公的機関だけでなく、自治体や民間組織での調達にも利用可能な「ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト」を公開

 IPA(独立行政法人情報処理推進機構)は、政府機関や自治体をはじめネットワークカメラシステムの調達者が活用できる「ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト」を公開した。
近年、公共の場に設置されたネットワークカメラの映像が不特定多数に閲覧できる状態にあったことが指摘され、情報セキュリティ対策の必要性が認識されるようになった。国の機関などがネットワークカメラシステムを調達する際には、その運用において想定される脅威への対策を講ずることが「統一基準」で求められている。
そこで、IPAではより安全な国民サービスを提供するための政府調達推進の一環として、ネットワークカメラシステムの機能と運用におけるセキュリティ上の対策を確認できるチェックリストを公開している。
チェックリストは、「必須要件」と、「条件によっては必須とする要件」との2パターンで構成されている。実現が難しいセキュリティの要件を推奨するものではなく、調達者にとって解りやすく、かつ市場調達の観点からも現実的な要件のみを記載しているのが特徴。これらの要件の策定にあたっては、まずネットワークカメラシステムの実態調査と市場関連製品の調査を行った。そして、①保護すべきデータや想定される脅威の分析、②脅威への対策の洗い出し、③委員会による対策の要件化、を行った。
公開された第1版では、物理的または論理的な閉域網を対象としているが、インターネットに直接接続されたネットワークカメラシステムの追加要件の公開も計画している。
チェックリストは、設計構築・運用・保守・廃棄フェーズがあり、フェーズ毎に調達仕様にそのまま転記して利用できる「仕様書へ記述する要件」と、組織が自ら構築する際に参考となる「組織における対策/運用」が記載されている。
また。チェックリストは、政府機関の調達のみならず自治体や民間組織における調達への活用も可能。なお、検討委員会のメンバーであった横浜市では、平成30年度以降のIoTシステムや製品の調達において、同チェックリストを参照する検討をすでに始めている。
なお、同チェックリストおよび関連する調査資料は、製品のセキュリティに対する仕様変更や、IoTに対する攻撃手法の変化に伴い更新する予定。調達時には以下のURLからダウンロードし、最新のチェックリストの利用を推奨している。

IPA(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/jisec/choutatsu/nwcs/index.html