IoT製品のセキュリティ設計、課題は「ルールの明文化」 - IPAが実態調査

の有無は、セーフティ設計の場合が64.9%、セキュリティ設計の場合が54.4%の企業で「明文化されたものはない」ということがわかった。

製品開発において、遵守対象の法令や設計手法の選択などの具体的な基準となる「設計ルール」の有無は、セーフティ設計・セキュリティ設計いずれも約半数の企業が「明文化されたものはない」と回答した。さらに、設計ルールを有していない企業の半数以上が「リーダーなどの判断に任されている」と回答した。

セーフティ設計・セキュリティ設計を行ううえで必要となるそれぞれの要件が発注者側から提示されているかどうかは、約3割が「提示されていない」という結果となった。

セーフティ設計・セキュリティ設計の判断への経営者層の関与は、「経営層が関与」と回答した企業がセーフティ設計は26.4%、セキュリティ設計は29.8%にとどまった。

IPAは、製品開発において、企業全体の基本方針や設計ルールに基づき、想定される安全性のリスクやセキュリティ上の脅威を分析したうえで、コストを踏まえた判断が必要となるが、経営層はあまり関与しておらず、開発現場の判断に依存している傾向があるとまとめている。