組み込み機器のIoT化は、クラウドを使った統合管理や、遠隔管理・操作などにより、機器の利便性や、新たな活用方法、そしてリモート監視・保守、予防保守による可用性の向上など、さまざまなメリットがあります。

　その一方で、組み込み機器がインターネットに接続されたことにより、サイバー攻撃の標的となる可能性が高まっています。実際、2010年ごろからIoT機器を狙ったプラントやシステムなどへのサイバー攻撃は増加傾向にあり、大きな被害が出ている事例もあります。また大規模なものとしては2016年にWebカメラなどを狙ったマルウェア「Mirai」による攻撃があります。

　このような状況を受けて、欧米では組み込み機器のセキュリティ対策を強化する動きを見せています。米国ではNIST（米国国立標準技術研究所）を中心にIoT機器に関する設計フレームワークを次々と策定。また欧州でもENISA（欧州ネットワーク情報セキュリティ庁）が中心となって、欧州サイバーセキュリティ認証フレームワークの創設に向けて活発な動きを見せています。これらの動きを背景に、欧米では採用・調達にあたって、セキュリティフレームワークへの準拠や、制御システムのセキュリティ標準であるIEC 62443に対応していることを条件にする企業などが増えてきています。

NIST：National Institute of Standards and Technology
ENISA：European Network and Information Security Agency

　このように、これまで以上のセキュリティ対策を求められているIoT機器開発ですが、ハードルの1つが、設計部門の開発ノウハウです。これまでのスタンドアロン環境、クローズドネットワーク環境では、サイバー攻撃を受けることが想定されていなかったため、セキュリティ設計のノウハウが蓄積されていないケースもあります。このため、脆弱性に対する対策が十分ではない可能性が高くなっています。

　また、IoT対応のためのハードウェアやソフトウェアを外部のベンダーから購入して、自社の機器に組み込んでいる場合、サプライチェーンのセキュリティ脅威と向き合うことになります。これは、購入したコンポーネントが持つ脆弱性によって、サイバー攻撃の被害に遭うリスクがあるということです。2020年にはイスラエルのサイバーセキュリティ企業が「Ripple20」と呼ばれるIoT機器の脆弱性を発見しました。これは米国のベンダーが1990年代後半にリリースしたソフトウェアに起因するもので、このソフトウェアを使ったIoT機器は数百万台とも数億台とも言われています。外部ベンダーのコンポーネントはブラックボックス状態であることが一般的ですから、サプライチェーンのセキュリティ脅威への対応は容易ではないことがご理解いただけるでしょう。