Embed Size (px)
Citation preview
1
IoT 製品・サービス開発者における
セキュリティ対策の現状と意識に関する報告書
2018年 3月
2
目 次
1. 調査概要 .............................................................. 3 1.1. 調査目的 .......................................................... 3 1.2. 調査方針 .......................................................... 3
2. 問題事例調査 .......................................................... 4 2.1. 調査方針 .......................................................... 4 2.2. 調査結果 .......................................................... 4 2.3. まとめ ............................................................ 8
3. アンケート調査 ........................................................ 9 3.1. 調査方針 .......................................................... 9 3.2. 調査結果 ......................................................... 11 3.4. まとめ ........................................................... 61
4. ヒアリング調査 ....................................................... 64 4.1. 調査方針 ......................................................... 64 4.2. 調査結果 ......................................................... 64 4.3. まとめ ........................................................... 69
5. 参考 1.IoT製品・サービスに関する脆弱性対策の実態調査 調査票 .......... i 6. 参考 2.アンケート回答企業の属性情報 ................................. xiii
用語説明
用語 説明
販売段階、販売後 製品やサービスの販売後、市場に流通している状態。
サポート期間中 製品やサービスの販売後で、サポートが提供されている期間。
サポート終了後 製品やサービスの販売後で、サポートの提供が終了した状態。
開発・販売フェーズごとの用語の位置づけ
企画・設計
開発段階
製造 検査
販売段階/販売後
サポート期間中
サポート終了後
▲パッチリリース▲パッチリリース
開発
3
1. 調査概要
1.1. 調査目的
社会や生活の多様な領域にセンサ・ネットワークを組み込んだ IoT の本格的
な普及が見込まれる。IoT製品は、その適用領域によっては、様々な法的規制や
安全基準、ガイドライン等が整備されており、脆弱性が発見された場合も既存の
仕組みの中で検討すればよい場合もあることが想像できる。昨年度の調査では、
法務専門家が主導する形で、IoT製品の脆弱性を巡る法制度や規則、基準、ガイ
ドライン等について整理を行ったところである。
今年度は、IoT 製品開発者における脆弱性対策の現状認識と課題等を明らか
にするための調査を行い、その結果を踏まえ「IoT製品・サービス脆弱性対応ガ
イド」の作成を行った。
1.2. 調査方針
本年度の調査方針を図 1.1に示す。
本年度は、IoT製品の脆弱性に起因する問題事例に関する調査、IoT製品開発
者を対象とした郵送でのアンケート調査及びヒアリング調査を実施した。
調査結果をもとに、本報告書をとりまとめ、調査結果を「脆弱性対策の促進資
料」(以下、「IoT製品・サービス脆弱性対応ガイド」という)に反映した。
図 1.1 調査方針
①IoT製品の脆弱性に起因する問題事例に関する調査
②アンケート調査
• 文献調査(5件以上) • IoT 製品開発者(企業)を対象とし、100件以上の有効回答を得る
④脆弱性対策の促進資料の作成
• IoT 製品開発者における脆弱性対策の促進に資する内容や、 IoT 製品の脆弱性がパートナーシップへ届けられた際の対応内容を盛り込
んだ促進資料を作成
③ヒアリング調査
• IoT 製品開発者について合計8件以上のヒアリングを行う。ヒアリング対象には、IoT 関連の業界団体 1 件、開発分野が異なるIoT開発ベンダー7
社を含む
4
2. 問題事例調査
2.1. 調査方針
IoT製品・サービス脆弱性対応ガイドに含めるために、IoT製品の脆弱性に起
因する問題や製品回収事例について調査を行った。
表 2-1 問題事例調査概要
調査対象 ・国内外の IoT製品 5件
調査項目 ・IoT 製品の名称と概要
・脆弱性の概要
・問題・製品回収事例とその後のフォロー状況についての時系列整
理
・メディア等での報道状況
・企業経営に与えた影響
2.2. 調査結果
2.2.1. ポケットルーター
(1) 脆弱性の概要
ポケットルーター機能を利用中に、遠隔の第三者によって当該機器上で任意
のコマンドを実行される可能性や、挿入された SDカード等へ不正にアクセスさ
れる可能性がある。
(2) 製品概要
スマートフォンやタブレット、コンピューターに保存されている写真・動画を、
Wi-Fi経由で SDカードや USBメモリーに保存・再生できる Wi-Fiストレージ
(3) 問題とその後のフォロー
2016年 10月末 店頭在庫を回収
2016年 11月 2日 HPで脆弱性を発表
2016年 11月 15 日 ファームウェアのアップデートのリリース
2016年 11月 22 日 対策済の製品の出荷再開
5
(4) メディア等での報道
テレビ、新聞、ニュースサイトでの報道多数。
(5) 企業経営に与えた影響
店頭在庫の回収を実施。
2.2.2. 車
(1) 脆弱性の概要
インターネット接続サービスから車のコンピューターに侵入することで、第
三者が外部からエンジンを切ったり、ワイパーを動かしたりするなどの遠隔操
作が可能となる。
(2) 製品概要
スマートフォンを利用し車とネットワーク接続することにより、遠隔操作で
のエンジン始動や、GPSで車両の位置を把握、盗難を防止できる。
(3) 問題とその後のフォロー
2014年 1月 第三者のハッキングテストで脆弱性が発覚
2015年 7月 15日 NHTSAに連絡
2015年 7月 16日 ソフトウエアのアップデート実施(※)
2015年 7月 23日 社内の Vehicle Regulations Committeeに問題を報告
2015年 7月 24日 HPでリコールを発表(約 140万台)
※アップデート方法は、提供された USB を使って顧客自身でアップデートす
るか、直接ディーラーに車を持って行き無料アップデートしてもらうというも
の。
(4) メディア等での報道
テレビ、新聞、ニュースサイトでの報道多数。
ハッキングされた動画が公開。
(5) 企業経営に与えた影響
開発企業において、2015年第 3四半期(7~9月)の最終損益は、2億 9900万
ユーロ(約 394億円)の赤字。
6
2.2.3. モバイルストレージ
(1) 脆弱性の概要
ルーター機能の無いモデムに接続して使う際にサイバー攻撃に悪用される可
能性がある。
(2) 製品概要
本製品に接続した USB メモリーや外付け HDD などの外部メディアを、ワイヤ
レスでスマートフォンやコンピューターなどの外部のストレージとして使用で
きる。
(3) 問題とその後のフォロー
~2016年 12月 20日 出荷停止(製品回収はせず。出荷台数は約 5000台)
2016年 12月 21 日 HP で脆弱性を発表
2016年 12月 26 日 ファームウェアのアップデートのリリース
2017年 9 月現在 出荷再開
(4) メディア等での報道
ニュースサイトでの報道多数。
(5) 企業経営に与えた影響
製品回収は実施しなかったが、出荷停止に追い込まれた。
2.2.4. ブロードバンドルーター
(1) 脆弱性の概要
インターネット接続に必要な IDやパスワードが外部から不正に取得される可
能性がある。
(2) 製品概要
無線または有線 LAN でインターネット接続可能になる無線ルーター。ルータ
ー機能を解除してアクセスポイントに切り替えることも可能。
7
(3) 問題とその後のフォロー
2012年 5月 16日 HP で脆弱性を発表
2012年 5月 24日 ファームウェアのアップデートのリリース
2013年 8 月 当該製品の販売終了(製品回収はせず)
2013年 8月 20日 HP でファームウェアの更新を再度呼びかけ
2015年 6 月頃 警視庁で攻撃を確認
2015年 6月 2日 社告掲載
(4) メディア等での報道
警視庁がファームウェアの更新を呼びかけ。
大手新聞 5社で社告掲載。
テレビ、新聞、ニュースサイトでの報道多数。
(5) 企業経営に与えた影響
不明。
2.2.5. 心臓ペースメーカー
(1) 脆弱性の概要
市販の機器を使用することで患者のペースメーカーに不正アクセス、プログ
ラムを改ざんできる可能性がある。これにより、バッテリーを急激に消耗させら
れる場合や、不適切なペース配分を設定される可能性がある。
(2) 製品概要
徐脈や心不全の患者の胸部に埋め込まれ、電気パルスで心臓を刺激し正常な
速度で鼓動させる小型装置。
(3) 問題とその後のフォロー
2017年 8月 23日 ファームウェアのアップデートをアメリカ FDAが承認
(全部で 465000台が対象)
2017年 8月 29日 HP で脆弱性及びリコールを発表
2017年 8月 29日 ファームウェアのアップデートのリリース
(4) メディア等での報道
テレビ、新聞、ニュースサイトでの報道多数。
8
(5) 企業経営に与えた影響
不明。
2.2.6. その他
(1) カメラの覗き見サイトの公開
ロシアのウェブサイトにより覗き見できる監視カメラが世界中に多数存在し
ていることが露呈された。映像を閲覧できる件数は、米国の監視カメラは 5,000
件以上、日本の監視カメラは 1,800件以上(2017年 11月時点)であった。
(2) 通信の傍受・改ざんの動画公開
セキュリティ専門家は、無線 LANのセキュリティ規格である WPA2の脆弱性を
利用し、通信を傍受・改ざんする実演内容をインターネットで公開した。関連す
る製品の開発企業はパッチを作成し、リリースしている。
(3) 大規模 DDoS の発生
2016年 10月、不正プログラム「Mirai」に感染した 10万台を越える IoT製品
によって、以下の ITサービスを中心に DDoS攻撃を受け、世界的に ITサービス
が停止した。
・フランスホスティング事業者「OVH」
・セキュリティブログ「KrebsOnSecurity」
・DNSサービスプロバイダ「Dyn」
「Mirai」の亜種は多数存在しており、例えば、2017 年 11 月にも、南米、北
アフリカをはじめ、各国にあるネットワークカメラ、デジタルビデオレコーダー
等の IoT製品を踏み台にし、約 380 万回以上の DDoS攻撃を実行した。
2.3. まとめ
脆弱性対策が不十分な IoT製品・サービスは、利用者に対する影響、具体的に
は情報流出・改ざん、IoT製品の不正操作・障害、それに伴う生命・身体への影
響等を引き起こす。
利用者に影響が出た場合、当該製品・サービスを提供している企業においては、
製品回収、レピュテーションの低下等、経営への影響が発生する。
脆弱性対策が不十分な IoT 製品が DDoS 攻撃の踏み台となり、IoT 製品利用者
が他者への攻撃に加担させられる可能性がある。それにより、インターネットの
障害等、社会的な混乱も引き起こされる。
9
3. アンケート調査
3.1. 調査方針
IoT 製品開発者における脆弱性対策の現状認識と課題等を明らかにするため、
IoT製品開発者・IoTサービス開発者を対象に郵送方式でアンケート調査を実施
した。アンケートの調査対象には IoT 推進コンソーシアムの法人会員のうち、
下記のアンケート送付対象に合致する 1,500法人を絞り込んだ。そのうち 120社
には 3部送付し、1,740通の調査票を配布した。有効回答は 205件を得た。
表 3-1 アンケート調査概要
調査対象 ■国内に拠点を置く IoT製品開発者(企業)
・IoT製品開発者(例:コンシューマー向け IoT機器、産業用 IoT機器、ネッ
トワーク機器、関連部品)
・IoTサービス開発者(例:IoT関連サービス)
<アンケート送付対象>
- IoT 推進コンソーシアムの法人会員 3,243 法人のうち、以下の条件に該
当する組織を除外した、1500法人
社団・財団・独立行政法人・特定非営利活動法人・協会・大学・弁護士
事務所・会計事務所等
コンサル、監査法人、広告代理店、放送、旅行代理店に該当する企業
但し、「JEITAに所属する企業」または「JAPAN IT Weekの IoT/M2M展【2017
秋】に出展する企業」は複数分野の IoT製品を製造していると想定された
ため、120社には、3部の調査票を送付。
<回答部門>
- IoT製品・サービスのセキュリティ確保に責任を持つ部門(第一優先)
- IoT製品・サービスのアフターサービスに責任を持つ部門(第二優先)
有効回答数 205件 (なお、同一企業内で複数の IoT製品・サービスを開発している場合、
1製品・サービスを 1件とする)
調査項目数 42項目
調査項目 • IoT製品・サービスにおけるセキュリティ対策の状況
• IoT製品・サービスにおけるセキュリティの事件・事故
• IoT製品・サービスにおける脆弱性対策(自動パッチ等の仕組みや回避
策)の手段
• IoT製品・サービスにおける脆弱性対策を妨げる要因や問題点
10
• IoT 製品・サービスにおける脆弱性対策が不可能な場合についてどう考
えているか 等
調査手法 郵送調査
調査期間 2017年 11月~12月
発送数 発送数:1,740件
アンケート調査を実施するにあたり、アンケート調査仮説を設定した。
表 3-2 アンケート調査仮説
仮説 1 製品開発時のセキュリティ基準が設けられていない場合があるの
ではないか。
仮説 2 開発の各段階においてセキュリティの専門家があまり関与してい
ないのではないか。
仮説 3 開発の各段階においてセキュリティを考慮していないのではない
か。
仮説 4 検査時において脆弱性検査が行われていない場合があるのではな
いか。
仮説 5 販売後の製品に脆弱性が存在するか、情報収集する手段がない等
の理由で、製品開発者は脆弱性の存在を認識できていないのでは
ないか。
仮説 6 脆弱性対策が不可能な場合があるのではないか。
仮説 7 製品開発者によってリリースされた脆弱性対策が、顧客側で導入
されていない場合があるのではないか。
仮説 8 EOS/EOL となった IoT 製品の脆弱性は、製品開発者によって修正
されず、放置されていることが多いのではないか。
仮説 9 脆弱性が発見された製品を開発した企業には、金銭的な損害に加
え、企業の信用やブランド価値が低下するなどの損害が発生し、
企業経営に影響が出るのではないか
11
3.2. 調査結果 1
3.2.1. 調査仮説に対応するアンケート結果
(1) 仮説1
仮説 1では、「製品開発時のセキュリティ基準が設けられていない場合がある
のではないか」と設定した。
その結果、製品開発時のセキュリティ開発に関する全社統一の社内方針があ
る製品・サービスは 35.6% で、各開発段階における具体的な手順・技術詳細の
社内規則・基準のある製品・サービスは 3割未満に留まり、未整備な製品・サー
ビスが多い。
図 3.1 開発段階のセキュリティ方針・基準の有無
1 本資料中のアンケート調査結果については、グラフ化する際に数値を四捨五入している
ため、構成比の合計が必ずしも 100%とはならない場合がある。
35.6
27.3
23.9
24.9
30.2
33.2
36.1
33.2
28.8
30.2
27.8
30.2
1.5
3.9
6.8
6.3
3.9
5.4
5.4
5.4
0% 20% 40% 60% 80% 100%
開発全体
企画・設計
製造
検査
ある ない 検討中 わからない 無回答n=205
全社統一の社内方針
具体的な手順・技術詳細の社内規則・基準
12
製品・サービス別で見ると、産業用 IoT機器については、開発段階全体におけ
るセキュリティ開発に関する全社統一の社内方針のある割合が 3割未満と低い。
図 3.2 開発全体のセキュリティ方針・基準 <製品・サービス別>
62.5
48.9
40.0
24.1
0.0
44.2
25.0
21.3
40.0
32.5
62.5
27.9
12.5
27.7
13.3
38.6
37.5
18.6
0.0
2.1
0.0
1.2
0.0
2.3
0.0
0.0
6.7
3.6
0.0
7.0
0% 20% 40% 60% 80% 100%
ネットワーク機器(N=8)
IoT関連サービス(N=47)
関連部品(N=15)
産業用IoT機器(N=83)
コンシューマー向けIoT機器(N=8)
その他(N=43)
ある ない 検討中 わからない 無回答
13
製品・サービスの提供形態別に具体的な手順・技術詳細の整備状況をみると、
全体的に整備されていないが、特に製品のみの提供の場合、製造段階・検査段階
の整備状況が低い。
<企画・設計段階>
<製造段階>
<検査段階>
図 3.3 開発段階別のセキュリティ方針・基準(具体的な手順・技術詳細)
<提供形態別>
26.3
30.0
27.8
28.6
45.6
33.3
25.9
42.9
17.5
26.7
39.8
14.3
7.0
3.3
1.9
14.3
3.5
6.7
4.6
0.0
0% 20% 40% 60% 80% 100%
製品のみの提供(N=57)
サービスのみの提供(N=30)
製品とサービスの一括提供(N=108)
その他(N=7)ある ない 検討中 わからない 無回答
14.0
33.3
26.9
28.6
54.4
30.0
28.7
28.6
15.8
26.7
35.2
28.6
12.3
3.3
4.6
14.3
3.5
6.7
4.6
0.0
0% 20% 40% 60% 80% 100%
製品のみの提供(N=57)
サービスのみの提供(N=30)
製品とサービスの一括提供(N=108)
その他(N=7)
ある ない 検討中 わからない 無回答
15.8
33.3
26.9
42.9
50.9
26.7
25.9
28.6
17.5
30.0
38.0
28.6
12.3
3.3
4.6
0.0
3.5
6.7
4.6
0.0
0% 20% 40% 60% 80% 100%
製品のみの提供(N=57)
サービスのみの提供(N=30)
製品とサービスの一括提供(N=108)
その他(N=7)ある ない 検討中 わからない 無回答
14
(2) 仮説 2
仮説 2では、「開発の各段階においてセキュリティの専門家があまり関与して
いないのではないか」と設定した。
その結果、開発の各段階におけるセキュリティ担当の社員・部門の関与は、企
画・設計段階では約 5割、製造段階では 3.5割、検査段階では約 4割であり、開
発の各段階における関与は限定的である。
図 3.4 開発段階別のセキュリティ担当部門の関与
また、販売単価が高い製品・サービスの割には、セキュリティ対策のための体
制(人員の配置等)にコストをかけられないことを課題としている。
図 3.5課題として「セキュリティ対策のための体制(人員の配置等)に費用をかけられな
い」を選択した割合<価格帯別>
53.2
35.1
40.0
34.6
44.9
41.0
7.8
14.1
13.2
4.4
5.9
5.9
0% 20% 40% 60% 80% 100%
企画・設計
製造
検査
関与している 関与していない わからない 無回答n=205
37.1
42.0
46.3
32.4
0% 20% 40% 60%
1円~10万円未満(N=62)
10万円~100万円未満(N=50)
100万円~(N=54)
わからない(N=34)
15
(3) 仮説 3,4
仮説 3,4では、「開発の各段階においてセキュリティを考慮していないのでは
ないか。また、検査時において脆弱性検査が行われていない場合があるのではな
いか」と設定した。
その結果、開発段階(企画・設計・製造・検査)において脆弱性対策を考慮し
ている製品・サービスは約 7 割だったが、更新機能の実装等の脆弱性対策を行
う企業は約 6 割にとどまり、特に、セキュアプログラミング技術の適用やコー
ディング規約の利用等の製品開発段階における脆弱性対策を行っている製品・
サービスは、脆弱性対策を考慮している製品・サービスのうち約 4割と少ない。
図 3.6 開発段階の脆弱性対策の考慮
図 3.7開発段階の脆弱性対策状況
68.3
15.1
12.7
3.9
n=205
考慮している
考慮していない
わからない
無回答
41.4
36.4
57.9
57.1
57.9
7.1
0.0
0% 20% 40% 60% 80%
セキュアプログラミング技術を適用する
コーディング規約を利用する
外部のソフトウェア部品(オープンソース等のフリーウェアを含
む)を利用する場合、既知の脆弱性が存在しないか確認する
製品出荷前に各種のテスト(既知の脆弱性検査、ソースコード
検査、ファジングによる未知の脆弱性検出)を実施する
ソフトウェア(ファームウェア)の更新機能を実装する
その他
無回答n=140
16
脆弱性を考慮している製品・サービスについて、製品・サービス別に IoT製品
の開発段階における脆弱性対策の考慮状況を見ると、ネットワーク機器で「考慮
している」の割合が 100%である。コンシューマー向け IoT機器では「考慮して
いる」の割合が 4割弱で、脆弱性対策の考慮が進んでいない。
図 3.8開発段階の脆弱性対策の考慮<製品・サービス別>
製品・サービスの提供形態別に IoT 製品の開発段階における脆弱性対策の考
慮状況を見ると、製品とサービスの一括提供では「考慮している」の割合が高い。
図 3.9開発段階の脆弱性対策の考慮<提供形態別>
37.5
68.7
100.0
53.3
76.6
65.1
37.5
15.7
0.0
20.0
10.6
16.3
25.0
12.0
0.0
20.0
12.8
11.6
0.0
3.6
0.0
6.7
0.0
7.0
0% 20% 40% 60% 80% 100%
コンシューマー向けIoT機器(N=8)
産業用IoT機器(N=83)
ネットワーク機器(N=8)
関連部品(N=15)
IoT関連サービス(N=47)
その他(N=43)
考慮している 考慮していない わからない 無回答
59.6
60.0
75.0
71.4
24.6
16.7
10.2
14.3
10.5
16.7
13.0
14.3
5.3
6.7
1.9
0.0
0% 20% 40% 60% 80% 100%
製品のみの提供(N=57)
サービスのみの提供(N=30)
製品とサービスの一括提供(N=108)
その他(N=7)
考慮している 考慮していない わからない 無回答
17
製品・サービスの価格帯別に IoT 製品の開発段階における脆弱性対策の考慮
状況をみると、どの価格帯でも「考慮している」のは約 7割であり、製品・サー
ビス価格による違いは見られない。
図 3.10開発段階の脆弱性対策の考慮<価格帯別>
71.0
68.0
68.5
64.7
17.7
16.0
16.7
8.8
9.7
12.0
13.0
20.6
1.6
4.0
1.9
5.9
0% 20% 40% 60% 80% 100%
1円~10万円未満(N=62)
10万円~100万円未満(N=50)
100万円~(N=54)
わからない(N=34)
考慮している 考慮していない わからない 無回答
18
(4) 仮説 5
仮説 5では、「販売後の製品に脆弱性が存在するか、情報収集する手段がない
等の理由で、製品開発者は脆弱性の存在を認識できていないのではないか」と設
定した。
まず、IoT製品販売段階(サポート期間中)における脆弱性対応についての社
内方針がある企業は約 3割であり、販売段階(サポート期間中)のセキュリティ
に関するルールが未整備な製品・サービスが多い。
図 3.11サポート期間中の全社の脆弱性対応方針
販売段階(サポート期間中)の全社の脆弱性対応方針がある場合、7割近くが
全社部門(システム部、品質管理部)で所管されている。
図 3.12サポート期間中の脆弱性対応方針の所管部署
32.2
31.2
23.4
6.86.3
n=205
ある
ない
検討中
わからない
無回答
68.2
21.2
6.1
1.5 1.5 1.5
n=66
全社部門(情報システム部・品質管理部門
等)
IoT製品・サービスの開発(企画・設計・製
造・検査)部門
IoT製品・サービスのアフターサービス部門
わからない
その他
無回答
19
販売段階(サポート期間中)に脆弱性が発見されたことがあると回答した製
品・サービスは 3割弱である。
図 3.13 販売段階の脆弱性発見経験
販売段階(サポート期間中)における脆弱性の発見経験は、ネットワーク機器
で「ある」が 6割強と高く、他の製品・サービスでは「ある」の割合は 2割~3
割程度である。
図 3.14 販売段階の脆弱性発見経験<製品・サービス別>
26.3
53.7
15.6
4.4
n=205
ある
ない
わからない
無回答
25.0
19.3
62.5
26.7
31.9
27.9
50.0
56.6
25.0
46.7
55.3
55.8
12.5
19.3
0.0
26.7
10.6
14.0
12.5
4.8
12.5
0.0
2.1
2.3
0% 20% 40% 60% 80% 100%
コンシューマー向けIoT機器(N=8)
産業用IoT機器(N=83)
ネットワーク機器(N=8)
関連部品(N=15)
IoT関連サービス(N=47)
その他(N=43)ある ない わからない 無回答
20
脆弱性が発見されたことがある場合、製品販売段階に脆弱性が発見された経
路は、「IPA・JPCERT/CCからの連絡」が 44.4%である。
一方、自社の脆弱性検査で把握できたのは 38.9%であり、SOC等による異常の
検知と合わせ、自主的に脆弱性把握ができたケースは 42.6%であった。
図 3.15販売段階の脆弱性発見経路
38.9
29.6
18.5
44.4
1.9
3.7
1.9
14.8
0.0
0% 20% 40% 60%
社内の脆弱性検査
顧客からの指摘
セキュリティ企業からの指摘
IPA・JPCERT/CCからの連絡
バグバウンティ制度を通じた指摘
SOC等による異常の検知
わからない
その他
無回答n=54
21
(5) 仮説 6
仮説 6では、「何らかの理由で脆弱性対策が不可能な場合があるのではないか」
と設定した。
その結果、IoT製品の脆弱性対策が不可能な場合があると回答した製品・サー
ビスは 1割強で、その理由としては、「IoT 製品・サービスの機能が必要最低限で
あり、パッチ適用が困難なため」が 4割強で最も多い。
図 3.16脆弱性対策が不可能な場合
図 3.17 脆弱性対策が不可能な理由
13.7
27.3
53.7
5.4
n=205
ある
ない
わからない
無回答
42.9
25.0
14.3
21.4
14.3
10.7
0% 20% 40% 60%
IoT製品・サービスの機能が必要最低限であり、パッチ
適用が困難なため
連続稼動が前提であり、パッチ適用が困難なため
脆弱性対策のための費用が発生するため
脆弱性対策を検討する人員が不足しているため
その他
無回答n=28
22
(6) 仮説 7
仮説 7では、「製品開発者によってリリースされた脆弱性対策が、顧客側で導
入されていない場合があるのではないか」と設定した。
その結果、IoT製品・サービスに脆弱性が発見されたことのある製品・サービ
スのうち、パッチのリリース後 1年以内の顧客側の適用率が 75%を下回る、また
はパッチ適用率を把握していない製品・サービスは、合計で約 5 割となってお
り、顧客側でパッチが導入されていない場合がある。
図 3.18パッチのリリース後 1年以内のパッチ適用率
製品・サービス提供形態別にみると、特に「製品のみの提供」の形態の場合、
「パッチ適用率は把握していない」が約 6割と多くなっている。
図 3.19 パッチのリリース後 1年以内のパッチ適用率<提供形態別>
31.1
6.7
0.0
11.124.4
22.2
4.4
n=45
パッチ適用率は把握していない
~25%
26%~50%
51%~75%
76%~100%
パッチ適用率は把握しているが、回答できない
無回答
58.3
0.0
25.0
0.0
8.3
20.0
3.6
0.0
0.0
0.0
0.0
0.0
25.0
20.0
3.6
0.0
8.3
20.0
32.1
0.0
0.0
20.0
32.1
0.0
0.0
20.0
3.6
0.0
0% 20% 40% 60% 80% 100%
製品のみの提供(N=12)
サービスのみの提供(N=5)
製品とサービスの一括提供(N=28)
その他(N=0)
パッチ適用率は把握していない ~25%
26%~50% 51%~75%
76%~100% パッチ適用率は把握しているが、回答できない
無回答
23
製品・サービス別に、販売段階で脆弱性が発見され、パッチの提供をしている
製品・サービスについて、パッチのリリース後 1 年以内の顧客におけるパッチ
適用率を見ると、「パッチ適用率は把握していない」の割合は産業用 IoT機器で
5割を超える。
図 3.20 パッチのリリース後 1年以内の適用率<製品・サービス別>
製品・サービス価格帯別に、パッチのリリース後 1 年以内の顧客におけるパ
ッチ適用率を見ると、製品・サービス価格が低いほど「パッチ適用率は把握して
いない」の割合が高まる。
図 3.21 パッチのリリース後 1年以内のパッチ適用率<価格帯別>
0.0
53.3
25.0
0.0
30.8
10.0
0.0
6.7
0.0
33.3
7.7
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
6.7
25.0
33.3
0.0
20.0
0.0
20.0
50.0
0.0
38.5
10.0
0.0
13.3
0.0
33.3
23.1
40.0
0.0
0.0
0.0
0.0
0.0
20.0
0% 20% 40% 60% 80% 100%
コンシューマー向けIoT機器(N=0)
産業用IoT機器(N=15)
ネットワーク機器(N=4)
関連部品(N=3)
IoT関連サービス(N=13)
その他(N=10)
パッチ適用率は把握していない ~25%
26%~50% 51%~75%
76%~100% パッチ適用率は把握しているが、回答できない
無回答
38.5
33.3
15.4
50.0
7.7
16.7
0.0
0.0
0.0
0.0
0.0
0.0
23.1
0.0
15.4
0.0
23.1
25.0
23.1
33.3
7.7
25.0
38.5
0.0
0.0
0.0
7.7
16.7
0% 20% 40% 60% 80% 100%
1円~10万円未満(N=13)
10万円~100万円未満(N=12)
100万円~(N=13)
わからない(N=6)
パッチ適用率は把握していない ~25%
26%~50% 51%~75%
76%~100% パッチ適用率は把握しているが、回答できない
無回答
24
製品・サービスの提供形態別に、販売段階で脆弱性が発見された製品・サービ
スに関するパッチの適用方法をみると、製品のみの提供で「パッチをウェブサイ
ト等で配布するなどして、顧客が自らパッチを適用する」の割合が高く、サービ
スのみの提供では「IoTサービスの開発者・提供者がパッチを適用する」が高い。
図 3.22 パッチ適用方法<提供形態別>
75.0
20.0
25.0
0.0
25.0
20.0
28.6
0.0
0.0
0.0
3.6
0.0
25.0
20.0
39.3
0.0
8.3
80.0
42.9
0.0
0.0
20.0
0.0
0.0
0.0
0.0
0.0
0.0
0% 20% 40% 60% 80% 100%
製品のみの提供(N=12)
サービスのみの提供
(N=5)
製品とサービスの一括
提供(N=28)
その他(N=0)
パッチをウェブサイト等で配布するなどして、顧客
が自らパッチを適用する
自動でパッチが適用される仕組みとなっている
顧客に製品を販売店等に持ち込んでもらい、回収
した上でパッチを適用する
保守要員等、製品開発企業または関連企業のス
タッフを、製品が設置されている箇所に派遣し、
パッチを適用する
IoTサービスの開発者・提供者がパッチを適用する
その他
無回答
25
製品・サービス別にパッチ適用率を上げる取組みをみると、コンシューマー向
け IoT 機器及び関連部品では「顧客のパッチ適用率を上げる取り組みは特に実
施していない」の割合が高い。
図 3.23 パッチ適用率を上げる取組み<製品・サービス別>
0.0
10.8
12.5
13.3
14.9
9.3
12.5
8.4
25.0
6.7
12.8
18.6
0.0
13.3
62.5
13.3
12.8
16.3
12.5
36.1
37.5
40.0
40.4
16.3
50.0
31.3
12.5
60.0
17.0
30.2
12.5
10.8
0.0
0.0
12.8
23.3
12.5
7.2
12.5
0.0
14.9
7.0
0% 20% 40% 60% 80% 100%
コンシューマー向けIoT機器
(N=8)
産業用IoT機器(N=83)
ネットワーク機器(N=8)
関連部品(N=15)
IoT関連サービス(N=47)
その他(N=43)
取扱説明書にパッチ適用の実施の必要
性について記載している
パッチのリリースに関する通知が製品・
サービスに表示される仕組みを導入して
いる
自社HPにパッチの適用の実施に関する
お願いを掲載している
メール等の連絡手段を用い、顧客に対し
パッチの適用に関する通知を行っている
顧客のパッチ適用率を上げる取り組みは
特に実施していない
その他
無回答
26
製品・サービスの提供形態別にパッチ適用率を上げる取組みをみると、製品の
みの提供の場合は「顧客のパッチ適用率を上げる取り組みは特に実施していな
い」の割合が約 4割と高く、顧客側の導入が進んでいないことが想定される。
製品とサービスの一括提供の場合は「メール等の連絡手段を用い、顧客に対し
パッチの適用に関する通知を行っている」が高い。
図 3.24 パッチ適用率を上げる取組み<提供形態別>
8.8
3.3
14.8
14.3
10.5
10.0
14.8
0.0
24.6
13.3
12.0
0.0
24.6
16.7
41.7
28.6
42.1
20.0
25.0
28.6
7.0
23.3
11.1
42.9
8.8
20.0
6.5
0.0
0% 20% 40% 60% 80% 100%
製品のみの提供(N=57)
サービスのみの提供(N=30)
製品とサービスの一括提供(N=108)
その他(N=7)
取扱説明書にパッチ適用の実施の必要
性について記載している
パッチのリリースに関する通知が製品・
サービスに表示される仕組みを導入し
ている
自社HPにパッチの適用の実施に関する
お願いを掲載している
メール等の連絡手段を用い、顧客に対
しパッチの適用に関する通知を行ってい
る
顧客のパッチ適用率を上げる取り組み
は特に実施していない
その他
無回答
27
製品・サービス価格帯別にパッチ適用率を上げる取組みをみると、価格が 10
万円以上の場合は「メール等の連絡手段を用い、顧客に対しパッチの適用に関す
る通知を行っている」が約 4割で最も高い。
製品・サービス価格が低い場合、「パッチのリリースに関する通知が製品・サ
ービスに表示される仕組みを導入している」「自社 HP にパッチの適用実施に関
するお願いを掲載している」の割合が高くなる。
図 3.25 パッチ適用率を上げる取組み<価格帯別>
8.1
18.0
9.3
11.8
24.2
8.0
7.4
5.9
24.2
16.0
5.6
14.7
25.8
42.0
38.9
23.5
35.5
26.0
25.9
26.5
9.7
8.0
13.0
23.5
4.8
6.0
11.1
17.6
0% 20% 40% 60% 80% 100%
1円~10万円未満(N=62)
10万円~100万円未満(N=50)
100万円~(N=54)
わからない(N=34)
取扱説明書にパッチ適用の実施の必要性
について記載している
パッチのリリースに関する通知が製品・
サービスに表示される仕組みを導入して
いる
自社HPにパッチの適用の実施に関するお
願いを掲載している
メール等の連絡手段を用い、顧客に対し
パッチの適用に関する通知を行っている
顧客のパッチ適用率を上げる取り組みは
特に実施していない
その他
無回答
28
(7) 仮説 8
仮説 8 では、「EOS/EOL となった IoT 製品の脆弱性は、製品開発者によって修
正されず、放置されていることが多いのではないか」と設定した。
その結果、サポート終了段階において脆弱性が発見されたことのある製品・サ
ービスの脆弱性対応内容として、「脆弱性対策は行わず、最新の製品・サービス
の利用を呼びかける」が 6票(42.9%)で最も多く、次に「パッチの作成・配信」
が 4票(28.6%)となった。「何も行わない」とした製品・サービスはなかった。
脆弱性が修正される場合は限られるが、企業により何らかの対応はなされてい
る。
図 3.26 サポート終了後の脆弱性発見時の主な対応
また、IoT 製品・サービスのサポート終了後に脆弱性が発見された場合の全社
統一の対応方針について、「ない」または「検討中」とした製品・サービスが 7
割強であり、サポート終了後の対応方針は未整備である。
図 3.27サポート終了後の脆弱性対応方針
28.6
0.0
14.3
0.00.0
42.9
0.0
0.0
14.3
0.0
n=14
パッチの作成、配信
自動パッチの作成、リリース
回避策の提供
脆弱性対策は行わず、製品・サービスの使用中止を呼びか
ける脆弱性対策は行わず、製品回収を実施する
脆弱性対策は行わず、最新の製品・サービスの利用を呼び
かける何も行わない
わからない
その他
12.2
47.8
25.4
11.2
3.4
n=205
ある
ない
検討中
わからない
無回答
29
(8) 仮説 9
仮説 9では、「脆弱性が発見された製品を開発した企業には、金銭的な損害に
加え、企業の信用やブランド価値が低下するなどの損害が発生し、企業経営に影
響が出るのではないか」と設定した。
その結果、IoT 製品・サービスの脆弱性によって被害が発生、またはその蓋然
性があった製品・サービスのうち、自社への金銭的損害として「10万円~100万
円未満」が 4票(23.5%)で一番多く、中には「1,000万円~1億円未満」(5.9%)
の製品・サービスもある。
図 3.28自社への金銭的損害
自社への非金銭的損害としては、「対応に時間がとられることによる人的リソ
ースの不足」が約 6 割で一番多く、次に「企業の信頼の低下」が多く挙げられ
た。
図 3.29自社への非金銭的損害
11.8
11.8
23.5
5.9 5.9
0.0
5.90.00.0
29.4
5.9
n=17
0円10万円未満
10万円~100万円未満
100万円~300万円未満
300万円~500万円未満
500万円~1,000万円未満
1,000万円~1億円未満
1億円~10億円未満
10億円以上
わからない
無回答
41.2
23.5
58.8
17.6
0.0
0.0
0% 20% 40% 60% 80%
企業の信頼の低下
企業のブランド力の低下
対応に時間がとられることによる人的リ
ソースの不足
非金銭的損害はなかった
その他
無回答
n=17
30
3.2.2. 主要な分野の IoT製品・サービス
(1) 開発・販売している IoT製品・サービスの主要な分野
開発・販売している IoT 製品・サービスの主要な分野は、「IoT プラットフォ
ーム(産業用)」(18.5%)、 「遠隔監視」(17.1 %)、「測位・センシング」(13.7%)
が多い。
図 3.30 IoT製品・サービスの主要な分野
0.5 1.0 0.0 1.0 0.0 0.51.0
0.0
9.8
17.1
13.7
3.40.51.0
3.92.4
4.4
18.5
21.0
0.5
n=205
テレビ
カメラ
DVDレコーダー
給湯器
健康器具類
照明機器
エアコン
ゲーム機
生産設備
遠隔監視
測位・センシング
ルーター
ストレージ
関連部品(センサー等)
通信モジュール
ミドルウェア(データ転送・分析等)
IoTプラットフォーム(コンシューマー向け)
IoTプラットフォーム(産業用)
その他
無回答
31
(2) 主要な分野の IoT製品・サービスの主な提供形態
主要な分野の IoT製品・サービスの主な提供形態は、「製品とサービスの一括
提供」(52.7%)が最も多い。
図 3.31 IoT製品・サービスの主な提供形態
(3) IoT 製品・サービスの販売単価
IoT製品・サービスの販売単価は、「100万円~1,000万円」(19.5%)が最も多
く、「1万円~10万円」(19.0%)が続く。
図 3.32 IoT製品・サービスの販売単価
27.8
14.652.7
3.4 1.5
n=205
製品のみの提供
サービスのみの提供
製品とサービスの一括提供
その他
無回答
4.4 6.8
19.0
18.06.3
19.5
5.9
1.016.6
2.4
n=205
1千円未満
1千円~1万円未満
1万円~10万円未満
10万円~50万円未満
50万円~100万円未満
100万円~1,000万円未満
1,000万円~1億円未満
1億円以上
わからない
無回答
32
3.2.3. IoT 製品・サービスの開発段階のセキュリティ対策
(1) 開発段階のセキュリティ方針・基準
開発段階のセキュリティ方針・基準は、開発段階全体では、「ある」(35.6%)
が最も多い。各段階における具体的な手順・技術詳細の社内規則・基準では、い
ずれの段階も「ない」が最も多く、企画・設計段階では 33.2%、製造段階では 36.1%、
検査段階では 33.2%が「ない」との回答だった。
図 3.33 開発段階のセキュリティ方針・基準
35.6
27.3
23.9
24.9
30.2
33.2
36.1
33.2
28.8
30.2
27.8
30.2
1.5
3.9
6.8
6.3
3.9
5.4
5.4
5.4
0% 20% 40% 60% 80% 100%
開発全体
企画・設計
製造
検査
ある ない 検討中 わからない 無回答n=205
33
(1)-1 セキュリティ方針・基準の所管部署
セキュリティ方針・基準の所管部署は、開発段階全体では、「全社部門」(64.4%)、
企画・設計段階では、「IoT製品・サービスの開発部門」(48.2%)、製造段階では
「IoT 製品・サービスの開発部門」(46.9%)が最も多い。検査段階では、「全社
部門」(45.1%)と「IoT 製品・サービスの開発部門」 (45.1%)が同数である。
図 3.34 セキュリティ方針・基準の所管部署
(2) 開発段階のセキュリティ担当部門の関与
開発段階において、セキュリティ担当部門が「関与している」のは、企画・設
計段階では 53.2%、製造段階では 35.1%、検査段階では 40.0%である。
図 3.35 開発段階のセキュリティ担当部門の関与
64.4
44.6
42.9
45.1
31.5
48.2
46.9
45.1
0.0
1.8
2.0
2.0
4.1
5.4
8.2
7.8
0% 20% 40% 60% 80% 100%
開発全体(n=73)
企画・設計(n=56)
製造(n=49)
検査(n=51)
全社部門(情報システム部・品質管理部門等)
IoT製品・サービスの開発(企画・設計・製造・検査)部門
わからない
その他
無回答
53.2
35.1
40.0
34.6
44.9
41.0
7.8
14.1
13.2
4.4
5.9
5.9
0% 20% 40% 60% 80% 100%
企画・設計
製造
検査
関与している 関与していない わからない 無回答n=205
34
(3) 開発段階の脆弱性対策の考慮
開発段階の脆弱性対処は「考慮している」(68.3%)が最も多い。
図 3.36 開発段階の脆弱性対策の考慮
68.3
15.1
12.7
3.9
n=205
考慮している
考慮していない
わからない
無回答
35
(3)-1 開発段階の脆弱性対策の考慮内容
脆弱性対策を考慮している製品・サービスでは、考慮している脆弱性対策とし
て、「外部のソフトウエア部品を利用する場合、既知の脆弱性が存在しないか確
認する」(57.9%)と「ソフトウエア(ファームウェア)の更新機能を実装する」
(57.9%)が最も多く、「製品出荷前に各種のテスト(既知の脆弱性検査、ソース
コード検査、ファジングによる未知の脆弱性検出)を実施する」(57.1%)が続く。
図 3.37 開発段階の脆弱性対策の考慮内容
41.4
36.4
57.9
57.1
57.9
7.1
0.0
0% 20% 40% 60% 80%
セキュアプログラミング技術を適用する
コーディング規約を利用する
外部のソフトウェア部品(オープンソース等のフリーウェアを含
む)を利用する場合、既知の脆弱性が存在しないか確認する
製品出荷前に各種のテスト(既知の脆弱性検査、ソースコード
検査、ファジングによる未知の脆弱性検出)を実施する
ソフトウェア(ファームウェア)の更新機能を実装する
その他
無回答
n=140
36
3.2.4. IoT 製品・サービスの販売段階のセキュリティ対策
(1) サポート期間中の全社の脆弱性対応方針
サポート期間中の全社統一の脆弱性対応方針は、「ある」(32.2%)と「ない」
(31.2%)がほぼ同数である。
図 3.38 サポート期間中の全社の脆弱性対応方針
(1)-1 サポート期間中の全社の脆弱性対応方針の所管部署
サポート期間中の全社の脆弱性対応方針の所管部署は、「全社部門(情報シス
テム部・品質管理部門等) 」(68.2%)が最も多い。
図 3.39 全社の脆弱性対応方針の所管部署
32.2
31.2
23.4
6.86.3
n=205
ある
ない
検討中
わからない
無回答
68.2
21.2
6.1
1.5 1.5 1.5
n=66
全社部門(情報システム部・品質管理部門
等)
IoT製品・サービスの開発(企画・設計・製造・
検査)部門
IoT製品・サービスのアフターサービス部門
わからない
その他
無回答
37
(2) 販売段階の脆弱性の発見
販売段階の脆弱性の発見経験は「ない」(53.7%)が最も多いが、「ある」(26.3%)
も存在する。
図 3.40 販売段階の脆弱性の発見
(2)-1 脆弱性の発見経路
販売段階において脆弱性が発見されたことのある製品・サービスに関して、脆
弱性の発見経路は、「IPA・JPCERT/CC からの連絡」(44.4%)が最も多く、「社内
の脆弱性検査」(38.9%)、「顧客からの指摘」(29.6%)が続く。
図 3.41 販売段階の脆弱性の発見経路
26.3
53.7
15.6
4.4
n=205
ある
ない
わからない
無回答
38.9
29.6
18.5
44.4
1.9
3.7
1.9
14.8
0.0
0% 20% 40% 60%
社内の脆弱性検査
顧客からの指摘
セキュリティ企業からの指摘
IPA・JPCERT/CCからの連絡
バグバウンティ制度を通じた指摘
SOC等による異常の検知
わからない
その他
無回答n=54
38
(2)-2 顧客に提供する脆弱性対策
販売段階において脆弱性が発見されたことのある製品・サービスに関して、脆
弱性発見後、顧客に提供する脆弱性対策は、「パッチの作成、リリース」(83.3%)
が最も多い。
図 3.42 顧客に提供する脆弱性対策
83.3
38.9
5.6
0.0
7.4
0.0
0% 20% 40% 60% 80% 100%
パッチの作成、リリース
回避策の提供
後継製品への乗り換え
脆弱性対策は行わない
その他
無回答n=54
39
(2)-2-1 パッチ適用の方法
「パッチの作成、リリース」を行う場合、パッチ適用の方法は、「パッチをウ
ェブサイト等で配布するなどして、顧客が自らパッチを適用する」 (37.8%)と
「IoTサービスの開発者・提供者がパッチを適用する」(37.8%)が同数で最も多
く、「保守要員等、製品開発企業または関連企業のスタッフを、製品が設置され
ている箇所に派遣し、パッチを適用する」(33.3%)が続く。
図 3.43 パッチ適用の方法
37.8
26.7
2.2
33.3
37.8
2.2
0.0
0% 20% 40% 60%
パッチをウェブサイト等で配布するなどして、顧客が自ら
パッチを適用する
自動でパッチが適用される仕組みとなっている
顧客に製品を販売店等に持ち込んでもらい、回収した上で
パッチを適用する
保守要員等、製品開発企業または関連企業のスタッフを、
製品が設置されている箇所に派遣し、パッチを適用する
IoTサービスの開発者・提供者がパッチを適用する
その他
無回答n=45
40
(2)-2-2 リリース後 1年以内のパッチ適用率
「パッチの作成、リリース」を行う場合、リリース後 1年以内のパッチ適用率
について、「パッチ適用率は把握していない」(31.1%)が最も多く、 「76%~100%」
(24.4%)と「パッチ適用率は把握しているが、回答できない」(22.2%)がほぼ
同数で続く。
図 3.44リリース後 1年以内のパッチ適用率
(2)-2-3 顧客への対策通知方法
顧客への対策通知方法は、対策がいずれの場合でも「顧客へのメールや手紙の
送付」が最も多く、「パッチの作成、リリース」では 62.2%、「回避策の提供」で
は 76.2%、「後継製品への乗り換え」では 100.0%である。
図 3.45顧客への対策通知方法
31.1
6.7
0.0
11.124.4
22.2
4.4
n=45
パッチ適用率は把握していない
~25%
26%~50%
51%~75%
76%~100%
パッチ適用率は把握しているが、回答できない
無回答
46.7
0.0
62.2
8.9
11.1
6.7
38.1
0.0
76.2
0.0
9.5
9.5
33.3
0.0
100.0
0.0
0.0
0.0
0% 20% 40% 60% 80% 100%
自社のHP上に掲載
新聞等メディアへの掲載
顧客へのメールや手紙の送付
JVN(Japan Vulnerability Notes)での公表
その他
無回答
パッチの作成、リリース(n=45) 回避策の提供(n=21)後継製品への乗り換え(n=3)
41
(3) パッチ適用率を上げる取組み
販売後の脆弱性発見有無に関わらず、通常実施しているパッチ適用率を上げ
る取組みは、「メール等の連絡手段を用い、顧客に対しパッチの適用に関する通
知を行っている」(32.2%)が最も多い。
図 3.46 パッチ適用率を上げる取組み
11.2
12.2
15.1
32.2
29.8
12.7
9.3
0% 20% 40% 60% 80% 100%
取扱説明書にパッチ適用の実施の必要性に
ついて記載している
パッチのリリースに関する通知が製品・サー
ビスに表示される仕組みを導入している
自社HPにパッチの適用の実施に関するお願
いを掲載している
メール等の連絡手段を用い、顧客に対しパッ
チの適用に関する通知を行っている
顧客のパッチ適用率を上げる取り組みは特
に実施していない
その他
無回答n=205
42
(4) 脆弱性対策が不可能な場合
脆弱性対策が不可能な場合は、「ない」(27.3%)が「ある」(13.7%)よりも多
い。「わからない」(53.7%)が最も多い。
図 3.47脆弱性対策が不可能な場合
(4)-1 脆弱性対策が不可能な場合の対応
脆弱性対策が不可能な場合の対応は、「顧客に対し、使用中止の呼びかけ」
(50.0%)と「最新製品・サービスへの切り替え」(46.4%)がほぼ同数で多い。
図 3.48脆弱性対策が不可能な場合の対応
13.7
27.353.7
5.4
n=205
ある
ない
わからない
無回答
50.0
17.9
46.4
7.1
3.6
0.0
0% 20% 40% 60% 80% 100%
顧客に対し、使用中止の呼びかけ
製品回収の実施
最新製品・サービスへの切り替え
何も実施していない
その他
無回答n=28
43
(4)-2 脆弱性対策が不可能な理由
脆弱性対策が不可能な理由は、「IoT製品・サービスの機能が必要最低限であり、
パッチ適用が困難なため」(42.9%)が最も多く、「連続稼動が前提であり、パッ
チ適用が困難なため」(25.0%)と「脆弱性対策を検討する人員が不足しているた
め」(21.4%)がほぼ同数である。
図 3.49脆弱性対策が不可能な理由
42.9
25.0
14.3
21.4
14.3
10.7
0% 20% 40% 60%
IoT製品・サービスの機能が必要最低限であり、
パッチ適用が困難なため
連続稼動が前提であり、パッチ適用が困難なため
脆弱性対策のための費用が発生するため
脆弱性対策を検討する人員が不足しているため
その他
無回答n=28
44
3.2.5. サポート終了後(EOS/EOL)の脆弱性対応
(1) サポート終了後の脆弱性対応方針
全社統一のサポート終了後の脆弱性対応方針は、「ない」(47.8%)が最も多い。
図 3.50サポート終了後の脆弱性対応方針
(1)-1 サポート終了後の脆弱性対応方針の所管部署
サポート終了後の脆弱性対応方針の所管部署は、「全社部門(情報システム部・
品質管理部門等) 」(72.0%)が最も多い。
図 3.51脆弱性対応方針の所管部署
12.2
47.8
25.4
11.2
3.4
n=205
ある
ない
検討中
わからない
無回答
72.0
12.0
4.0
0.08.0
4.0
n=25
全社部門(情報システム部・品質管理部門等)
IoT製品・サービスの開発(企画・設計・製造・検査)部
門
IoT製品・サービスのアフターサービス部門
わからない
その他
無回答
45
(1)-2 サポート終了後の脆弱性対応方針の内容
サポート終了後の脆弱性対応方針の内容は、「EOS/EOL の定義」、「脆弱性対応
の実施有無」(48.0%)の 12件が同数で最も多く、ほぼ同数で「脆弱性対応を行
う期間」(40.0%)が続く。
図 3.52 脆弱性対応規則・基準の内容
(2) サポート終了後の脆弱性の発見経験
サポート終了後の脆弱性の発見経験は「ない」(54.1%)が 111 件で最も多い
が、「ある」(6.8%)も 14件存在する。
図 3.53サポート終了後の脆弱性の発見経験
48.0
48.0
40.0
28.0
20.0
20.0
12.0
4.0
0% 20% 40% 60%
EOS/EOLの定義
脆弱性対応の実施有無
脆弱性対応を行う期間
脆弱性対応の種類に関する基準
脆弱性対応を実施する際の最終決定者
脆弱性対応のためのコストを負担する部署
その他
無回答n=25
6.8
54.122.4
16.6
n=205
ある
ない
わからない
無回答
46
(2)-1 サポート終了後の脆弱性発見時の主な対応
サポート終了後の脆弱性発見時の主な対応は、「脆弱性対策は行わず、最新の
製品・サービスの利用を呼びかける」(42.9%)が最も多い。
図 3.54サポート終了後の脆弱性発見時の主な対応
28.6
0.0
14.3
0.00.0
42.9
0.00.0
14.3
0.0
n=14
パッチの作成、配信
自動パッチの作成、リリース
回避策の提供
脆弱性対策は行わず、製品・サービスの使用
中止を呼びかける脆弱性対策は行わず、製品回収を実施する
脆弱性対策は行わず、最新の製品・サービス
の利用を呼びかける何も行わない
わからない
その他
47
3.2.6. セキュリティ対策全般
(1) 開発・販売・サポート時セキュリティ対策費
開発・販売・サポート時のセキュリティ対策費は、「考慮しているが、明示的
には予算として確保していない」(53.2%)が最も多い。
図 3.55開発・販売・サポート時のセキュリティ対策費
製品・サービス別に開発・販売・サポート時のセキュリティ対策費の考慮をみ
ると、ネットワーク機器及び IoT関連サービスにおいて、考慮している割合が 8
割を超え高い。
図 3.56開発・販売・サポート時のセキュリティ対策費<製品・サービス別>
製品・サービスの提供形態別に開発・販売・サポート時のセキュリティ対策費
17.6
53.2
24.9
2.0 2.4
n=205
考慮しており、予算として確保している
考慮しているが、明示的には予算として確保してい
ない考慮していない
その他
無回答
12.5
13.3
25.0
20.0
19.1
23.3
50.0
54.2
62.5
46.7
70.2
34.9
37.5
28.9
12.5
33.3
6.4
34.9
0.0
2.4
0.0
0.0
2.1
2.3
0.0
1.2
0.0
0.02.1
4.7
0% 20% 40% 60% 80% 100%
コンシューマー向けIoT機器(N=8)
産業用IoT機器(N=83)
ネットワーク機器(N=8)
関連部品(N=15)
IoT関連サービス(N=47)
その他(N=43)
考慮しており、予算として確保している考慮しているが、明示的には予算として確保していない考慮していないその他無回答
48
の考慮をみると、考慮していないのは、製品のみの提供において 4 割を超えて
おり、他の提供形態よりも高い。
図 3.57開発・販売・サポート時のセキュリティ対策費 <提供形態別>
製品・サービスの価格帯別に開発・販売・サポート時のセキュリティ対策費の
考慮状況についてみると、100万円以上の場合、セキュリティ対策費を「考慮し
ており、予算として確保している」の割合が 2割を超え、考慮されているのは 8
割を超える。
図 3.58開発・販売・サポート時のセキュリティ対策費 <価格帯別>
8.8
20.0
21.3
28.6
45.6
46.7
58.3
57.1
43.9
26.7
15.7
14.3
0.0
3.32.8
0.0
1.8
3.3
1.9
0.0
0% 20% 40% 60% 80% 100%
製品のみの提供(N=57)
サービスのみの提供(N=30)
製品とサービスの一括提供(N=108)
その他(N=7)
考慮しており、予算として確保している考慮しているが、明示的には予算として確保していない考慮していないその他無回答
11.3
12.0
24.1
26.5
53.2
54.0
61.1
41.2
33.9
30.0
14.8
17.6
0.0
2.0
0.0
8.8
1.6
2.0
0.0
5.9
0% 20% 40% 60% 80% 100%
1円~10万円未満(N=62)
10万円~100万円未満(N=50)
100万円~(N=54)
わからない(N=34)
考慮しており、予算として確保している考慮しているが、明示的には予算として確保していない考慮していないその他無回答
49
(2) セキュリティ対策実施の効果
セキュリティ対策実施の効果は、「自社製品・サービスの脆弱性による顧客へ
の被害を防ぐことができる」(40.5%)が最も多く、「特にない」(31.2%)が続く。
図 3.59 セキュリティ対策実施の効果
6.8
3.4
40.5
10.2
20.5
27.3
7.3
31.2
2.4
5.4
0% 20% 40% 60%
セキュアな製品・サービスとして売り出すことで、販売数が
増加した
製品・サービスのサポート・保守契約加入率が増加した
自社製品・サービスの脆弱性による顧客への被害を防ぐ
ことができる
レピュテーションリスクを低減できる
セキュリティの知見が溜まり、他製品への開発へ活かすこ
とができた
企業としてセキュリティ対策に取り組んでいることをアピー
ルできる
導入実績として政府機関や大手企業に採用してもらうこと
ができ、製品アピールにプラスになった
特にない
その他
無回答n=205
50
(3) セキュリティ対策実施の悪影響
セキュリティ対策実施の悪影響は、「特にない」(42.9%)が最も多く、「管理が
煩雑になった」(25.9%)、「人件費が上昇した」(22.9%)が続く。
図 3.60セキュリティ対策実施の悪影響
4.4
4.4
9.3
22.9
25.9
6.8
10.2
42.9
3.9
6.3
0% 20% 40% 60%
セキュリティ上の理由で実現したい機能が導入できな
かった
製品の出荷時期が遅れ、販売機会を失った
調達部品の単価が上昇した
人件費が上昇した
管理が煩雑になった (例:セキュリティ基準を満たすか
の確認)
販売価格が上昇し、競争力が落ちた
開発コストの上昇を販売価格に反映できず、利益率が下
がった
特にない
その他
無回答n=205
51
(4) セキュリティ対策の十分性
自社の IoT 製品・サービスのセキュリティ対策について、「やや不十分」(32.7%)
と「不十分」(20.5%)を合わせて 53.2%となっており、「十分」(7.8%)と「ある
程度十分」(34.1%)を合わせた 41.9%を上回る。
図 3.61セキュリティ対策の十分性
製品・サービス別にセキュリティ対策の十分性に関する認識をみると、ネット
ワーク機器で「十分」または「ある程度十分」とする割合が 7割を超える。
「やや不十分」「不十分」の合計はコンシューマー向け IoT 機器、産業用 IoT
機器、関連部品で 6 割を超え、これらの製品分野でセキュリティ対策が不十分
と考える割合が高い。
図 3.62セキュリティ対策の十分性<製品・サービス別>
7.8
34.1
32.7
20.5
4.9
n=205
十分
ある程度十分
やや不十分
不十分
無回答
0.0
4.8
0.0
6.7
17.0
7.0
25.0
28.9
75.0
20.0
44.7
32.6
12.5
33.7
25.0
40.0
25.5
41.9
50.0
26.5
0.0
33.3
10.6
14.0
12.5
6.0
0.0
0.0
2.1
4.7
0% 20% 40% 60% 80% 100%
コンシューマー向けIoT機器(N=8)
産業用IoT機器(N=83)
ネットワーク機器(N=8)
関連部品(N=15)
IoT関連サービス(N=47)
その他(N=43)
十分 ある程度十分 やや不十分 不十分 無回答
52
製品・サービスの提供形態別にセキュリティ対策の十分性に関する認識をみ
ると、サービスのみの提供・製品とサービスの一括提供に比べ、製品のみの提供
では「十分」または「ある程度十分」とする割合が 3割程度とやや低く、「やや
不十分」「不十分」を合わせると 6割超と高くなっている。
図 3.63セキュリティ対策の十分性<提供形態別>
製品・サービスの価格帯別にセキュリティ対策の十分性に関する認識に顕著
な傾向は見られない。
図 3.64セキュリティ対策の十分性<価格帯別>
3.5
10.0
9.3
14.3
28.1
33.3
37.0
42.9
40.4
36.7
30.6
0.0
22.8
16.7
19.4
28.6
5.3
3.3
3.7
14.3
0% 20% 40% 60% 80% 100%
製品のみの提供(N=57)
サービスのみの提供(N=30)
製品とサービスの一括提供(N=108)
その他(N=7)
十分 ある程度十分 やや不十分 不十分 無回答
8.1
6.0
11.1
5.9
37.1
32.0
29.6
38.2
33.9
38.0
31.5
23.5
17.7
22.0
25.9
17.6
3.2
2.0
1.9
14.7
0% 20% 40% 60% 80% 100%
1円~10万円未満(N=62)
10万円~100万円未満(N=50)
100万円~(N=54)
わからない(N=34)
十分 ある程度十分 やや不十分 不十分 無回答
53
(5) セキュリティ対策実施の課題
セキュリティ対策実施の課題は、「社内にセキュリティに知見のある人材が少
ない」(46.8%)が最も多く、「セキュリティコストを販売価格に反映できない」
(45.4%)「開発段階において、セキュリティ対策のための体制(人員の配置等)
に費用をかけられない」(40.5%)が続く。
図 3.65 セキュリティ対策実施の課題
40.5
27.8
16.6
46.8
23.9
16.1
21.0
35.6
45.4
28.3
15.6
8.8
23.9
16.1
9.3
3.4
2.0
3.4
0% 20% 40% 60%
開発段階において、セキュリティ対策のための体制(人員の配置等)
に費用をかけられない
出荷後の製品に関して、脆弱性等を発見する体制に費用をかけられ
ない (例:SOCの設置、各種テストの実施等)
出荷後の製品に脆弱性が発見された場合に、パッチを開発・提供す
る体制に費用をかけられない
社内にセキュリティに知見のある人材が少ない
IoT製品・サービス開発部門に所属する社員のセキュリティ対策の必
要性・意義に関する認識が低い
経営層のセキュリティ対策の必要性・意義に関する認識が低い
顧客側にセキュリティ対策を実施する必要性が理解されていない
セキュリティ対策を実施すると販売価格が上がる
セキュリティコストを販売価格に反映できない
IoT製品・サービスは開発のリードタイムが短く、セキュリティ対策に時
間をかけられない
提供しているIoT製品・サービスがパッチを適用できるような構造に
なっていない
提供しているIoT製品・サービスが連続稼動を前提としており、パッチ
の適用を想定していない
自社製品・サービスの中に組み込んだ他社製品に脆弱性が発見され
た場合の対処が困難
実際の製品開発を自社で行っていないため、脆弱性が発見された場
合の対処が困難
IoT製品・サービス開発・運用を委託している企業のセキュリティ対策
状況が把握できない
特にない
その他
無回答
n=205
54
3.2.7. 脆弱性による被害
(1) 脆弱性による顧客被害・蓋然性の経験
脆弱性によって顧客に被害が発生、またはその蓋然性があった経験は、「実際
に顧客に被害が発生した経験がある」(3.4%)「蓋然性が高まった経験がある」
(4.9%)を合計し、8.3%(17件)が「ある」との回答である。
図 3.66 脆弱性による顧客被害・蓋然性の経験
(1)-1 脆弱性のあった製品・サービス
脆弱性のあった製品・サービスは「産業用 IoT機器」(41.2%)が最も多く、「ネ
ットワーク機器」(23.5%)が続く。
図 3.67脆弱性のあった製品・サービス
3.4
4.9
71.7
15.1
4.9
n=205
実際に顧客に被害が発生した経験がある
蓋然性が高まった経験がある
ない
わからない
無回答
17.6
41.2
23.5
0.0 11.8
5.9
0.0
n=17
コンシューマー向けIoT機器
産業用IoT機器
ネットワーク機器
関連部品
IoTプラットフォーム
その他
無回答
55
(1)-2 被害の内容
脆弱性による被害の内容は、「システム・サービスの障害」(47.1%)が 8件で
最も多く、「DoS攻撃の踏み台等、間接的被害」(17.6%)が 3件で続く。
図 3.68被害の内容
(1)-3 金銭的損害
脆弱性による金銭的な損害は、「10万円~100万円未満」(23.5%)が 4件で最
も多く、「1,000万円~1億円未満」(5.9%)も 1件ある。
図 3.69自社への金銭的損害
11.8
47.1
11.8
5.9
11.8
17.6
11.8
5.9
0% 20% 40% 60%
情報漏えい
システム・サービスの障害
情報資産の不正利用
データの改ざん、消失
物理的・人的被害
DoS攻撃の踏み台等、間接的被害
その他
無回答n=17
11.8
11.8
23.5
5.9 5.9
0.0
5.90.0
0.0
29.4
5.9
n=17
0円10万円未満
10万円~100万円未満
100万円~300万円未満
300万円~500万円未満
500万円~1,000万円未満
1,000万円~1億円未満
1億円~10億円未満
10億円以上
わからない
無回答
56
(1)-4 非金銭的損害
脆弱性による非金銭的損害は、「対応に時間がとられることによる人的リソー
スの不足」 (58.8%)が 10件で最も多く、「企業の信頼の低下」 (41.2%)が 7
件で続く。
図 3.70自社への非金銭的損害
41.2
23.5
58.8
17.6
0.0
0.0
0% 20% 40% 60% 80%
企業の信頼の低下
企業のブランド力の低下
対応に時間がとられることによる人的リ
ソースの不足
非金銭的損害はなかった
その他
無回答
n=17
57
(1)-5 顧客に被害があった時の対応
脆弱性により顧客に被害があった時の対応は、「緊急パッチのリリース」
(52.9%)が 9件で最も多く、「緊急回避策の提供」(41.2%)が 7件で続く。
図 3.71 顧客に被害があった時の対応
(1)-6 顧客への通知方法
脆弱性により顧客に被害があった時の対応に関する顧客への通知方法は、「顧
客へのメールや手紙の送付」(82.4%)が 14件で最も多く、「自社の HP上に掲載」
(41.2%)が 7件で続く。
図 3.72顧客への通知方法
52.9
41.2
17.6
23.5
23.5
17.6
11.8
0.0
0.0
0.0
0.0
0% 20% 40% 60%
緊急パッチのリリース
緊急回避策の提供
ユーザーに対し、使用中止の呼びかけ
製品回収の実施
脆弱性対策が実施されている代替製品との交換
コールセンターの設置
損害賠償の支払い
謝罪会見の実施
何もせず
その他
無回答n=17
41.2
0.0
82.4
5.9
5.9
0.0
0% 20% 40% 60% 80% 100%
自社のHP上に掲載
新聞等メディアへの掲載
顧客へのメールや手紙の送付
JVN(Japan Vulnerability Notes)での公表
その他
無回答n=17
58
3.2.8. 情報セキュリティ早期警戒パートナーシップ制度
(1) 制度の認知状況
情報セキュリティ早期警戒パートナーシップ制度の認知状況は、「本アンケー
トで初めて知った」(81.0%)が最も多く、「知っている」(16.1%)は 2割未満で
ある。
図 3.73制度の認知状況
(2) JVN の利用経験
JVNについては、「利用したことはない」(57.1%)が最も多く、「JVN 上で公表
されている脆弱性情報を閲覧したことがある」(24.9%)が続く。「JVN 上で自社
製品の脆弱性情報を公開したことがある」(2.4%)は 5件であった。
図 3.74 JVNの利用経験
16.1
81.0
2.9
n=205
知っている
本アンケートで初めて知った
無回答
2.4
24.9
57.1
11.7
3.9
n=205
JVN上で自社製品の脆弱性情報を公開
したことがある
JVN上で公表されている脆弱性情報を閲
覧したことがある
利用したことはない
わからない
無回答
59
(3) 調整機関から連絡を受ける窓口の設置
調整機関から連絡を受ける窓口は、「設けていない」(49.8%)が最も多く、「設
けている」(17.6%)は 36件で、2割未満である。
図 3.75 調整機関から連絡を受ける窓口の設置
(3)-1 連絡を受けて対処した経験
調整機関から連絡を受ける窓口を設置している企業のうち、連絡を受けて対
処した経験は「ある」(58.3%)が 21件で最も多い。
図 3.76 連絡を受けて対処した経験
17.6
49.8
5.4
23.9
3.4
n=205
設けている
設けていない
検討中
わからない
無回答
58.3
25.0
16.7
0.0
n=36
ある
ない
わからない
無回答
60
(3)-1-1 調整機関の対応で気になった点
調整機関から連絡を受けた経験のある企業のうち、調整機関の対応で気にな
った点は「ある」(19.0%)が 4件である。
図 3.77 調整機関の対応で気になった点
19.0
76.2
4.8
n=21
ある
ない
無回答
61
3.4. まとめ
本調査から、以下の結果が得られた。
3.4.1. 開発時の課題
(1) 開発時のセキュリティ基準が未整備
開発段階におけるセキュリティに関する全社方針が整備されている IoT製品・
サービスは約 4 割であり、特に具体的な手順や技術詳細の規則等については未
整備である。
(2) 開発の各段階におけるセキュリティ専門家の関与は限定的
セキュリティ担当の社員・部門の関与は、企画・設計段階で約 5割、製造段階
で 3.5 割、検査段階で約 4 割であり、開発の各段階におけるセキュリティ専門
家の関与は限定的である。
(3) 設計段階におけるセキュリティの考慮が不十分
開発段階において脆弱性対策を考慮している製品・サービスは約 7 割だが、
そのうち、更新機能の実装等の脆弱性対策を行っているのは 6割に留まる。
特に、セキュアプログラミング技術の適用やコーディング規約の利用等、製品
設計段階における脆弱性対策を行っている製品・サービスは 4割程度と少ない。
(4) 検査時の脆弱性検査が不十分
開発段階において脆弱性対策を考慮している製品・サービスのうち、出荷前に
脆弱性検査を実施しているのは 6 割であり、脆弱性検査が行われていない場合
もある。
3.4.2. 販売後の課題
(1) 製品販売者が脆弱性の存在を確認するのが困難
脆弱性が発見された経験があるのは 3 割弱だが、そのうち、自社の脆弱性検
査で把握されたのは 4割弱に留まり、SOC等による異常の検知と合わせ、自主的
に脆弱性把握ができた開発者は約 4割と少ない。
(2) 脆弱性対策が不可能な場合の存在
IoT製品の脆弱性対策が不可能な場合があるのは 1割強あり、その理由として
62
は、「IoT 製品・サービスの機能が必要最低限であり、パッチ適用が困難なため」
が 4割強で最も多い。
(3) 脆弱性対策を利用者側に導入させることが困難
リリースしたパッチの 1年以内における顧客側の適用率が 50%を上回る製品・
サービスは約 3 割に留まり、顧客側でパッチが導入されていない場合がある。
パッチ適用率を把握していないのも 3割である。
特に、製品のみ提供している場合や、製品・サービス価格が低いほど、パッチ
適用状況の把握ができていない。製品のみ提供している場合、パッチをウェブサ
イト等で配布するなどして、顧客が自らパッチを適用せざるを得ないとの回答
が 7 割を超えているが、顧客のパッチ適用率を上げる取り組みは特に実施して
いないとの回答が 4割であり、顧客側の導入が進んでいないことが想定される。
(4) EOS/EOLとなった製品の脆弱性対処は最新製品・サービス利用の呼びかけ
サポート終了段階で脆弱性が発見された場合、対象製品の修正を行わずに最
新の製品・サービスの利用を呼びかけるのが 4割超、パッチの作成・配信を行う
のは 3 割であるが、何も行わない場合はなかった。脆弱性が修正される場合は
限られるが、企業により何らかの対応はなされている。
(5) 調整機関からの窓口が整備されていない
販売段階において脆弱性が発見されたことのある製品・サービスの脆弱性の
発見経路は、「IPA・JPCERT/CCからの連絡」が 4割以上で最も多い一方で、調整
機関から連絡を受ける窓口が設けていない割合が約 5割であった。
3.4.3. 脆弱性発見時の影響
(1) 脆弱性発見時は企業経営への影響あり
IoT 製品・サービスの脆弱性により被害が発生、またはその蓋然性があった製
品・サービスのうち、非金銭的な損害として、対応に時間がとられることによる
人的リソースの不足が約 6割、企業の信頼の低下が約 4割であった。
3.4.4. セキュリティ対策全般の課題
(1) セキュリティ対策費は製品のみの提供や価格が低い場合に考慮されにくい
開発・販売・サポート時のセキュリティ対策費は、製品のみ提供している場合、
4割以上が考慮されていない。セキュリティ対策費は、製品価格が 100万円以上
63
の場合 8割が考慮しているが、10万円未満の場合は 6割に留まる。
(2) 製品のみの提供の場合、セキュリティ対策が不十分
製品のみ提供している場合、6 割以上の製品・サービスにおいてセキュリティ
対策が不十分と考えている。
64
4. ヒアリング調査
4.1. 調査方針
アンケート調査を補足し、IoT製品・サービス開発者における脆弱性対策の現
状認識と課題等を明らかにするため、ヒアリング調査を実施した。
表 4-1 ヒアリング調査概要
調査対象 ■IoT 関連の業界団体 1 件
■開発分野が異なる IoT製品・サービス開発ベンダー7社
・コンシューマー向け IoT機器(1社)
・産業用 IoT 機器(3社)
・ネットワーク機器(1社)
・関連部品(1社)
・IoT関連サービス(1社)
調査項目 • IoT製品のセキュリティ対策・脆弱性対処の取組状況・課題について
• セキュリティ事故経験について
• IoT製品における脆弱性対策を促進させる資料について
• 情報セキュリティ早期警戒パートナーシップに対する意見・要望
調査期間 2017年 11月~2018年 1月
4.2. 調査結果
4.2.1. IoT 製品のセキュリティ対策・脆弱性対策の取組状況
IoT製品のセキュリティ対策・脆弱性対処の取組状況についての主な意見は以
下の通り。
出荷検査後 3~6カ月間以内に知ったバグや脆弱性は(瑕疵担保として)
対応、それ以上は保守契約に基づき対応。保守契約をしていない顧客に
対しても説明等の情報提供を行う。(企業)
セキュリティに関する不具合は製品の品質管理の一環で取り扱う。(企
業)
攻撃者が攻撃するモチベーションを下げること、攻撃ポイントを減らす
設計を行う(データはサーバ側に置く、機器は通信機能に制限)。(企
65
業)
アップデートは責任の問題もあり、お客様の同意がなければできない。
将来的に、モノではなくサービスを提供するモデルに変わればサービス
契約の中でファームウェアを更新できる。(企業)
通信モジュール開発等、調達品のサポート次第で製品寿命も考えざるを
得ない。(企業)
制御システムについては、元々リモート監視や故障検知は行っているこ
ともあり、基本的には現在の対策を引き続き行う。ただし、センサー系
機器はデータの改ざんが考えられるため、対策が変わる可能性がある。
(企業)
部品開発者のセキュリティ対策は契約で縛っている。会社の与信調査で
認められた企業とのみ契約するため、部品開発者に連絡が取ることがで
きなくなる事例はない。(企業)
IoTネットワークについて、シーケンス番号がデバイスからのメッセー
ジごとに付与されている。クラウド側でもシーケンス番号をもってお
り、一致しているか確認をすることでなりすましを防いでいる。(企業)
SIMカードを利用して IoTデバイスと自社が提供する IoTプラットフォ
ームの間を、携帯キャリアの回線と専用線でクローズドなネットワーク
を構築し、セキュリティを確保している。(企業)
自社のプラットフォームを活用することで、プラットフォーム側でプロ
トコル変換や暗号化等の処理を集中させることができ、デバイス側での
データの暗号化や認証等の処理が不要となる。高い機能の CPUの導入、
バッテリー消費増加をオフロードすることができる。(企業)
IoT プラットフォームからオープンなインターネットへ接続する部分
に関しては、インターネット側からデバイスに直接通信できない仕組み
としている。(企業)
セキュリティ対策だけでは費用がかかる等の理由から顧客に受け入れ
られにくい。自社では、セキュリティだけではなく利便性向上もセット
で提案している。(企業)
産業用機器について、機能上は Windowsに接続が可能でも Windowsに繋
がない運用をしている企業が多い。現場のコンピューターのアップデー
ト等に全て対応することができないため、イントラネットで使用する会
社も多い。(企業)
産業用機器のセキュリティを担保するために、上位・下位のシステムを
直接繋ぐのではなく、スイッチを間に入れ、上位・下位側からそれぞれ
必要な情報を取りに、ダッシュボードにアクセスする形のサービスを提
66
供している。(企業)
セキュリティを担保しなければいけない製品に関しては調達先に関し
てもセキュアコーディング等を求めている。(企業)
脆弱性対策としては、①設計段階で組み込まない、②市場に出荷された
製品に脆弱性が発見された場合は対応する、を基本として行っている。
(企業)
セキュリティが求められる製品に関してはセキュリティの専門家がい
る。一方で、高いセキュリティ基準を求められない製品に関しては万全
な専門家体制を組めているわけではない。(企業)
セキュリティ対策費は、対策の規模が大きい場合は別立てで確保する場
合がある。対策の規模が小さい場合は、通常のルーティンワークの中で
対応するケースがある。(企業)
IoTのエコシステムに関わる各企業が、各社のテリトリーの中でセキュ
リティ検討する実証の場を提供していることが、IoTシステムとしての
セキュリティの確保に寄与している。(団体)
4.2.2. IoT 製品のセキュリティ対策に関する課題
IoT 製品のセキュリティ対策に関する課題についての主な意見は以下の通り。
チップ開発者側の都合で突然チップが製造中止になることがあり、古く
なると保守が弱くなることが課題。(企業)
機器側よりもクラウド側でのセキュリティ対策を行う必要がある。(企
業)
IoTネットワークの提供にあたり、コア技術は他企業から提供していた
だいているため、何か問題が起きた場合は、自組織内で対応することが
できない。(企業)
チップに脆弱性が発見された場合でも、IoTネットワークでは下りの通
信は基本的に無いので遠隔でのセキュリティ対策の更新はできない。
(企業)
セキュリティチップを導入することで、消費電力を増加させ、通信の遅
延も発生させてしまう場合がある。(企業)
ネットワークカメラ等では映像を外から見るためにインターネットに
接続したいとの要望はある。セキュリティの確保が課題になると考えて
いる。(企業)
何かあった場合に製品開発者の責任にされるのが困る。また、製品開発
67
者の責任にされても対応でできることは特に無い。(企業)
IoT製品は他社製品に繋がっている場合があり、責任範囲が難しい。ま
た、リスク分析も難しい。(企業)
時間的・人的リソースを踏まえて、製品回収の対象とするかどうかの判
断が難しい。(企業)
4.2.3. IoT 製品のセキュリティ対策に関する考え
IoT 製品のセキュリティ対策に関する考えについての主な意見は以下の通り。
自動アップデートの機能があったとしてもお客様と相談してアップデ
ートすることになると考えられる。IoT機器の認証の中に自動アップデ
ートの機能要件が入れられてしまうと、必要の無い機能をつける必要が
でることになり、コストにも跳ね返り、製品開発者としては厳しい。(企
業)
お客様側の意識として、セキュリティは付加価値ではなく、あって当然
と考えられてきている。(企業)
IoT を利用する顧客の懸念として通信内容の盗聴やデバイスへの攻撃
がある。(企業)
IoTデバイスは、今後製品開発者が不在になるケースも増加すると考え
られる。顧客が購入したデバイスのため、自社では使用中止を求めるの
は難しい。リスクが低くなるように利用できるようフェールセーフの考
えに基づきサービスを提供している。(企業)
IoT デバイスのファームウェアの更新が困難なケースも増加すると考
えられるため、プラットフォーム側での対応も検討する必要がある。(企
業)
エンドユーザーのコスト低減要望をデバイスメーカーが実現しようと
するのにも限界がある。単体の企業として考えるのではなく、IoT ネッ
トワーク全体で考える必要がある。(企業)
製造業の中でセキュリティに対する投資は受け入れられにくい。セキュ
リティは保険のようなものであり、啓蒙活動は我々もしないといけない
と考えている。国側でも啓蒙活動を行ってほしい。(企業)
仕掛けで防げることもあるが、最後は人の運用の中で決まる。仕組みと
運用の啓蒙の両方を行わなければいけない。(企業)
産業用機器に関しては、顧客からのパッチを当ててほしいというニーズ
は特に無い。顧客もパッチを当てると動作に不具合が出ることを知って
68
いる。(企業)
4.2.4. IoT 製品のセキュリティ事故経験
IoT製品のセキュリティ事故経験についての主な意見は以下の通り。
脆弱性の存在が世の中で明らかとなったところ、影響より問題の有無が
騒ぎとなった。深刻な脆弱性ではなかったため、社内的な対応と、外部
での騒ぎに不整合が生じた。情報公開タイミングの難しさを認識。脆弱
性への対処フローは整備されていたものの、今後は、社会的窓口となる
責任者に対して、全ての情報を上げることとした。(企業)
Windows OS を組み込んだ機械の制御装置が採用され始めた当時は、ウ
イルスに感染してシステムダウンに繋がる事例が見られた。現在はでき
る限りインターネットにつなげないような運用を行っている顧客が多
いため、あまりトラブル経験はない。(企業)
調整機関より脆弱性の存在について連絡が受けたことがある。(企業)
脆弱性が発見された場合、ソフトウエアを改修して対応する場合と、ソ
フトウエアを改修せずに使い方や設定などで対応する場合がある。いず
れの場合もアドバイザリを出している。(企業)
4.2.5. IoT 製品における脆弱性対策の促進資料に対する意見
IoT製品における脆弱性対策の促進資料に対する主な意見は以下の通り。
チップ開発者に対するパッチのメンテナンス等、働きかけが必要であ
る。(企業)
リスクの認識、アップデートできる仕組み等の意識付けが重要である。
(企業)
意思決定者が責任を取る必要性が理解できると良い。(企業)
現場に対しては、何をすべきかかみ砕いて説明すること。開発の手間が
減らせる、後で対策しやすくなる等が示せるとよい。(企業)
ユーザー側・開発側ともに、無意味にインターネットに繋ぐことを避け
る旨を記載するとよい(企業)
IoT ネットワークとしてどのようなセキュリティ対策を行えば良いの
かわからないため、セキュリティ対策の参考になるものであるとよい。
(企業)
69
利用者向けの啓蒙活動は必要である。(企業)
利用者のリテラシー教育だけでは難しいため、サービス提供者側がセキ
ュリティを考える必要がある。(企業)
セキュリティにお金を投資することの大切さがわかるものであるよい。
(企業)
セキュリティ対策が商品力としてアピールできることが記載されると
よい。(企業)
4.2.6. パートナーシップに対する意見・要望
情報セキュリティ早期警戒パートナーシップに対する主な意見は以下の通り。
政府や IPAからガイドラインを提供することが望ましい。(企業)
IPA のセキュリティに関する相談窓口機能の認知度を高めてほしい。
(企業)
パートナーシップから提供される情報の基準がわかりにくい。(企業)
団体として、IPAとの情報共有に関する連携体制も検討してよいかもし
れない。(団体)
4.3. まとめ
本調査から、以下の結果が得られた。
(1) セキュリティ対策・脆弱性対処の取組
IoT 製品/サービスのセキュリティ対策・脆弱性対処は、従来のセキュリティ
確保や品質管理の取組みと同様に実施している。
自社が提供する製品・サービスにおいては、利用者や他者に関わる部分のリス
クを下げ、セキュリティを高める設計を行っている。
(取組例)
デバイス側に重要なデータを置かず攻撃者のモチベーションを抑制、自社
のクラウド側にデータを置き、自社の管理下で対策を実施
IoTデバイスとプラットフォーム間でクローズドなネットワークを構築、
プラットフォーム側で処理を集中
インターネット側からプラットフォーム側に直接通信できない仕組み
70
(2) セキュリティ対策・脆弱性対処の課題
顧客においてセキュリティはあって当たり前という考えもあり、セキュリテ
ィだけでは訴求になりにくいという課題があった。
(取組例)
セキュリティだけではなく利便性向上もセットで提案
製品のファームウェア更新が困難な場合があるという回答もあった。
(取組例)
IoTデバイスのファームウェアの更新が困難なケースを想定し、プラット
フォーム側での対応も検討
現在はお客様の同意がなければファームウェアの更新ができないが、将来
的にモノではなくサービスを提供するモデルに変われば、お客様とのサー
ビス契約の中で更新の同意を事前に取得できるようになる
部品等の調達先において脆弱性対処がなされない場合があるという回答もあ
った。
(取組例)
調達品のサポート次第で製品寿命を検討
部品開発者が長期にわたり脆弱性対処が可能かどうかを取引先選定にお
いて考慮
(3) セキュリティ事故経験からの知見
製品の脆弱性については、深刻度は高くなくても、脆弱性が存在するという事
実自体で社会への影響が大きくなる場合がある。社会への情報公開のタイミン
グや内容については検討する必要がある。
(4) 情報セキュリティ早期警戒パートナーシップに対する意見・要望
政府や IPAからガイドラインを提供することが望ましい、IPAのセキュリティ
に関する相談窓口機能の認知度を高めてほしい等の意見が得られた。
ヒアリング調査の結果から、IoT製品・サービスの企画・設計時点ではリスク
を低減する取組が見られた。ただし、脆弱性が発見された場合のパッチの適用や
調達先のサポート切れの課題は認識されていたものの、具体的な取り組みがな
されていなかった。また、セキュリティ事故経験からは、社会への情報公開につ
いて検討する必要性が指摘された。
i
5. 参考 1.IoT 製品・サービスに関する脆弱性対策の実態調査
調査票
I. 貴社の状況についてお伺いします。
基礎設問 1 貴社の主な業種をお答えください。(○は 1つ)
1 食料品、飲料・たばこ・ 飼料製造業 2 繊維工業 3 パルプ・紙・紙加工品製造業
4 化学工業 5 石油・石炭・プラスチック製品 製造業 6 窯業・土石製品製造業
7 鉄鋼業 8 非鉄金属・金属製品製造業 9 電気機械器具製造業
10 情報通信機械器具製造業 11 輸送用機械器具製造業 12 その他機械器具製造業
13 その他の製造業 14 農林漁業・同協同組合、鉱業 15 建設業
16 電気・ガス・熱供給・水道業 17 映像・音声情報制作・放送・通信業 18 新聞・出版業
19 情報サービス業 20 運輸業・郵便業 21 卸売業
22 小売業 23 金融業・保険業 24 医療業(国・公立を除く)
25 教育(国・公立を除く)、学習支援業 26 その他のサービス業
基礎設問 2 貴社の総従業員数(有給役員,正社員・正職員,準社員・準職員,アルバイト等を含む)
について、2016 年度(2016 年 4 月~2017 年 3月)の人数をお答えください。 (○は 1 つ)
※常時従業者の総数。有給役員及び常時雇用者(正社員・正職員、準社員・準職員、アルバイト等、1 ヶ月を超
える雇用契約者)とし、人材派遣業者からの派遣従業者は含めません。
1 1 ~50 名 2 51~100 名 3 101~300 名
4 301 名~500 名 5 501 名~1,000 名 6 1,001 名~3,000 名
7 3,001 名以上 8 わからない
基礎設問 3 貴社の総売上高(単体)について、2016年度(2016年 4月~2017年 3月)の金額を
お答えください。 (○は 1つ)
※決算期が 3 月でない場合、決算期に合わせた回答で構いません。
1 1 億円未満 2 1 億円~10 億円未満 3 10 億円~100 億円未満
4 100 億円~500 億円未満 5 500 億円~1,000 億円未満 6 1,000 億円以上
7 わからない
基礎設問 4 貴社におけるあなたの所属部門として一番近いものをお答えください。(○は 1つ)
【IoT 製品・サービスのセキュリティ確保に責任を持つ部門】
1 企画部門 2 開発設計部門 3 生産技術部門
4 品質管理部門 5 情報システム部門 6 情報セキュリティ部門
【IoT 製品・サービスのアフターサービスに責任を持つ部門】
7 アフターサービス部門
【その他】
8 その他(自由記述: )
ii
II. 貴社で開発・販売している IoT製品・サービスのうち、主要な分野(売上高
が大きい等)の属性についてお伺いします。
問1. 貴社で開発・販売している IoT製品・サービスの主要な分野(売上高が大きい等)として最
も近いものをお答えください。(○は 1 つ)
【コンシューマー向け IoT 機器】
1 テレビ 2 カメラ 3 DVD レコーダー
4 給湯器 5 健康器具類 6 照明機器
7 エアコン 8 ゲーム機
【産業用 IoT 機器】
9 生産設備 10 遠隔監視 11 測位・センシング
【ネットワーク機器】
12 ルーター 13 ストレージ
【関連部品】
14 関連部品(センサー等) 15 通信モジュール 16 ミドルウェア(データ転送・分析等)
【IoT 関連サービス】
17 IoT プラットフォーム(コンシューマー向け) 18 IoT プラットフォーム(産業用)
【その他】
19 その他(自由記述: )
※ここでの「IoT プラットフォーム」とは、IoT 機器からのデータを収集し分析するものや、IoT 機器の管理を行うもの
を指します。
尚、問1でご回答された IoT 製品・サービス分野に関して、問 2~問 17 でご回答いただきます。
具体的には以下のバナーがあるページでは、問 1 でご回答された製品・サービス分野を想定して
お答えください。
(バナー例)
問2. 問 1 でご回答いただいた主要な分野の IoT 製品・サービスについて、主な提供形態につい
てお答えください。(○は 1 つ)
1 製品のみの提供
2 サービスのみの提供
3 製品とサービスの一括提供
4 その他(自由記述: )
問3. 問 1でご回答いただいた主要な分野の IoT 製品・サービスについて、IoT 製品・サービスの
販売単価をお答えください。(○は 1つ)
1 1 千円未満 2 1 千円~1 万円未満 3 1 万円~10 万円未満
4 10 万円~50 万円未満 5 50 万円~100 万円未満 6 100 万円~1000 万円未満
7 1000 万円~1 億円未満 8 1 億円以上 9 わからない
主要な分野の IoT製品・サービスについてご回答ください。
主要な分野の IoT製品・サービスについてご回答ください。
iii
III. IoT 製品・サービスの開発段階のセキュリティ対策ついてお伺いします。
問4. IoT 製品・サービスの開発段階(企画・設計・製造・検査)それぞれのフェーズにおいて、
セキュリティ開発に関する社内方針・基準等はありますか。全体及び開発段階ごとにお答え
ください。(枠内の数字を○で囲んでください。○は 1 つ)
問4-1. 【問 4 で「1. ある」を選んだ方にお伺いします。】 社内方針・基準等を所管して
いる部署はどこですか。(枠内の数字に○で囲んでください。○はそれぞれ 1つ)
問 4 有無 問 4-1 所管部署
IoT 製品・サービスの開発段階全体
(企画・設計・製造・検査)におけるセ
キュリティ開発に関する全社統一の
社内方針
1 ある
2 ない
3 検討中
4 わからない
1 全社部門(情報システム部・品質管理部門等)
2 IoT 製品・サービスの開発(企画・設計・製造・検査)部門
3 わからない
4 その他(自由記述: )
IoT 製品・サービスの企画・設計段
階のセキュリティ開発に関する具体
的な手順・技術詳細の社内規則・基
準
1 ある
2 ない
3 検討中
4 わからない
1 全社部門(情報システム部・品質管理部門等)
2 IoT 製品・サービスの企画・設計部門
3 わからない
4 その他(自由記述: )
IoT 製品・サービスの製造段階のセ
キュリティ開発に関する具体的な手
順・技術詳細の社内規則・基準
1 ある
2 ない
3 検討中
4 わからない
1 全社部門(情報システム部・品質管理部門等)
2 IoT 製品・サービスの製造部門
3 わからない
4 その他(自由記述: )
IoT 製品・サービスの検査段階のセ
キュリティ開発に関する具体的な手
順・技術詳細の社内規則・基準
1 ある
2 ない
3 検討中
4 わからない
1 全社部門(情報システム部・品質管理部門等)
2 IoT 製品・サービスの検査部門
3 わからない
4 その他(自由記述: )
問5. IoT 製品・サービスの各開発段階(企画・設計・製造(テストも含む)・検査)において、
貴社に所属するセキュリティ担当の社員・部門がどの程度関与していますか。(各開発段階
で○は 1 つ。枠内の数字を○で囲んでください。)
段階 貴社に所属するセキュリティ担当の社員・部門の関与
(1)IoT 製品・サービスの企画・設計段階 1 関与している 2 関与していない 3 わからない
(2)IoT 製品・サービスの製造段階 1 関与している 2 関与していない 3 わからない
(3)IoT 製品・サービスの検査段階 1 関与している 2 関与していない 3 わからない
問6. IoT製品・サービスの開発段階(企画・設計・製造・検査)において、脆弱性対策を考慮し
ていますか。(○は 1つ)
1 考慮している 問 6-1へ 2 考慮していない 問7へ 3 わからない 問 7 へ
問6-1. 【問 6 で「1.考慮している」を選んだ方にお伺いします。】考慮している内容をお
選びください。 (○は複数可)
1 セキュアプログラミング技術を適用する
2 コーディング規約を利用する
3 外部のソフトウエア部品(オープンソース等のフリーウェアを含む)を利用する場合、既知の脆弱性が存在しないか確認する
4 製品出荷前に各種のテスト(既知の脆弱性検査、ソースコード検査、ファジングによる未知の脆弱性検出)を実施する
5 ソフトウエア(ファームウェア)の更新機能を実装する
6 その他(自由回答 )
主要な分野の IoT製品・サービスについてご回答ください。
iv
IV. IoT 製品・サービスの販売段階(出荷後)ついてお伺いします。
問7. IoT 製品・サービスのサポート期間中に脆弱性が発見された場合の全社統一の対応方針は
ありますか。(枠内の数字を○で囲んでください。○は 1つ)
問7-1. 【問 7 で「1. ある」を選んだ方にお伺いします。】 全社統一の対応方針を所管
している部署はどこですか。(枠内の数字を○で囲んでください。○は 1つ)
問 7 有無 問 7-1 所管部署
IoT 製品・サービス
のサポート期間中
に脆弱性が発見さ
れた場合の全社統
一の対応方針
1 ある
2 ない
3 検討中
4 わからない
1 全社部門(情報システム部・品質管理部門等)
2 IoT 製品・サービスの開発(企画・設計・製造・検査)部門
3 IoT 製品・サービスのアフターサービス部門
4 わからない
5 その他(自由記述: )
問8. 問 1 でご回答いただいた主要な分野の IoT製品・サービスについて、脆弱性が発見された
ことはありますか。(○は 1 つ)
1 ある 問 8-1 へ 2 ない 問 9 へ 3 わからない 問 9 へ
問8-1. 【問 8 で「1. ある」を選んだ方にお伺いします。】 問 1でご回答いただいた主要
な分野の IoT 製品・サービスの脆弱性について、どのような経路で発見・指摘される
ことが多いですか。(○は複数可)
1 社内の脆弱性検査 2 顧客からの指摘 3 セキュリティ企業からの指摘
4 IPA・JPCERT/CC からの連絡 5 バグバウンティ制度を通じた指摘 6 SOC 等による異常の検知
7 わからない 8 その他(自由記述: )
問8-2. 【問 8 で「1. ある」を選んだ方にお伺いします。】 脆弱性が発見された場合、ど
のような脆弱性対策を顧客に提供することが多いですか。(○は複数可)
1 パッチの作成、リリース 問 8-2-1 へ 2 回避策の提供 問 8-2-3 へ
3 後継製品への乗り換え 問 8-2-3 へ 4 脆弱性対策は行わない 問 10 へ
5 その他(自由記述: ) 問 9 へ
問8-2-1 【問 8-2 で「1. パッチの作成、リリース」を選んだ方にお伺いします。】 パ
ッチを作成した後、IoT 製品・サービスへのパッチ適用はどのような方法で実施し
ていましたか。(○は複数可)
1 パッチをウェブサイト等で配布するなどして、顧客が自らパッチを適用する
2 自動でパッチが適用される仕組みとなっている
3 顧客に製品を販売店等に持ち込んでもらい、回収した上でパッチを適用する
4 保守要員等、製品開発企業または関連企業のスタッフを、製品が設置されている箇所に派遣し、パッ
チを適用する
5 IoT サービスの開発者・提供者がパッチを適用する
6 その他(自由記述: )
主要な分野の IoT製品・サービスについてご回答ください。
v
問8-2-2 【問 8-2 で「1. パッチの作成、リリース」を選んだ方にお伺いします。】 脆
弱性対策に関するパッチのリリース後 1年以内における、顧客側でのおおよその適
用率はどの程度ですか。(○は 1つ)
1 ~25% 2 26%~50% 3 51%~75% 4 76%~100%
5 パッチ適用率は把握しているが、回答できない 6 パッチ適用率は把握していない
問8-2-3 【問 8-2 で「1. パッチの作成、リリース」または「2. 回避策の提供」または
「3. 後継製品への乗り換え」を選んだ方にお伺いします。】 パッチの適用または
回避策の提供または後継製品の乗り換えについて、どのような方法で顧客に周知し
ましたか。それぞれついて周知方法をお答えください。(✔は各列につき、複数可。
「5.その他」にあたる場合は自由記述欄にご記入ください。)
「1. パッチの作成、リ
リース」を選んだ方
「2. 回避策の提供」を
選んだ方
「3. 後継製品への乗り
換え」を選んだ方
1 自社の HP 上に掲載 □ □ □
2 新聞等メディアへの掲載 □ □ □
3 顧客へのメールや手紙の
送付
□ □ □
4 JVN ( Japan Vulnerability
Notes)での公表 □ □ □
5 その他
(自由記述欄) (自由記述欄) (自由記述欄)
問9. 顧客側におけるパッチの適用率を上げるために、どのような取り組みを行っていますか。
(○は複数可)
1 取扱説明書にパッチ適用の実施の必要性について記載している
2 パッチのリリースに関する通知が製品・サービスに表示される仕組みを導入している
3 自社 HP にパッチの適用の実施に関するお願いを掲載している
4 メール等の連絡手段を用い、顧客に対しパッチの適用に関する通知を行っている
5 顧客のパッチ適用率を上げる取り組みは特に実施していない
6 その他(自由記述: )
問10. IoT 製品・サービスの脆弱性対策が不可能な場合 2はありますか。(○は 1 つ)
1 ある 問 10-1 へ 2 ない 問 11 へ 3 わからない 問 11へ
問10-1. 【問 10 で「1.ある」を選んだ方にお伺いします。】 脆弱性対策が不可能な場合、
顧客に対し、どのような対応をしますか。(○は複数可)
1 顧客に対し、使用中止の呼びかけ 2 製品回収の実施
3 最新製品・サービスへの切り替え 4 何も実施していない
5 その他(自由記述: )
2 「脆弱性対策が不可能」とは、脆弱性に関するパッチ等の修正プログラムや回避策が適用できない場合を指し
ます。
主要な分野の IoT製品・サービスについてご回答ください。
vi
問10-2. 【問 10 で「1.ある」を選んだ方にお伺いします。】 脆弱性対策が不可能な理由
をお答えください。(○は複数可)
1 IoT 製品・サービスの機能が必要最低限であり、パッチ適用が困難なため
2 連続稼動が前提であり、パッチ適用が困難なため
3 脆弱性対策のための費用が発生するため
4 脆弱性対策を検討する人員が不足しているため
5 その他(自由記述: )
主要な分野の IoT製品・サービスについてご回答ください。
vii
V. 製品・サービスサポート終了後(EOS3/EOL4)ついてお伺いします。
問11. IoT製品・サービスのサポート終了の定義や、サポート終了後に脆弱性が発見された場合
の対応方針に関する社内規則・基準はありますか。(枠内の数字を○で囲んでください。○
は 1つ)
問11-1. 【問 11 で「1. ある」を選んだ方にお伺いします。】 社内規則・基準を所管し
ている部署はどこですか。(枠内の数字を○で囲んでください。○は 1つ)
問 11 有無 問 11-1 所管部署
IoT 製品・サービスの
サポート終了後に脆弱
性が発見された場合の
全社統一の対応方針
1 ある
2 ない
3 検討中
4 わからな
い
1 全社部門(情報システム部・品質管理部門等)
2 IoT 製品・サービスの開発(企画・設計・製造・検査)部門
3 IoT 製品・サービスのアフターサービス部門
4 わからない
5 その他(自由記述: )
問11-2. 【問 11 で「1. ある」を選んだ方にお伺いします。】 社内規則・基準では、ど
のような内容が定められていますか。(○は複数可)
1 EOS/EOL の定義
2 脆弱性対応の実施有無
3 脆弱性対応を行う期間 (例:サポート終了後○○年)
4 脆弱性対応の種類に関する基準 (例:深刻度が高い場合は製品回収を行う)
5 脆弱性対応を実施する際の最終決定者
6 脆弱性対応のためのコストを負担する部署
7 その他(自由記述: )
問12. 問 1 でご回答いただいた主要な分野の IoT 製品・サービスについて、サポート終了後に
脆弱性が発見されたことはありますか。(○は 1つ)
1 ある 問 12-1 へ 2 ない 問 13 へ 3 わからない 問 13へ
問12-1. 【問 12 で「1. ある」を選んだ方にお伺いします。】 IoT 製品・サービスのサポー
ト終了後において、脆弱性が発見された場合、顧客に対して主にどのような対応をし
ましたか。対応された経験が複数回ある場合は、影響度が最も高い脆弱性が発見され
た経験についてお答えください。(○は 1つ)
1 パッチの作成、配信 2 自動パッチの作成、リリース
3 回避策の提供 4 脆弱性対策は行わず、製品・サービスの使用中止を呼びかける
5 脆弱性対策は行わず、製品回収を実施する 6 脆弱性対策は行わず、最新の製品・サービスの利用を呼びかける
7 何も行わない 8 わからない
9 その他(自由記述: )
3 「EOS」とは、End of Sale の略で、製品販売の終了を意味します。 4 「EOL」とは、End of Life の略で、製品サポートの終了を意味します。
主要な分野の IoT製品・サービスについてご回答ください。
viii
VI. セキュリティ対策全般についてお伺いします。
問13. 貴社では、IoT製品・サービスの開発(企画・設計・製造・検査)・販売・サポートにか
かる費用のうち、セキュリティ対策費を考慮していますか。最も近いものをお答えくださ
い。(○は 1 つ)
1 考慮しており、予算として確保している 2 考慮しているが、明示的には予算として確保していない
3 考慮していない 4 その他(自由記述: )
問14. セキュリティ対策を実施した効果として、何がありますか。(○は複数可)
1 セキュアな製品・サービスとして売り出すことで、販売数が増加した
2 製品・サービスのサポート・保守契約加入率が増加した
3 自社製品・サービスの脆弱性による顧客への被害を防ぐことができる
4 レピュテーションリスクを低減できる
5 セキュリティの知見が溜まり、他製品への開発へ活かすことができた
6 企業としてセキュリティ対策に取り組んでいることをアピールできる
7 導入実績として政府機関や大手企業に採用してもらうことができ、製品アピールにプラスになった
8 特にない
9 その他(自由記述: )
問15. セキュリティ対策を実施した悪影響として、何がありますか。(○は複数可)
1 セキュリティ上の理由で実現したい機能が導入できなかった
2 製品の出荷時期が遅れ、販売機会を失った
3 調達部品の単価が上昇した
4 人件費が上昇した
5 管理が煩雑になった (例:セキュリティ基準を満たすかの確認)
6 販売価格が上昇し、競争力が落ちた
7 開発コストの上昇を販売価格に反映できず、利益率が下がった
8 特にない
9 その他(自由記述: )
問16. 貴社における IoT 製品・サービスのセキュリティ対策は十分と考えていますか。(○は1
つ)
1 十分 2 ある程度十分 3 やや不十分 4 不十分
主要な分野の IoT製品・サービスについてご回答ください。
ix
問17. IoT 製品・サービスにおけるセキュリティ対策を実施する上での課題として何がありま
すか。(○は複数可)
【人員・体制】
1 開発段階において、セキュリティ対策のための体制(人員の配置等)に費用をかけられない
2 出荷後の製品に関して、脆弱性等を発見する体制に費用をかけられない (例:SOCの設置、各種テストの実施等)
3 出荷後の製品に脆弱性が発見された場合に、パッチを開発・提供する体制に費用をかけられない
4 社内にセキュリティに知見のある人材が少ない
【意識】
5 IoT 製品・サービス開発部門に所属する社員のセキュリティ対策の必要性・意義に関する認識が低い
6 経営層のセキュリティ対策の必要性・意義に関する認識が低い
7 顧客側にセキュリティ対策を実施する必要性が理解されていない
【コスト・時間】
8 セキュリティ対策を実施すると販売価格が上がる
9 セキュリティコストを販売価格に反映できない
10 IoT 製品・サービスは開発のリードタイムが短く、セキュリティ対策に時間をかけられない
【製品特性】
11 提供している IoT 製品・サービスがパッチを適用できるような構造になっていない
12 提供している IoT 製品・サービスが連続稼動を前提としており、パッチの適用を想定していない
13 自社製品・サービスの中に組み込んだ他社製品に脆弱性が発見された場合の対処が困難
14 実際の製品開発を自社で行っていないため、脆弱性が発見された場合の対処が困難
15 IoT 製品・サービス開発・運用を委託している企業のセキュリティ対策状況が把握できない
16 特にない
17 その他(自由記述: )
主要な分野の IoT製品・サービスについてご回答ください。
x
VII. 自社製品・サービスの脆弱性により、顧客に被害 5が発生、またはその蓋然
性 6があった場合についてお伺いします。
※以降の問 18、及び問 18-1~問 18-6 では、貴社がこれまで開発・販売してきた全ての IoT 製品・サービスを対
象にしてお答えください。
また、複数の被害経験がある場合、一番被害規模が大きかった経験についてお答えください。
問18. 貴社の IoT 製品・サービスの脆弱性によって、顧客に被害が発生、またはその蓋然性が
あった経験はありますか(○は 1つ)
1 実際に顧客に被害が発生した経験がある 問 18-1 へ 2 蓋然性が高まった経験がある 問 18-1 へ
3 ない 問 19 へ 4 わからない 問 19 へ
問18-1. 【問 18 で「1. 実際に顧客に被害が発生した経験がある」、または「2. 蓋然性が高
まった経験がある」を選んだ方にお伺いします。】貴社の IoT 製品・サービスの脆弱性
によって、顧客に被害が発生、またはその蓋然性があった製品・サービスの種類を教
えてください。(○は 1つ)
1 コンシューマー向け IoT 機器 2 産業用 IoT 機器 3 ネットワーク機器
4 関連部品 5 IoT プラットフォーム
6 その他(自由記述: )
問18-2. 【問 18 で「1. 実際に顧客に被害が発生した経験がある」、または「2. 蓋然性が高
まった経験がある」を選んだ方にお伺いします。】貴社の IoT 製品・サービスの脆弱性
によって、顧客にどのような被害が発生、またはその蓋然性がありましたか。(○は複
数可)
1 情報漏えい 2 システム・サービスの障害 3 情報資産の不正利用
4 データの改ざん、消失 5 物理的・人的被害 6 DoS 攻撃の踏み台等、間接的被害
7 その他(自由記述: )
問18-3. 【問 18 で「1. 実際に顧客に被害が発生した経験がある」、または「2. 蓋然性が高
まった経験がある」を選んだ方にお伺いします。】貴社の IoT 製品・サービスの脆弱性
によって、顧客が被害を被った、またはその蓋然性があったことによって、損害賠償
や製品回収等の貴社に対する金銭的損害がどの程度ありましたか。(○は 1つ)
※蓋然性が高まった経験がある場合でも、予防的に緊急パッチのリリースを実施した等、対応に要し
た実コストをお答えください。
1 0 円 2 10 万円未満 3 10 万円~100 万円未満 4 100 万円~300 万円未満
5 300 万円~500 万円未満 6 500 万円~1,000 万円未満 7 1,000 万円~1 億円未満 8 1 億円~10 億円未満
9 10 億円以上 10 わからない
5 ここでの「被害」とは、情報セキュリティに対する侵害、システム・ネットワークの故障・損壊に至った事態を指しま
す。 6 ここでの「蓋然性」とは、IoT 製品・サービスの脆弱性によって、顧客に被害が発生する可能性が高まり、貴社で
対応を行う必要性があった事態を指します。
問 18(関連設問含む)では、貴社がこれまで開発・販売した全ての IoT 製品・サービスを対象にしてご回答ください。
xi
問18-4. 【問 18 で「1. 実際に顧客に被害が発生した経験がある」、または「2. 蓋然性が高
まった経験がある」を選んだ方にお伺いします。】貴社の IoT 製品・サービスの脆弱性
によって、顧客が被害を被った、またはその蓋然性があったことによって、実際にど
のような貴社に対する”非”金銭的損害がありましたか。(○は複数可)
1 企業の信頼の低下 2 企業のブランド力の低下
3 対応に時間がとられることによる人的リソースの不足 4 非金銭的損害はなかった
5 その他(自由記述: )
問18-5. 【問 18 で「1. 実際に顧客に被害が発生した経験がある」、または「2. 蓋然性が高
まった経験がある」を選んだ方にお伺いします。】貴社の IoT 製品・サービスの脆弱性
によって、顧客に被害が発生、またはその蓋然性があった際、実際にどのような対応
を実施しましたか。(○は複数可)
1 緊急パッチのリリース
2 緊急回避策の提供
3 ユーザーに対し、使用中止の呼びかけ
4 製品回収の実施
5 脆弱性対策が実施されている代替製品との交換
6 コールセンターの設置
7 損害賠償の支払い
8 謝罪会見の実施
9 何もせず
10 その他(自由記述: )
問18-6. 【問 18 で「1. 実際に顧客に被害が発生した経験がある」、または「2. 蓋然性が高
まった経験がある」を選んだ方にお伺いします。】貴社の IoT 製品・サービスの脆弱性
によって、顧客に被害が発生、またはその蓋然性があった際に、どのような方法で顧
客に通知しましたか。(○は複数可)
1 自社の HP 上に掲載
2 新聞等メディアへの掲載
3 顧客へのメールや手紙の送付
4 JVN(Japan Vulnerability Notes)での公表
5 その他(自由記述: )
問 18(関連設問含む)では、貴社がこれまで開発・販売した全ての IoT 製品・サービスを対象にしてご回答ください。
xii
VIII. 情報セキュリティ早期警戒パートナーシップ制度ついてお伺いします。
※以降の問 19~問 21-1-1 では、貴社の全ての製品・サービス(IoT製品・サービス以外も含む)を対象にしてお答
えください。
問19. 情報セキュリティ早期警戒パートナーシップ制度について知っていましたか。(○は 1つ)
1 知っている 2 本アンケートで初めて知った
問20. JVN(Japan Vulnerability Notes)を利用したことはありますか。(○は 1 つ)
1 JVN 上で自社製品の脆弱性情報を公開したことがある
2 JVN 上で公表されている脆弱性情報を閲覧したことがある
3 利用したことはない
4 わからない
問21. 脆弱性関連情報に関して製品開発者への連絡および公表を行う調整機関(一般社団法人
JPCERT コーディネーションセンター(JPCERT/CC))から、連絡を受ける担当者や窓口を設
けていますか。(○は 1つ)
1 設けている 問 21-1 へ
2 設けていない 設問は以上です。ご協力ありがとうございました。
3 検討中 設問は以上です。ご協力ありがとうございました。
4 わからない 設問は以上です。ご協力ありがとうございました。
問21-1. 【問 21 で「1. 設けている」を選んだ方にお伺いします。】実際に調整機関からの
連絡を受けて対応したことはありますか。(○は 1つ)
1 ある 問 21-1-1 へ
2 ない 設問は以上です。ご協力ありがとうございました。
3 わからない 設問は以上です。ご協力ありがとうございました。
問21-1-1 【問 21-1 で「1. ある」を選んだ方にお伺いします。】調整機関の対応で気に
なった点や評価できる点はありますか。(○は 1つ)
1 ある
(自由記述: )
2 ない
これ以降の設問では、貴社の全ての製品・サービス(IoT 製品・サービス以外も含む)を対象にしてご回答ください。
xiii
6. 参考 2.アンケート回答企業の属性情報
(1) 業種
図 6.1 業種
0.00.00.00.0 0.5 0.5
0.02.0
14.1
16.6
1.56.38.8
0.0
5.4
0.52.00.0
33.7
0.03.41.0
0.00.0 0.0
3.4
0.5
n=205
食料品、飲料・たばこ・飼料製造業 繊維工業
パルプ・紙・紙加工品製造業 化学工業
石油・石炭・プラスチック製品製造業 窯業・土石製品製造業
鉄鋼業 非鉄金属・金属製品製造業
電気機械器具製造業 情報通信機械器具製造業
輸送用機械器具製造業 その他機械器具製造業
その他の製造業 農林漁業・同協同組合、鉱業
建設業 電気・ガス・熱供給・水道業
映像・音声情報制作・放送・通信業 新聞・出版業
情報サービス業 運輸業・郵便業
卸売業 小売業
金融業・保険業 医療業(国・公立を除く)
教育(国・公立を除く)、学習支援業 その他のサービス業
無回答
xiv
(2) 総従業員
図 6.2 総従業員
(3) 総高売上
「1000億円以上」 (25.9%)が最も多い。
図 6.3 総高売上
25.4
9.3
11.79.3
10.2
11.2
22.4
0.0 0.5
n=205
1~50名
51~100名
101~300名
301名~500名
501名~1,000名
1,001名~3,000名
3,001名以上
わからない
無回答
11.7
17.1
21.517.1
3.9
25.9
2.0 1.0
n=205
1億円未満
1億円~10億円未満
10億円~100億円未満
100億円~500億円未満
500億円~1,000億円未満
1,000億円以上
わからない
無回答
xv
(4) 回答者の所属部門
図 6.4 回答者の所属部門
22.0
38.5
1.5
7.3
9.3
3.42.9 14.1
1.0
n=205
企画部門
開発設計部門
生産技術部門
品質管理部門
情報システム部門
情報セキュリティ部門
アフターサービス部門
その他
無回答
