IoTセキュリティ基準で日・英が相互承認、11か国で多国間枠組みも発足 政府
IoT機器のセキュリティ認証制度について多国間での相互承認の機運が高まっています。日本と英国では来年1月1日からIoT機器セキュリティの認証制度について相互承認が始まります。また、日・英を含む11カ国において「グローバル・サイバーセキュリティ・ラベリング・イニシアティブ(GCLI)」が発足しました。各国それぞれのIoTセキュリティ認証制度について制度の要件を比較・調整し、相互承認できることを目指しています。
経済産業省は11月6日、IoTセキュリティ制度の相互承認を目指す協力覚書(MoC)に日・英が署名したと発表しました。日本の「JC-STAR(セキュリティ要件適合評価及びラベリング制度)」と英国の「製品セキュリティ・電気通信インフラ法(PSTI法)」に基づく製品セキュリティ規制制度において相互承認が可能となります。JC-STARは2025年3月に運用が始まったIoT機器セキュリティの認証制度です。英国のPSTI法との相互承認によって英国市場への販売手続きが簡便になり、事業者の負担が軽減されます。
具体的には、JC-STARの「★1(一つ星)」ラベル(レベル1)は、英国PSTI法が要求する技術基準(3要件)に準拠している製品として扱われます。3要件とは、Passwords(出荷時の共通パスワードの禁止)▽Information on how to report security issues(脆弱性情報の報告)▽Information on minimum security update periods(セキュリティ更新期間の明示)です。製造者向けの具体的な適合証明の方法や運用は決定次第、情報処理推進機構(IPA)のWebサイトで公表します。
MoCにはこのほか、適用される基準の開発、IoTデバイスに対するサイバーセキュリティの脅威と攻撃手法、ベストプラクティスなどについても共有することが盛り込まれています。
グローバル・サイバーセキュリティ・ラベリング・イニシアティブ(GCLI)は、10月23日に発足しました。参加国は日本(経済産業省)と英国(DSIT:科学・イノベーション・技術省)、シンガポール、ブルネイ、アラブ首長国連邦、オーストラリア、ドイツ、フィンランド、韓国、カナダ、ハンガリーの計11カ国です。
サイバー攻撃の高度化と増加を踏まえて各国政府は適切なセキュリティ対策が講じられているIoT機器が普及する仕組みの構築を推進しています。日本政府も同様の取り組みを推進するとともに、日本で認定された製品が他国でも認められるよう、相互承認を重視しています。JC-STARは欧州の規格「ETSI EN 303 645」や米国立標準技術研究所(NIST)が定めたIoT機器向けの要件「NIST IR 8425」などを参考にして制度化されました。英国を皮切りに今後は諸外国との相互承認に向けて情報共有を進めるとしています。
