情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度秋期 午前Ⅰ 問12: IoT推進コンソーシアム，総務省，経済産業省が策定した“IoTセキュリティガイドライン（Ver 1.0）”における“要点17.出荷・リリース後も安全安心な状態を

問題本文

IoT推進コンソーシアム，総務省，経済産業省が策定した“IoTセキュリティガイドライン（Ver 1.0）”における“要点17.出荷・リリース後も安全安心な状態を維持する”に対策例として挙げられているものはどれか。

選択肢

• ア.IoT機器及びIoTシステムが収集するセンサデータ，個人情報などの情報の洗い出し，並びに保護すべきデータの特定
• イ.IoT機器のアップデート方法の検討，アップデートなどの機能の搭載，アップデートの実施
• ウ.IoT機器メーカ，IoTシステムやサービスの提供者，利用者の役割の整理
• エ.PDCAサイクルの実施，組織としてIoTシステムやサービスのリスクの認識，対策を行う体制の構築

正解

イ. IoT機器のアップデート方法の検討，アップデートなどの機能の搭載，アップデートの実施

解説

IoTセキュリティガイドラインの要点17「出荷・リリース後も安全安心な状態を維持する」は、出荷後に判明する脆弱性へ継続対応する考え方。具体策はファームウェア等のアップデート機能の搭載と実施で、イが該当する。実務ではOTA更新の仕組みと長期サポート体制がIoT機器のセキュリティ維持の鍵となる。

選択肢ごとの解説

• ア.保護すべきデータの洗い出しは設計・分析段階の対策で、出荷後の維持の要点ではない。
• イ.アップデート機能の搭載と実施は出荷後の安全維持に直結する対策で、これが正解。
• ウ.関係者の役割整理は方針・体制づくりの段階に当たり、要点17の対策例ではない。
• エ.PDCAや体制構築は組織的な管理の取組で、出荷後の維持そのものを指してはいない。