企業の方と話をすると、IoTのセキュリティというよりクラウドにデータを置くことに対する抵抗が強いように思います。
データが記録されている装置が、物理的に社内にあるのか、社外にあるのかということが、気になっているということでしょう。
気持ちとしてはわかりますが、とちらかというと心理的なもので、現実の危険性とは少し違うように思います。

ATMに現金で入金すると、札束はただの数字になってしまいますが、かえって安心するという人も多いのではないでしょうか。
結局のところ、信頼の問題につきると思います。

◯データ送信のセキュリティ
IoT機は基本的にクラウド(broker)へデータを送信するだけです。したがって、下記のセキュリティを設定します
  1. broker接続に認証を設定する
  2. broker接続をSSLで暗号化通信にする。
  3. 送信元IPアドレス制限をつける
    (固定IPが必要になります)

大手のIoT向けサービスは、上記の設定が標準になっています。これは弊社のサービスでも同じです。

◯データ受信(表示)のセキュリティ
  1. Webサーバー等をSSLで暗号化通信にする。
  2. ダッシュボード等に認証をつける

表示の場合は、送信元IPアドレス制限はつけません。つけることも可能ですが、そうすると、そのIP(社内)からしか閲覧できなくなります(社外からスマホで閲覧はできなくなります)。
まれに「自社のデータが他社にみられると困る」という方もみえますが、"どこからでも"と、"誰からでも"は違います。特定の人だけ閲覧できるようにするのが認証です。
以上