はじめに

近年、 IoT 製品の数が急速に増加し、それと同時に IoT 製品を狙った攻撃も増加傾向にあり、 IoT 製品の脆弱性を狙ったサイバー脅威が高まってきています。 こうしたことを踏まえて、諸外国ではIoT製品のセキュリティ対策に関する制度検討が進んでいます。 すでに EU では、一定以上のセキュリティ機能が施されていないIoT製品は EU 圏内で販売を禁止する法律が発効され始め、セキュリティ対策が十分でない製品は市場からの退場を余儀なくされる状況が進んできており、 IoT 製品においてセキュリティ対策は急務の課題となっています。

日本においては、独立行政法人情報処理推進機構(以下、 IPA )が、インターネットとの通信が行える幅広い IoT 製品を対象に、共通的な物差しで製品に具備されているセキュリティ機能を評価・可視化することを目的として、 JC-STAR(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)制度を開始しました。 JC-STAR は将来的に諸外国のセキュリティ要件と相互認証の関係を持つと経済産業省及び IPA は発表しており、 IoT 製品にセキュリティが必須となるこれからの時代に向けて、 JC-STAR の取得がとても重要な第一歩となります。

一般的なIoT製品で JC-STAR が求める要件を満たすには、IoT製品が本来の働きとして具備する機能に加えて、セキュリティ機能を実装する必要があり、それだけ開発の工数が増加してしまいます。 そこで、各種セキュリティ機能も初めから実装している Armadillo Base OS(以下、ABOS)を搭載する Armadillo シリーズを用いて開発していただくことにより、セキュリティ機能の実装に工数をかけず、本来実現したいアプリケーションの機能の実装だけにご注力いただけます。

ABOS を搭載した Armadillo での開発における注意点として、標準状態の ABOS では開発を進めやすくするために、様々な機能やインターフェースが有効化されており、開発者が最終製品である IoT 機器を開発する中で不要な機能やインターフェースを無効化する必要があります。 本書では、 ABOS を搭載した Armadillo シリーズを用いた IoT 製品の開発を行う IoT ベンダーの方が JC-STAR★1 を取得する場合に、 ABOS が具備するセキュリティ機能を最大限に活かし、よりセキュアな IoT 製品を開発・量産・運用する方法をご紹介します。

また、JC-STAR★1では、製品自体に求められる基準以外にも、セキュリティ対策の社内体制の構築なども求められる要件があります。 本書ではそれらに対して、参考情報としてアットマークテクノではどのような体制を構築しているかも紹介します。

Armadillo を用いて開発された IoT 製品は、一般的に以下の図のようにエンドユーザー(IoT 製品の利用者)に提供されるパターンが多いです。

一連の流れの中で生じる各ソフトウェア・ハードウェアの開発やメンテナンス、脆弱性対応及びJC-STAR★1の取得のための検証は、アットマークテクノと製品ベンダーそれぞれの責任において行われます。