IoT製品に対するセキュリティ適合性評価制度の構築に向けて意見公募を開始、適合基準も一部公表 経産省
掲載:2024年04月01日
サイバー速報
目次
「IoT 製品に対するセキュリティ適合性評価制度構築に向けた検討会」が3月15日に最終とりまとめを公表したことを受け、経済産業省は同日、IoT製品のセキュリティ機能を評価・可視化する制度の構築方針案を作成、意見公募を実施しました(受付は4月15日まで)。
IoT機器の普及に伴ってIoT機器の脆弱性を突いたサイバー攻撃が増加しています。検討会ではIoT製品にセキュリティ対策を求めるガイドラインなどがあるものの、適切なセキュリティ対策が講じられているIoT製品が広く普及する仕組みにはなっていないと指摘。ベンダーに費用が発生する一方、その取り組みを調達者や利用者にアピールする仕組みがないためで、政府主導で制度の整備が必要と提言しました。
意見公募が行われているのは「IoT製品に対するセキュリティ適合性評価制度構築方針案」と「【別添】☆1セキュリティ要件・適合基準」です。同方針案では、IoT製品共通のセキュリティ要求基準を設けるとともに適合性を評価・認証し、ラベルを付与する制度となります。法令に基づく義務ではなく任意制度とし、インターネットプロトコルを使用する通信機能を持つ幅広いIoT製品を対象とします(インターネットに直接接続されない製品を含む)。
セキュリティ要求基準はレベルに応じて「☆1~4」まで定めます。「☆1」は最低限の脅威に対応するための基準となり、「☆1、☆2」は自己適合宣言によってラベルが付与されます。一方、「☆3、☆4」は政府機関や重要インフラ事業者の調達要件になることを想定しており、自己適合宣言ではなく第三者評価による認証、ラベル付与とします。
「☆1」については求めるセキュリティ要件として16項目の適合基準のほか、評価手順などを示しました(【別添】☆1セキュリティ要件・適合基準)。一方、「☆2」以上については2024年度以降に検討を行うとしました。
スキームオーナーは情報処理推進機構(IPA)とし、2024年7~9月頃にIPAが制度の開始について発表する予定です。なお、「☆1」については2025年3月ごろの自己適合宣言受け付けとラベル付与開始を目指す計画です。
参考文献
おすすめ記事
- IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)
- ゼロトラスト・アーキテクチャ導入のための「NIST SP800-207」
- 2024年のセキュリティ動向
- IoTセキュリティガイドライン
- サイバー・フィジカル・セキュリティ対策フレームワーク
- PSIRT
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- ダークネット観測網「NICTER」による2023年版レポートを公開 NICT
- IoT ボットネット対策を強化、「ICTサイバーセキュリティ総合対策2023」を公表 総務省
- ISO/IEC 30147発行を発表、IoTに信頼性を実装するためのシステムライフサイクルプロセスを規定 経産省
- 「IoTセキュリティ手引書Ver1.0」を公開 SIOTP協議会
- IoT機器向けセキュリティチェックリストを公開 JPCERT/CC
- 海外で進む「IoTセキュリティラベリング制度」
- PSTI法
関連サービス
- IoTセキュリティ監査サービス
- PSIRT/DSIRT構築支援サービス
- 制御・OTシステムセキュリティアセスメントコンサルティングサービス
- IT-BCP訓練・演習サービス
- サイバー攻撃対応演習・訓練コンサルティングサービス
- テレワークセキュリティ評価コンサルティングサービス
- CSIRT構築コンサルティングサービス
- グローバルCSIRT構築コンサルティングサービス
- CSIRT実務者向けサイバー演習・訓練コンサルティングサービス
- 脆弱性診断コンサルティングサービス
- レッドチームサイバー演習コンサルティングサービス
- サイバーセキュリティ評価コンサルティングサービス
- サプライチェーンセキュリティ360度評価コンサルティングサービス