« EUがセキュリティ政策「CIIP」を推進 | トップページ | 金融庁が三菱UFJ証券に業務改善命令 »

2009年6月26日 (金)

「組込みシステムのセキュリティへの取組みガイド」公開

IPAのHPで「組込みシステムのセキュリティへの取組みガイド」が、公開されています。

最近、「組込みシステム」「制御システム」のセキュリティが重要視されていますね。
(数年後には「組込みシステム」などという用語は使われなくなっていくような気がしていますけど)

●概要
 近年、産業機器や家電製品等は、これらの機器を制御するために機器の内部に組み込まれたコンピュータシステム、「組込みシステム」によって、高機能化や、ネットワークへの接続がなされています。このため、これらの機器に利用される組込みシステムもパソコンと同様、不正な利用を試みる第三者の攻撃ターゲットになりつつあります。
 しかし、組込みシステムの開発現場では、市場競争の激化による開発期間の短縮化やリソースの不足、開発途中での要求仕様や制約条件の変更等のために、セキュリティへの対応が後回しにされやすい現状があります。開発の最前線にいるエンジニアをはじめとして、責任者や経営陣がセキュリティに対してどのように取り組んでいくべきかが課題となっています。
 そこでIPAでは、開発プロジェクトの開発者・開発責任者・意志決定者(経営層)を対象として、組込みシステム開発関係者のセキュリティ意識向上と、よりセキュアな組込みシステムの実装を行うことを狙いとした、「組込みシステムのセキュリティへの取組みガイド」をまとめました。
 
【組込みシステムのライフサイクルにおける課題、対策等】
 本ガイドでは、組込みシステムのライフサイクルを「企画」、「開発」、「運用」、「廃棄」の4つのフェーズに分けると共に、組織としてライフサイクルを確実に実施するための重要な要素を「マネジメント」フェーズとして、それぞれについて説明しています。組込みシステムは製造メーカーにより企画・開発され、小売業者を経てユーザの手に渡り実際に運用されたのち、リサイクル業者等によって廃棄されます。組込みシステムに対する脅威は、運用フェーズだけでなく、その他のフェーズにおいても存在するため、それらのセキュリティ課題はあわせて解決しなければなりません。
 また、ライフサイクルの各フェーズにおける脅威と対策について述べるだけでなく、経営層・現場の双方が組込みシステムに関わる脅威を正しく認識し、「何をすべきか」を具体化するため、各フェーズにおけるセキュリティへの取組みの方針と、詳細な取組み内容を提示しています。

 具体的な項目は、以下の通りです。
1.マネジメント:セキュリティルール,セキュリティ教育,セキュリティ情報の収集
2.企画:予算
3.開発:設計,開発プラットフォーム選定,ソフトウェア実装,
     開発の外部委託における取組み,セキュリティ評価テスト・デバッグ,
     ユーザーガイド,工場生産管理
4.運用:セキュリティ上の問題への対応,ユーザへの通知方法と対策方法,
     脆弱性情報の活用
5.廃棄:機器廃棄方法の周知

「組込みシステムのセキュリティへの取組みガイド」

|

« EUがセキュリティ政策「CIIP」を推進 | トップページ | 金融庁が三菱UFJ証券に業務改善命令 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/30266882

この記事へのトラックバック一覧です: 「組込みシステムのセキュリティへの取組みガイド」公開:

« EUがセキュリティ政策「CIIP」を推進 | トップページ | 金融庁が三菱UFJ証券に業務改善命令 »