[調査・レポート]

IoTの一番の心配事はサイバー攻撃の存在―NRIセキュアテクノロジーズ

2017年3月29日(水)杉田 悟(IT Leaders編集部)

IoTの課題はサイバー攻撃の増大―NRIセキュアテクノロジーズは2017年3月28日、「企業における情報セキュリティ実態調査2017」を発表した。調査は国内外(海外は米国とシンガポール)で行われ、国内はセキュリティ人材、高度なサイバー攻撃への対策、IoT(Internet of Things)のセキュリティの3項目について行われた。ここでは国内のうち、IoTのセキュリティにフォーカスして調査結果を見てみる。

IoTへの関心高く

 国内調査は2016年9月5日から10月14日にかけて、上場企業あるいは未上場で従業員数の多い3000社の情報システム・情報セキュリティ担当者を対象に行われ、671社が回答した。同調査は2002年から行っており、今回で連続15回目となる。

 最初の質問は「新技術の導入・検討状況はいかがですか」というもの。対象の新技術として上げられているのがIoT、人工知能、VR/AR、Fintech/ブロックチェーン、STIX/TAXIIの5項目。それ以外は「その他」にまとめられている。

 このうちSTIXは「Structures Threat Information eXpression」の略で、日本語では脅威情報構造化記述形式となる。TAXIIは「Trusted Automated eXchange of Indicator Information」の略で、日本語では検知指標情報交換手順。前者は脅威情報の記述形式の国際標準、後者はサイバー攻撃活動の情報を交換するための国際標準となっている。

 調査結果に目を移すと、「導入済み・利用している」「検討中・関心がある」というポジティブな意見がともに最も多かったのが、IoTだった。導入済み・利用しているが5.5%、検討中・関心があるが46.8%で、合計で唯一50%を超えた。そのほか、導入済み・利用しているの2位がVR/AR、検討中・関心があるの2位が人工知能だった(グラフ1)。

(グラフ1)Q. 新技術の導入・検討状況は(出所:NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査」)
拡大画像表示

 ポジティブな回答をした351社の、IoT活用の検討分野はFA機器などの産業機器が突出して多く50.4%だった。以降は家電製品(15.7%)、インテリジェントビル(15.4%)、自動車(14.0%)、電力(10.3%)、医療機器(9.4%)、交通システム(8.5%)の順で多かった(グラフ2)。

(グラフ2)Q. IoTの活用を検討している分野は(出所:NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2017」)
拡大画像表示

関心の高さから導入までに距離

 その351社における、IoT導入・検討の進捗状況を見ると、44.2%は関心があるだけで未だ検討に至っていなかった。IoTのビジネス活用を検討し始めた企業は26.8%、IoTサービスの企画・構想をすでに策定しているのが8.5%、専門部署を立ち上げたのが5.1%だった。さらにサービスの検証・トライアルフェーズに入っているのが6.0%、関連サービスの開発を開始しているのが4.0%、関連商材をリリース済みが2.8%、運用サイクルに入っているのが1.7%という結果になった(グラフ3)。

(グラフ3)Q. IoTに関する検討はどのフェーズにあるか(出所:NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2017」)
拡大画像表示

 そのIoTに係る課題を聞くと、41.9%がサイバー攻撃リスクの増大を挙げている。トップはIoTを活用したビジネスモデルの策定で59.8%だった。また、セキュリティルールの作成・更新等の負荷も5位で20.2%でだった(グラフ4)。

(グラフ4)Q. IoTに係る課題として認識されていることは(出所:NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2017」)
拡大画像表示

 IoT関連セキュリティで、参照しているガイドラインを聞き、これをIoTの進捗フェーズとクロス集計した結果、製品をリリースした企業の31.3%が自社内の独自ガイドラインを作成していた。トライアルの段階では、情報セキュリティの国際標準であるISO27001、2が31.4%で最も多く、先行している企業ほど独自のガイドラインを利用する傾向が強いことがわかった(グラフ5)。

(グラフ5)Q. IoTに係るセキュリティについて、参照しているセキュリティガイドラインはありますか(出所:NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2017」)
拡大画像表示

 NRIセキュアでは、情報セキュリティ部門がビジネス部門と連携して、自社のIoTビジネスの特性に合った自社独自のガイドラインの作成が必要だとしている。自社ガイドラインは、自社のIoTシステム構成に合わせて、例えばデバイス設計やネットワーク、IoTクラウドなど各所用に定められたガイドラインを組み合わせて作成すべきとしている。

関連記事

IoTの一番の心配事はサイバー攻撃の存在―NRIセキュアテクノロジーズIoTの課題はサイバー攻撃の増大―NRIセキュアテクノロジーズは2017年3月28日、「企業における情報セキュリティ実態調査2017」を発表した。調査は国内外(海外は米国とシンガポール)で行われ、国内はセキュリティ人材、高度なサイバー攻撃への対策、IoT(Internet of Things)のセキュリティの3項目について行われた。ここでは国内のうち、IoTのセキュリティにフォーカスして調査結果を見てみる。

PAGE TOP