情報処理推進機構(IPA)はこのほど、自動車や家電などのIoT製品のセーフティ設計・セキュリティ設計に関する実態調査を実施し、結果を公開した。

調査では、自動車、スマートフォン、ヘルスケア、スマート家電の4分野において、「セーフティ設計」と「セキュリティ設計」の取り組み、「設計品質の見える化」の取り組み状況を調べたもの。関連するメーカーなど320社に郵送・メールによるアンケート調査を実施し、68件(有効回収率21.3%)の回答を得られた。

これによると、セーフティ設計・セキュリティ設計の実施状況は、セーフティ設計の場合が、自動車分野が86.4%と最も多く、最も少ないところでもスマート家電分野の71.4%の企業が実施。セキュリティ設計の場合は、自動車分野では87.5%の企業が、自動車分野以外の3分野すべての企業がセキュリティ設計を実施していることがわかった。

設計の実施状況 資料:情報処理推進機構

製品開発におけるセーフティ設計・セキュリティ設計の必要性について確認したところ、回答企業すべてにおいて「どちらか必要」または「両方とも必要」という回答を得られた。

製品開発における安全性やセキュリティの方針を示す「設計に関する基本方針」の有無は、セーフティ設計の場合が64.9%、セキュリティ設計の場合が54.4%の企業で「明文化されたものはない」ということがわかった。

「設計に関する基本方針」の有無 資料:情報処理推進機構

製品開発において、遵守対象の法令や設計手法の選択などの具体的な基準となる「設計ルール」の有無は、セーフティ設計・セキュリティ設計いずれも約半数の企業が「明文化されたものはない」と回答した。さらに、設計ルールを有していない企業の半数以上が「リーダーなどの判断に任されている」と回答した。

セーフティ設計・セキュリティ設計を行ううえで必要となるそれぞれの要件が発注者側から提示されているかどうかは、約3割が「提示されていない」という結果となった。

セーフティ設計・セキュリティ設計の判断への経営者層の関与は、「経営層が関与」と回答した企業がセーフティ設計は26.4%、セキュリティ設計は29.8%にとどまった。

設計上の判断を誰が行っているか 資料:情報処理推進機構

IPAは、製品開発において、企業全体の基本方針や設計ルールに基づき、想定される安全性のリスクやセキュリティ上の脅威を分析したうえで、コストを踏まえた判断が必要となるが、経営層はあまり関与しておらず、開発現場の判断に依存している傾向があるとまとめている。