IoT時代の情報セキュリティ

「内部統制評価基準 勝ち抜く会社の800のポイント」を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを８つの側面（カテゴリ）に分けて、質問を通じて具体的に仕組みに落とし込んでいきます。

カテゴリ６．情報セキュリティについて見ています。

IoTは「すべてのモノがインターネットへ繋がる」ということで、セキュリティ対策が必要な対象が拡大します。

６．（１０）IoT時代の情報セキュリティの理解
IoT時代の進展による情報セキュリティの多様化を理解し適切な対応をしていますか。

PCやサーバー、スマホなどの情報機器ばかりでなく、家庭ではスマートスピーカーやスマート家電、外に出れば、自動車や監視カメラ、医療機器、工場などにおける各種センサなど、様々な機器がインターネットに接続されており、それぞれにセキュリティ対策が必要になっています。

最近では、リモートワークに必要な会議システムで画面が乗っ取られる事象や、PCや外部のカメラのハッキングが話題になりました。

企業の事業活動に関連するIoT機器を特定し、そのセキュリティについて確認し、対策することが重要になってきています。

IoT本体とつなげるための機能についても、本来機能や情報の安全安心のために、守るべきものとして特定します。

それぞれのIoT製品が、どのようなセキュリティ対策機能を持っているのか、改めて確認し、それらの機能がきちんと活用され、第三者の攻撃に備えられているかも確認します。
例えば工場出荷時のパスワードのまま使用していたり、脆弱性を修復するためのファームウェアのアップデートなどを行いまま使用を継続したりしていないでしょうか。
こうしたことが、サイバー攻撃の標的になるといった事例も多く見られます。

・パスワードなどの認証の管理
・ファームウェアやソフトウェアの最新版へのアップデート
・IoT製品の稼働状況や通信状況の監視

などは重要です。

ルータは、インターネットとIoT機器を安全に繋ぐための重要な存在で、サイバー犯罪者の攻撃のまととなります。ファイアウォール機能を設定して保護します。

IoT 機器・システムの異常を検知する仕組み、連携した複数のIoT 機器・システムの監視の仕組みなども検討が必要です。

さらには、廃棄したIoT機器から情報漏えいする危険もあります。そうしたリスクを認識し、廃棄方法を手順として定めておくことが望まれます。

IoT機器は、随時広がりを見せており、その対応手順も適宜見直しを行っていくことが重要です。

★★

この項こは話すべきことが沢山あります。随時追加更新が必要です。

★★

内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。