になる機能を持たせる」と説明している。

 チェック項目の内容が分かりやすいように、それぞれの項目を図で解説した「IoTセキュリティチェックリスト解説図」を用意したのも、IoTセキュリティチェックリストの特徴だ。

「IoTセキュリティチェックリスト解説図」の一部
(出所:JPCERT/CC)
[画像のクリックで拡大表示]