自動車や家電など製品のセーフティ設計・セキュリティ設計に関する実態調査(企業対象)
2015年09月10日
IPA(独立行政法人情報処理推進機構)技術本部ソフトウェア高信頼化センターは、自動車、スマートフォン、ヘルスケア、スマート家電の4分野を主な対象に、セーフティ設計(*1)・セキュリティ設計(*2)に関する実態調査を実施し、調査結果を2015年9月10日に公開しました。
(*1) 人命や財産の安全を確保するため、設計の段階で安全性に関わるリスク分析とリスク低減を行うこと
(*2) 情報の機密性や完全性などセキュリティを確保するため、設計の段階で脆弱性の低減や脅威への対策を考慮に入れたリスク分析とリスク低減を行うこと
近年、家電製品や自動車などさまざまな製品や機器にネットワーク機能が備わり、インターネットや製品同士の接続を可能とする「IoT製品」の普及が進んでいます。その一方で、このような製品がネットワークに接続可能となることで、これまで想定していなかった事故や故障などの安全性の問題や、外部からの不正アクセスや遠隔操作などセキュリティ上の問題も懸念されます。
今回実施した調査は、今後IoT製品が拡大していくと考えられる「自動車」、「スマートフォン」、「ヘルスケア」、「スマート家電」の4分野を主な対象に、製品のセーフティ設計・セキュリティ設計に対する企業としての認識や取り組みの現状などを把握する目的で実施しました。
調査の結果、「すべての企業が設計の必要性を認識しつつも、半数以上の企業では基本方針が設けられていない」、「開発現場の判断が中心で経営層の関与は少ない」などの実態が明らかとなりました。
IoT製品を安全に利用できるようにするためには、製品開発の設計段階において安全性やセキュリティなどの信頼性をあらかじめ確保しておくことが重要であり、それらを実現するための「セーフティ設計」・「セキュリティ設計」は、経営層が積極的に関与し、企業としての基本方針やルールを設けるなどの取り組みが必要であるにも関わらず、実際は不十分な状況にあると言えます。
今回の調査結果を踏まえIPAは、セーフティ設計、セキュリティ設計導入促進を図るため、経営層の関与のあり方から、どのような設計手法を用いるべきかなどの指針を取りまとめ公開する予定です。
【調査結果のポイント】
(1)7割以上の企業がセーフティ設計・セキュリティ設計を実施はしている
セーフティ設計・セキュリティ設計の実施状況を確認したところ、セーフティ設計では、自動車分野が86.4%と最も多く、最も少ないところでもスマート家電分野の71.4%の企業がセーフティ設計を実施しており、セキュリティ設計では自動車分野では87.5%の企業が、自動車分野以外の3分野すべての企業がセキュリティ設計を実施していることがわかりました。
一方、今回の調査では次のような実態が見えてきました。
(2)すべての企業がセーフティ設計・セキュリティ設計は必要と認識。
しかし、半数以上が「設計に関する基本方針」を設けていない
製品開発におけるセーフティ設計・セキュリティ設計の必要性について確認したところ、回答企業すべてにおいて「どちらか必要」または「両方とも必要」という回答結果となりました。
しかし、製品開発における安全性やセキュリティの方針を示す「設計に関する基本方針」の有無を確認したところ、セーフティ設計では64.9%、セキュリティ設計では54.4%の企業が「明文化されたものはない」ということがわかりました。
このことから、すべての企業がセーフティやセキュリティの必要性を認識しつつも、半数以上の企業が基本方針を設けておらず、企業の認識と実態の乖離が明らかとなりました。
(3)「設計ルール」を有していない企業の半数以上が開発現場の判断に依存
製品開発において、遵守対象の法令や設計手法の選択などの具体的な基準となる「設計ルール」の有無を確認したところ、セーフティ設計・セキュリティ設計ともに約半数の企業が「明文化されたものはない」という回答結果となりました。さらに、設計ルールを有していない企業の半数以上が「リーダーなどの判断に任されている」と回答しており、相当数の企業が設計ルールを有しておらず、開発現場の判断に依存していることがうかがえます。
(4)発注者側からのセーフティ要件・セキュリティ要件は約3割が提示されていない
セーフティ設計・セキュリティ設計を行う上で必要となるそれぞれの要件が発注者側から提示されているか確認したところ、約3割が「提示されていない」という回答結果となりました。
セーフティ設計・セキュリティ設計は製品開発における重要なプロセスでありながら、約3割が明確な要件を提示しないまま、受注者側の判断に依存していることがうかがえます。
(5)セーフティ設計・セキュリティ設計に対する経営層の関与は少ない
セーフティ設計・セキュリティ設計の判断への経営者層の関与を確認したところ、「経営層が関与」と回答した企業は、セーフティ設計は26.4%、セキュリティ設計は29.8%に留まっており、「開発部門のみで判断している」という回答に比べて少ない結果となりました。
製品開発においては、企業全体の基本方針や設計ルールに基づき、想定される安全性のリスクやセキュリティ上の脅威を分析した上で、コストを踏まえた判断が必要となりますが、経営層はあまり関与しておらず、開発現場の判断に依存していることがうかがえます。
【調査概要】
調査対象:自動車・スマートフォン・ヘルスケア・スマート家電および関連部品メーカーなど320企業
調査期間:2015年2月~4月
調査方法:郵送・メールによるアンケート調査
回収結果:68件(有効回収率21.3%)
主な調査項目:
・回答企業の属性
・「セーフティ設計」および「セキュリティ設計」の必要性、取り組み状況
・「設計品質の見える化」の必要性、取り組み状況
詳しいリサーチ内容はネタ元へ
(*1) 人命や財産の安全を確保するため、設計の段階で安全性に関わるリスク分析とリスク低減を行うこと
(*2) 情報の機密性や完全性などセキュリティを確保するため、設計の段階で脆弱性の低減や脅威への対策を考慮に入れたリスク分析とリスク低減を行うこと
近年、家電製品や自動車などさまざまな製品や機器にネットワーク機能が備わり、インターネットや製品同士の接続を可能とする「IoT製品」の普及が進んでいます。その一方で、このような製品がネットワークに接続可能となることで、これまで想定していなかった事故や故障などの安全性の問題や、外部からの不正アクセスや遠隔操作などセキュリティ上の問題も懸念されます。
今回実施した調査は、今後IoT製品が拡大していくと考えられる「自動車」、「スマートフォン」、「ヘルスケア」、「スマート家電」の4分野を主な対象に、製品のセーフティ設計・セキュリティ設計に対する企業としての認識や取り組みの現状などを把握する目的で実施しました。
調査の結果、「すべての企業が設計の必要性を認識しつつも、半数以上の企業では基本方針が設けられていない」、「開発現場の判断が中心で経営層の関与は少ない」などの実態が明らかとなりました。
IoT製品を安全に利用できるようにするためには、製品開発の設計段階において安全性やセキュリティなどの信頼性をあらかじめ確保しておくことが重要であり、それらを実現するための「セーフティ設計」・「セキュリティ設計」は、経営層が積極的に関与し、企業としての基本方針やルールを設けるなどの取り組みが必要であるにも関わらず、実際は不十分な状況にあると言えます。
今回の調査結果を踏まえIPAは、セーフティ設計、セキュリティ設計導入促進を図るため、経営層の関与のあり方から、どのような設計手法を用いるべきかなどの指針を取りまとめ公開する予定です。
【調査結果のポイント】
(1)7割以上の企業がセーフティ設計・セキュリティ設計を実施はしている
セーフティ設計・セキュリティ設計の実施状況を確認したところ、セーフティ設計では、自動車分野が86.4%と最も多く、最も少ないところでもスマート家電分野の71.4%の企業がセーフティ設計を実施しており、セキュリティ設計では自動車分野では87.5%の企業が、自動車分野以外の3分野すべての企業がセキュリティ設計を実施していることがわかりました。
一方、今回の調査では次のような実態が見えてきました。
(2)すべての企業がセーフティ設計・セキュリティ設計は必要と認識。
しかし、半数以上が「設計に関する基本方針」を設けていない
製品開発におけるセーフティ設計・セキュリティ設計の必要性について確認したところ、回答企業すべてにおいて「どちらか必要」または「両方とも必要」という回答結果となりました。
しかし、製品開発における安全性やセキュリティの方針を示す「設計に関する基本方針」の有無を確認したところ、セーフティ設計では64.9%、セキュリティ設計では54.4%の企業が「明文化されたものはない」ということがわかりました。
このことから、すべての企業がセーフティやセキュリティの必要性を認識しつつも、半数以上の企業が基本方針を設けておらず、企業の認識と実態の乖離が明らかとなりました。
(3)「設計ルール」を有していない企業の半数以上が開発現場の判断に依存
製品開発において、遵守対象の法令や設計手法の選択などの具体的な基準となる「設計ルール」の有無を確認したところ、セーフティ設計・セキュリティ設計ともに約半数の企業が「明文化されたものはない」という回答結果となりました。さらに、設計ルールを有していない企業の半数以上が「リーダーなどの判断に任されている」と回答しており、相当数の企業が設計ルールを有しておらず、開発現場の判断に依存していることがうかがえます。
(4)発注者側からのセーフティ要件・セキュリティ要件は約3割が提示されていない
セーフティ設計・セキュリティ設計を行う上で必要となるそれぞれの要件が発注者側から提示されているか確認したところ、約3割が「提示されていない」という回答結果となりました。
セーフティ設計・セキュリティ設計は製品開発における重要なプロセスでありながら、約3割が明確な要件を提示しないまま、受注者側の判断に依存していることがうかがえます。
(5)セーフティ設計・セキュリティ設計に対する経営層の関与は少ない
セーフティ設計・セキュリティ設計の判断への経営者層の関与を確認したところ、「経営層が関与」と回答した企業は、セーフティ設計は26.4%、セキュリティ設計は29.8%に留まっており、「開発部門のみで判断している」という回答に比べて少ない結果となりました。
製品開発においては、企業全体の基本方針や設計ルールに基づき、想定される安全性のリスクやセキュリティ上の脅威を分析した上で、コストを踏まえた判断が必要となりますが、経営層はあまり関与しておらず、開発現場の判断に依存していることがうかがえます。
【調査概要】
調査対象:自動車・スマートフォン・ヘルスケア・スマート家電および関連部品メーカーなど320企業
調査期間:2015年2月~4月
調査方法:郵送・メールによるアンケート調査
回収結果:68件(有効回収率21.3%)
主な調査項目:
・回答企業の属性
・「セーフティ設計」および「セキュリティ設計」の必要性、取り組み状況
・「設計品質の見える化」の必要性、取り組み状況
詳しいリサーチ内容はネタ元へ
[情報処理推進機構]
