情報処理推進機構(IPA)はこのほど、JC-STARにおける通信機器とネットワークカメラの★3セキュリティ要件を公表しました。JC-STAR(セキュリティ要件適合評価及びラベリング制度)は、IoT製品に対するセキュリティ機能を評価・可視化する制度です。
★3セキュリティ要件は、政府機関や重要インフラ事業者、地方自治体、大企業などの重要なシステムでの利用を想定して満たす必要のあるセキュリティ対策や基準のことで、第三者評価によって要件への適合が示されます。それぞれの機器が考慮すべき脅威と攻撃手法から導出されており、IoT製品が担う対策とIoT製品ベンダーが担う対策とに分けて記載されています。
例えば通信機器については、「脆弱なパスワードの使用による外部からの意図しないアクセス攻撃」という攻撃に対抗するためのセキュリティ要件として、IoT製品は「容易に推測できるパスワードが設定できない仕組みを導入する」、「ブルートフォースによる認証試行を防ぐ仕組みを導入する」、ベンダーは「セキュアな利用方法に関する情報を提供する」といった対策が示されました。
ネットワークカメラに関しては、例として「廃棄・転売等された機器から守るべき情報資産の盗み取り」という脅威に対するセキュリティ要件として、IoT製品は「機器の利用中に保存された情報を、製品本体や関連サービスを介して削除できる機能を提供する」、ベンダーは「セキュアな廃棄方法や初期化・データの削除方法に関する情報を提供する」といった対策が示されました。
このほか、今般公開された文書では、対策のカテゴリごとに要件の詳細や対象外となる場合の条件などが説明されています。
