作成の「目的」「対象者」「背景」を紹介
電子情報技術産業協会(JEITA)はこのほど、経済産業省産業サイバーセキュリティ研究会と連携して「スマートホームの安心・安全に向けたサイバー・フィジカル・セキュリティ対策ガイドライン」を策定した。ガイドラインは、スマートホームにおけるセキュリティ対策の考え方や各ステークホルダーが考慮すべき対策について規定しているが、今回は作成の「目的」「対象者」「背景」を紹介する。
はじめに
世の中のIT化により、様々なライフスタイルやニーズに応じたサービスをIoTで実現するスマートホームは、急速な普及が見込まれている。
ガイドラインは、スマートホームの提供事業者をはじめスマートホームの住まい手など幅広い関係者に、スマートホームにおける安心で安全な暮らしを実現するためのセキュリティに関する基本的な指針を示すものである。さらにガイドラインでは、スマートホームにおけるセキュリティ対策の考え方、ならびに各関係者が考慮すべき最低限のセキュリティ対策を示している。なお、業種・業態に特化した、または詳細なセキュリティ対策の明示が必要な場合は、ガイドラインや他のガイドラインを参考に、各々のセキュリティ対策を考案されたい。
1、ガイドラインを策定する目的
近年、サイバー空間とフィジカル空間を高度に融合させることにより、多様なニーズにきめ細かく対応したモノやサービスを提供し、経済的発展と社会的課題の解決を両立する超スマート社会であるSociety 5.0への取り組みが進められている。
Society 5.0では、フィジカル空間のセンサデバイスにより得られた膨大なデータがサイバー空間に集約され、データ群を解析・処理した結果がロボットなどを通して人間にフィードバックされることで、これまでに無かった新しい価値が産業や社会にもたらされる新たな「社会」を目指している。また、Society 5.0の実現へ向け、様々なデータの「つながり」からの新たな製品やサービスなどのイノベーションが円滑に創出される産業社会、「Connected Industries」の形成も進められている。
ガイドラインは、「Connected Industries」の重点分野のひとつであるスマートライフ分野の核となるスマートホームに必要となるサイバーセキュリティ上の技術的な対策、および管理項目の明確化を目指すものである。
スマートホーム分野のガイドラインという観点では、対象は戸建住宅や共同住宅等 の住宅である。これら住宅では、企業のような専任の管理者がいない場合が一般的であり、IoT機器やシステムのセキュリティを考慮した管理・運用がなされていないことが多い。また、IoT機器の脆弱性、サービスで必要となる個人情報の漏洩、サービスによってはサイバー攻撃がドアの開錠や空調などの家電の不正操作といったフィジカル空間のセーフティまで影響を及ぼす可能性もある。さらに、社会全体で考えると、IoT機器が乗っ取られ踏み台として悪用されることも脅威となる。スマートホームでは、住宅の様々なIoT機器がサイバー攻撃の対象となるため、セキュリティ対策が必要な機器の数は膨大となる。さらに、スマートホームには様々なステークホルダーが関与し、多様な脅威に対しステークホルダーがそれぞれで対応する必要がある上、建物と併用されるIoT機器は、長期に渡って利用されることから、継続的なセキュリティ確保が必要となる。
ガイドラインは、市場が広がりつつあり、多岐にわたるサービスが予想されるスマートホーム分野において、IoT機器を通じた様々なサービスを受ける上で生じる、情報漏洩、サイバー攻撃、フィジカル空間への被害などに対するガイドを整備し、スマートホーム利用における住まい手の安心・安全の確保を目指す。
なお、ガイドラインでは、サイバーフィジカルシステムのひとつであるスマートホームについて、主にサイバーセキュリティを強化するために、関係するステークホルダーが実施すべき基本的なセキュリティ指針を示すことを目的とする。個人情報やプライバシーの保護、不正侵入などに対する物理セキュリティ、データ連携時のセキュリティ、システム間連携時のセキュリティ、地震などの緊急時に必要となるセキュリティ等については考慮していない。セーフティについては、サイバー攻撃によってIoT機器の動作に影響を及ぼすような一次的な影響については考慮した。それ以外の二次的な影響については今回のガイドラインでは考慮していない(断続的なサイバー攻撃によって動力源を消費させ結果的にセーフティに影響を与える等)。
2、ガイドラインの対象者
ガイドラインの対象者(ステークホルダー)は、つぎの通りである。
●(1)スマートホーム向けIoT機器の事業者
スマートホーム向けのIoT機器を開発・生産・販売する事業者である。例えばIoT家電や防犯カメラの製造元(ハードウェア開発業者・ソフトウェア開発業者) などがある。
●(2)スマートホーム向けのIoT機器を遠隔から管理する事業者
スマートホーム向けのIoT機器をインターネットなどの広域通信網を介して外部(遠隔)から管理する事業者である。例えば、IoT機器のリモート設定支援サービスの事業者などがある。
●(3)スマートホーム向けのサービス事業者
スマートホーム向けのサービスを開発・提供する事業者、およびサービスを提供するために連携する関連サービスの提供事業者である。例えば、テレビと連動した映像コンテンツ配信事業者や、その事業者が利用する事業者向けのクラウドサービスなどが挙げられる(サービスを行うサーバがクラウドで実現される場合にはクラウド上でデータを集約・分析する機能を提供するプラットフォーマーとそのデータに基づいてサービスを提供するサービサーが存在する)。
●(4)スマートホームを供給する事業者
IoT機器の開発・生産は行わないが、IoT機器やIoT化された住宅設備を供給・設置する事業者である。例えば、スマートホームを提供するハウスメーカーやマンションデベロッパー、施工業者などが挙げられる。
●(5)スマートホーム向けにメンテナンスやサポートを行う事業者
スマートホーム向けのサービスやIoT機器に関して、メンテナンスをはじめ、設置・設定・運用などを行う事業者である。これには、IoT機器やサービスの選定、IoT機器の交換・廃棄・解約などに関連する事業者を含む。例えば、IoT機器の駆け付け修理サービスなどを提供する事業者が挙げられる。
●(6)スマートホーム化された分譲共同住宅・団地の管理組合や管理受託会社
区分所有型の共同住宅や団地において、共用スペースに設置されたIoT機器や住棟内ネットワークを管理する者であり、IoT機器を利用したサービスを受ける者としても位置付けられる。例えば、区分所有者によって組織された管理組合や管理組合から管理業務を委託された管理受託会社が挙げられる。
●(7)スマートホーム化された賃貸住宅の所有者や管理受託会社
賃貸住宅の所有者(オーナー)や所有者から管理業務を委託された管理委託会社等である。例えば、賃貸型の共同住宅の共用スペースに設置された機器や共用スペースのネットワーク回線の管理者である。IoT機器を利用したサービスを受ける者としても位置付けられる。
なお、賃貸型の戸建住宅の宅内や共同住宅の住戸内について、未入居の状況の場合には、所有者や管理受託会社が、戸建住宅や住戸を主体的に管理する。一方で、スマートホームの住まい手となる賃借人が入居した時点で管理の主体は賃借人となる。
●(8)スマートホームの住まい手
スマートホームの居住者である(戸建住宅・共同住宅・持ち家・賃貸等の形態によらない)。主としてIoT機器を利用したサービスを受ける者である。
3、対象とするスマートホーム
ガイドラインの発行時点(2021年3月)で、国内外の文献調査を実施した範囲においては、スマートホームを明確に定義した国際規格は見つかっていない。現在、スマートホームの本格的な普及に向け各地で実証実験などが行われ、多くの事業者がスマートホームの具体化を進めている状況下においては、一意にスマートホームを定義することは極めて困難であると考えられる。
そこでガイドラインでは、スマートホームを「子育て世代、高齢者、単身者など、様々なライフスタイル/ニーズにあったサービスをIoTにより実現する新しい暮らし」を実現するものであるとして、IoTに対応した住宅設備・家電機器などが、サービスと連携することにより、住まい手や住まい手の関係者に便益が提供される住宅をガイドラインの対象であるスマートホームとして独自に定義して取り扱う。
スマートホームにより提供される機能は多種多様となることが予想され、多くの場合、複数の機器やシステムによってスマートホームが構成されるものと考えられる。ガイドラインが対象とするスマートホームは、直接的・間接的に通信ネットワーク(インターネットなど)に接続するIoT機器とサービスが連携するという基本的なIoTシステムの特徴を備えているものとする。
一般的に、住宅はひとつの敷地に一世帯が居住する「戸建(個人住宅・専用住宅とも言う)」と、複数世帯が居住する「共同住宅」の2つに分類されることから、そのネットワーク構成例や関連するステークホルダーについて、「戸建住宅の例」および「共同住宅の例」を示す。なお、ここでのサービスは、IoT機器を利用したスマートホーム向けのサービスのことである。
①戸建住宅の例
戸建住宅のネットワーク構成例を「図1、戸建住宅のネットワークの例」に示す。
住宅の設計・施工によって、住宅設備などのIoT機器が予め設置される場合と、入居後に住まい手がIoT機器やサービスを導入している場合のいずれかもしくはいずれも想定している。
なお、図1に示す宅内ネットワークは、複数のネットワークによる階層構造をとる場合もあるが、ガイドラインにおいてはスマートホームのモデルを単純化するため、図1のような表現としている。
住まい手が、IoT機器を介したサービスを受けている状態において、関連するステークホルダーを「表1、戸建住宅に関するステークホルダー」に示す。
②共同住宅の例
共同住宅のネットワーク構成例を「図2、共同住宅のネットワーク構成の例」に示す。
共同住宅の設計・施工によって、共用スペース、また住戸における住宅設備などのIoT機器が予め設置される場合も含め、入居後に住まい手がIoT機器やサービスを導入し、サービスを受けている状態を想定したものを示している。
住まい手がIoT機器を介し、また共同住宅の共用スペースのIoT機器を介して、サービスを受けている状態において、関連するステークホルダーを「表2、共同住宅でのスマートホームに関するステークホルダー」に示す。
4、ガイドライン作成の背景
①スマートホームが社会にもたらすもの
持続可能な社会を構築するために、生活者や住空間などの情報を取り扱うシステムと住まい手、住まいのモノ・サービス提供者を含む全ての参加者が効率よく連携し、互いに支え合いながら限られた資源を最大限活かし、社会の幸せ、住まい手の幸せを実現するひとつの形態であるスマートホームは、産業界においても新たな成長領域として大きく注目され、経済産業省がスマートホームの社会実装を見越したホームエネルギー管理システム(HEMS)の実証を行うなど、国内での市場形成・普及に向けて活動している状況にある。
スマートホームは、子育て世代、高齢者、単身者など、様々な住まい手のライフスタイル/ニーズにあったサービスをIoT技術で実現する。家電・AV機器・IT機器など、あらゆる機器がネットワークに接続され、それらの機器によって取得された住まい手の生活情報がクラウド上に集約・分析される。そして、クラウドサービスとつながる(連携する)ことで、住まい手に便利で快適な暮らしを提供する。さらには、高齢者世帯が増加していながら住宅や近隣住民・地域コミュニティによる互助・サポートが希薄化している社会状況にあって、公的・私的なサービスとしての支援(育児・見守りなど)が住まい手の健康管理やホームセキュリティの充実に繋がり、社会課題の解決・低減に大きく寄与すると考えられている。
スマートホームが、住まい手の生活情報と多様なサービスとをつなぐことで、住まいにおける新たな選択肢(社会サービス)が生まれ、社会課題の解決と住まい手の幸せの両方を実現することが期待されている。
②スマートホームを取り巻く環境や状況
近年、IoTが普及したことによって、一般消費者の生活は大きく変化している。従来の家電製品や住設機器は、通信機能を持たないか、または専用のネットワークによるクローズドな環境内での通信が利用されている場合が多かった。
しかし、現在ではインターネット等の汎用な規格によるオープンなネットワークへの接続機能を有する家電や住設機器等のIoT機器が急速に増加している。これにより、IoT機器と他の機器が相互に通信することで、様々な利便な機能が提供されている。例えば、スマートフォンやスマートスピーカーの音声アシスタント機能によって、住宅内のAV機器やスマート家電を操作できるようになった。また、住設機器についても汎用の通信プロトコルの利用や各種IoT機器とサーバとの橋渡しを行うIoTゲートウェイ装置によりインターネットなどオープンなネットワークからの制御が可能となった。
一方で、適切なセキュリティ対策がなされていないIoT機器へのサイバー攻撃の事例が増加しており、多数のIoT機器とサービスにより実現されるスマートホームに対するサイバーセキュリティ対策が急務となっている。
スマートホーム化により、従来よりもサイバー攻撃の対象となる住宅内の機器が拡大すると想定される。また、日本国内の世帯数はおよそ5330万世帯であり、攻撃対象の数も非常に膨大になると想定される。セキュリティレベルが一部でも低いところがあれば、攻撃が成功するため、大規模なサイバー攻撃の踏み台としてスマートホームが利用される懸念もある。
米国のある調査によれば、一部の製品やサービスは、セキュリティ上のリスクを認識しながらも利用せざるを得ない状況として生活に根付いているものもある。スマート家電等のIoT機器は生活を便利にする反面、サイバーセキュリティ上のリスクも多く含んでおり、その対策が必要不可欠な状況にある。
③サイバー攻撃の事例
IoT機器が急激に普及する現在、一般の住宅向けのIoT機器へのサイバー攻撃の事例や脆弱性も多数報告されており、スマートホームのセキュリティ対策に大きく関係すると考えられる。例えば無線LANやBluetoothの脆弱性や、Webインターフェースの脆弱性などが報告されている。これらは、IoT機器で標準的、広範囲に利用される通信技術に関する脆弱性であり、影響を受ける機器の種類と数量は極めて多いと想定される。
スマートホームで発生しうる脅威や脆弱性の具体的な事例を「攻撃の対象」という観点で3つに分類する。ガイドラインでは、主にこれらの「攻撃の対象」という観点に基づき脅威や脆弱性を抽出している。
●(1)通信基盤やサービス基盤の事例
スマートホームを構成する通信基盤やサービス基盤が不正にアクセスされ、システムの機能低下・停止や意図しない第三者攻撃への加担などにつながる事例
●(2)IoT機器の事例
スマートホームを構成するIoT機器などが不正にアクセスされ、主に住居自体への物理的な損害や住まい手の生命・財産の侵害などにつながる。
●(3)プライバシーに関わる情報の事例
IoT機器やサービスを通じて住まい手の個人情報である位置情報やカメラ映像が不正に取得され、プライバシーの侵害などにつながる。
5、サイバー・フィジカル・セキュリティ対策フレームワークとの関係
ガイドラインを検討したワーキンググループは、産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)の下で産業分野別に行われている検討のひとつとして位置付けられている。この産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)では、Society 5.0(サイバー空間とフィジカル空間を高度に融合させたシステムにより経済発展と社会的課題の解決を両立する人間中心の社会〈Society〉)における新たなサプライチェーンの信頼性の確保に向けた『サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)』を策定した。
CPSFでは、Society 5.0へ向けた産業・社会の変化に伴うサイバー攻撃の脅威の増大に対し、リスク源(サイバーリスクを生じさせる原因となりうる要素)を適切に捉え、検討すべきセキュリティ対策を漏れなく提示するために、3層構造アプローチを提示している。具体的には、「企業間のつながり」「フィジカル空間とサイバー空間のつながり」「サイバー空間におけるつながり」の3層ごとにインシデント・リスク源・対策要件を整理するとともに、セキュリティ対策要件ごとに対策例も提示している。
ガイドラインは、CPSFで導出されたリスク源や対策要件を最大限に踏襲し、まとめたものである。