「うちのIoT製品、セキュリティ大丈夫ですか？」——専門家に全部聞いてみた

登場人物

🏭 田中さん（製品開発部長・50代）——従業員80人のネットワーク機器メーカーの開発部長。最近、取引先から「セキュリティ対応は？」と聞かれることが増え、焦り始めている。

🔒 佐藤さん（セキュリティコンサルタント）——大手コンサル出身。製品セキュリティの専門家。

第1章：なぜ急にセキュリティを聞かれるようになったのか

🏭 田中: 佐藤さん、最近ちょっと困っていることがありまして。ここ1〜2年で急に取引先から「セキュリティどうなってますか」って聞かれるようになったんです。

🔒 佐藤: それ、田中さんの会社だけじゃないですよ。背景は大きく3つあります。

まず1つ目が、サプライチェーン攻撃の増加。取引先の機器を踏み台にして侵入する攻撃が増えてるんです。

🏭 田中: つまり、うちの製品が攻撃の入り口になる可能性があるってことですか。

🔒 佐藤: そういうことです。2つ目は制度の動き。JC-STARが始まり、EU CRAが2027年に完全適用されます。3つ目が実際の事故です。

🏭 田中: セキュリティが「技術の問題」じゃなくて「ビジネスの問題」になってきてるってことですね。

第2章：まず何から手をつけるべきか

🏭 田中: 80人規模の会社は何から始めればいいんですか？ 専任者もいないし、予算も限られてます。

🔒 佐藤: 最初にやるべきことは3つ。どれもお金をかけずにすぐ始められます。

1つ目は、脆弱性の受付窓口を作ること。security@yourcompany.co.jpのようなメールアドレスを1つ作って、Webサイトに掲載するだけ。これだけで「窓口がない」から「窓口がある」に変わります。

2つ目は、アップデートの提供方針を決めること。「出荷から5年間、セキュリティに影響する脆弱性が確認された場合はパッチを提供する」——これだけでも、文書があるのとないのでは全然違います。

3つ目は、デフォルトパスワードの見直し。初回ログイン時にパスワード変更を強制するか、製品ごとに個別の初期パスワードを設定するか。ここは対応が必要です。

第3章：セキュリティ質問票に毎回苦労する問題

🏭 田中: もう1つ困ってるのが、取引先から来るセキュリティ質問票です。毎回ゼロから回答してます。

🔒 佐藤: 実は、質問票で聞かれてることの8割は共通してるんですよ。ざっくり分けると6カテゴリに集約されます。

1. 脆弱性管理 — 受付窓口はあるか、対応プロセスは
2. アップデート — パッチ提供方針、サポート期間
3. 開発プロセス — セキュアコーディング、コードレビューの有無
4. 認証・準拠 — JC-STAR、IEC 62443等への対応状況
5. インシデント対応 — 連絡体制、初動対応
6. データ保護 — 暗号化方式、認証方式

この6カテゴリで自社の回答テンプレートを作っておけば、次回からは8割コピペで対応できます。

第4章：JC-STARって取った方がいいんですか？

🔒 佐藤: 結論から言うと、★1は取っておいて損はないです。理由は3つ。

1つ目、★1は自己適合宣言方式なのでハードルが低い。2つ目、取得企業が少ない今のうちに先行者利益がある。3つ目、準備プロセスで自社のセキュリティ状態が棚卸しできる。

🏭 田中: 費用はどれくらいですか？

🔒 佐藤: 申請手数料が198,000円。それ以外は社内の対応工数です。非適合項目が少なければ、2〜3か月で取得できます。

第5章：AIを載せた製品は特別な対応が必要？

🔒 佐藤: AI搭載製品は、従来のIoTセキュリティに加えてAIならではのリスクを考える必要があります。代表的なのは3つ。

1つ目が、学習データの漏洩リスク。AI機能のために収集・保存しているデータが不正にアクセスされないかという問題です。

2つ目が、モデルの改ざん。AIモデル自体が攻撃者によって差し替えられたり、誤った判定をするように操作されるリスクです。

3つ目が、説明責任。「このAIはどういうデータで学習していますか」と聞かれたとき、答えられるかどうか。

第6章：結局、何から始めればいい？

🔒 佐藤: 最初の1週間でできることを3つだけやりましょう。

🏭 田中: これなら今週中にできますね。よし、まずはメールアドレスの作成から始めます。

🔒 佐藤: 完璧なタイミングです。今のうちに準備を始めた会社が、来年以降に差をつけられます。

最後に

「結局うちの場合は何から始めればいいの？」を具体的に整理したい方は、専門家との壁打ちが最も効率的です。