セキュリティ要件適合評価及びラベリング制度(JC-STAR)の「★3(レベル3)」基準案で意見公募、政府・重要インフラ向け通信機器などが対象 IPA
IoT製品の「セキュリティ要件適合評価及びラベリング制度」(JC-STAR)の「★3(星3つ)」(レベル3)に関して、セキュリティ要件および適合基準の原案が公表されました。レベル3は政府機関や重要インフラ事業者などが利用することを想定しているIoT機器が対象です。原案を作成、公表した情報処理推進機構(IPA)は幅広く意見を募集しており、12月12日までメールで受け付けています。
JC-STARはIoT機器のセキュリティ対策がどのレベルまで満たしているかを、星の数で可視化する制度です。星の数は1つ星から4つ星までを設定しています。ただ、セキュリティ要件および適合基準が策定され、運用が始まっているのはレベル1のみです。レベル2以降については順次、策定する方針となっており今般、レベル3について原案が示されました。
レベル3は、一般家庭での利用など民需を想定したレベル1・レベル2とは異なり、政府や地方自治体、重要インフラなどでの利用を前提としています。そのため、セキュリティ対策の評価方式は、レベル1・レベル2が自己適合宣言によるラベル付与となる一方、レベル3以上は第三者認証となります。
セキュリティ要件および適合基準についても、レベル1は統一的なもののみとなっていますが、レベル2以上は製品カテゴリーごとにその特徴に応じた適合基準が策定されることになっています。今回原案が示されたレベル3では、ルーターやネットワークスイッチ、VPNゲートウェイ機能や無線LAN機能などを持つ「通信機器」と「ネットワークカメラ」それぞれについてセキュリティ要件および適合基準が策定されました。
通信機器およびネットワークカメラのレベル3においては、製品のライフサイクルを通じたリスク管理を厳格化し、ソフトウェア・サプライチェーン全体のリスク対策が必須要件となります。
具体的には、SBOM(ソフトウェア部品表)の作成と運用を必須化としています。製造業者はSBOMを用いて、サードパーティ製を含むコンポーネントの脆弱性を定期的に確認し、ライセンス管理やアップデートの優先度判断を行うプロセスを持つことが求められます。
ほかにも例えば、ネットワークカメラが扱う映像・音声情報やAIが生成したデータを「守るべき情報資産」と定義した上で、これら情報の盗聴・改ざんの防止対策、保存データに対する暗号化といった保護策を講じることが義務付けられています。
レジリエンス(回復力・稼働継続性)についてもレベル3では要件が高度化されています。例えば、DoS攻撃(サービス不能攻撃)によってシステムが過負荷状態になったとしてもそこから復旧することや、ネットワークカメラであれば、ネットワーク切断時のデータバッファリング(映像・音声データの欠損を防ぐ)など、連続稼働を支える機能を有するよう、求めています。
さらに、システムの起動時にソフトウェアの改ざんがないかを検証する「セキュアブート」の実装や第三者によるペネトレーションテスト(侵入テスト)の実施および見つかった課題の解消も求められています。
