デロイト トーマツ リスクサービスは2月6日、製造業を対象に、インターネットに接続する各種機器の設計段階からセキュリティ機能の組み込みを支援する「Security by Design for IoTサービス」、適切なプライバシー対応のための「Privacy by Design for IoTサービス」の提供を開始すると発表した。

「Security by Design for IoTサービス 」では、一般的な要件定義だけでなく、セキュリティの機能が技術的に実装可能で、かつ適切な価格・コスト・期間で開発・製造できるよう、実際の製品への実装を視野に入れた支援を行う。

  • IoT製品の開発プロセスにおける「Security by Design for IoT」の位置づけ

デロイト トーマツ リスクサービス シニアマネジャー 松尾正克氏

シニアマネジャーの松尾正克氏は、「IoT機器は安全性、可用性、信頼性といった品質とともに、コストが適切であることが求められる。セキュリティが高くても、価格が高くなると消費者は買わないし、売れない。さらに、セキュリティについて、説明責任が求められる」と、IoT機器の特徴を説明した。

加えて、「Security by Designという考え方は広く知られるようになってきたが、具体的な手法は示されていないので、企業はどうすべきかわからなくて困っている。そこをわれわれは支援したい」と、松尾氏は述べた。

松尾氏は、IoTのセキュリティにおける課題として、網羅性と妥当性を保証する説明責任を挙げた。網羅性は、セキュリティを確保するうえで検討すべき項目と対策をどの程度カバーしているかを示すものであり、また、妥当性はセキュリティ対策の深さを示す。同サービスは、対象のIoT機器にとって、価格にムダがない状況で、十分なセキュリティ対策の策定を目指す。

  • IoT製品のSecurity by Designにおける課題

松尾氏は、同サービスの特徴として、検討プロセスで複雑性を解消する点を挙げた。具体的には、責任分界点で保護の対象を絞り、物理的な安全性(リライアビリティセーフティ)を分離する。加えて、説明責任、特許、輸出規制を満たす最低コストの技術を選定し、その利用を考える。そのうえで、残った課題を検討する。

  • 検討プロセスにおける複雑性の解消

そして、検討プロセスの結果、残った課題については、信頼性の基点(トラストアンカー)とトラストチェーン(信頼の根拠)を可視化する必要がある。

  • 検討プロセスで残った課題の検討

松尾氏は「Security by Designに関するサービスを提供しているベンダーもあるが、他社はITベースの話をしている。その場合、実際に作業を進めていくと、コストがかさんで、網羅性がなくなる」と、同サービスのアドバンテージを説明した。

デロイト トーマツ リスクサービス サイバーリスクサービス パートナー 北野晴人氏

「Privacy by Design for IoTサービス」については、サイバーリスクサービス パートナーの北野晴人氏が説明した。「Privacy by Design」は、1990年第にカナダの情報・プライバシー・コミッショナーであるアン・カブキアン博士が提唱した概念。「技術」「ビジネス・プラクティス」「物理設計」の設計段階から、プライバシー保護の仕組みを検討し、組み込んでいくことと言われている。

同サービスは、企業・組織のビジネス戦略や体制、IT基盤などを踏まえ、国内外の規制対応に加え、プライバシーに関わるリスク評価や、プライバシー保護のためのガバナンス態勢の構築、IoTを利用したサービスを行う場合の説明責任の果たし方などについて支援する。

具体的には、実施しようとするサービスが個人のプライバシーにどの程度影響を与えるかを評価するプライバシー影響評価(Privacy Impact Assessment:PIA)による事前の評価、これらを事業リスクと結びつけた上で経営判断するための指標作り、継続的に実行するためのガバナンス構築などを含んでいる。

北野氏は、「個人データを活用するサービスでは、プライバシーのリスクが生まれる。Privacy by Designという概念は知られてきているが、具体的に取り組むべき内容が示されておらず、企業を悩ましている。それに応えるのが、Privacy by Design for IoTサービス」と説明した。

  • Privacy by Designのロードマップの作成例