基本情報技術者試験 ap-2021r03a-a 午前 問37: IoT 推進コンソーシアム，総務省，経済産業省が策定した“IoT セキュリティガイドライン（Ver 1.0）”における“要点 17. 出荷・リリース後も安全安心

問題本文

IoT 推進コンソーシアム，総務省，経済産業省が策定した“IoT セキュリティガイドライン（Ver 1.0）”における“要点 17. 出荷・リリース後も安全安心な状態を維持する”に対策例として挙げられているものはどれか。

選択肢

• ア.IoT 機器及び IoT システムが収集するセンサデータ，個人情報などの情報の洗い出し，並びに保護すべきデータの特定
• イ.IoT 機器のアップデート方法の検討，アップデートなどの機能の搭載，アップデートの実施
• ウ.IoT 機器メーカ，IoT システムやサービスの提供者，利用者の役割の整理
• エ.PDCA サイクルの実施，組織として IoT システムやサービスのリスクの認識，対策を行う体制の構築

正解

イ. IoT 機器のアップデート方法の検討，アップデートなどの機能の搭載，アップデートの実施

解説

“IoTセキュリティガイドライン”の要点17「出荷・リリース後も安全安心な状態を維持する」に対応する対策例を問う問題である。出荷後に発見された脆弱性へ継続的に対応し安全な状態を保つには、機器のソフトウェアを更新できる仕組みが不可欠である。よって対策例は「IoT機器のアップデート方法の検討、アップデート機能の搭載、アップデートの実施」であり、正解はイ。

選択肢ごとの解説

• ア.収集する情報の洗い出しや保護すべきデータの特定は、設計・分析段階（守るべきものを把握する段階）の対策であり、出荷後の維持を扱う要点17の対策例ではない。
• イ.正しい。出荷・リリース後も安全な状態を維持するには、脆弱性に対応するためのアップデート機能を搭載し更新を実施することが対策例として挙げられている。
• ウ.メーカ・提供者・利用者の役割の整理は、関係者の責任分担を明確にする方針段階の対策であり、出荷後維持の具体策ではない。
• エ.PDCAサイクルの実施や体制の構築は組織としての管理体制（経営・運用方針）に関する対策であり、要点17が示す出荷後のアップデートによる維持の対策例とは異なる。