テュフズード、ホワイトペーパー「IoT サイバーセキュリティの脅威と規制」を無料公開
国際的な第三者認証機関であるテュフズード(本社:ドイツ・ミュンヘン)は、ホワイトペーパー「IoT サイバーセキュリティの脅威と規制-コネクテッドな世界に向けたモノのインターネット(IoT)」を無料公開した(日本語版あり)。本書では、消費者向けのIoT機器においてサイバーセキュリティが重要となる理由や、製造業者が直面している課題、そして適用規格や各国認証(GMA)に関する情報を解説している。また、2022年8月25日(木)には無料ライブウェビナー「IoT機器における脆弱性とは?」が開催される。
IoT(Internet of Things)機器は、利便性とアクセシビリティを提供する一方で、サイバーリスクに対して脆弱である。スマートホーム・ゲートウェイ、スマートテレビ、スマートホームセキュリティや照明システムなどの消費者向け製品(CIoT:Consumer IoT)は、潜在的なデータセキュリティやプライバシーリスクを引き寄せている。
CIoT機器の保護が不十分な場合、製造業者に責任が問われる場合がある。CIoT機器の需要拡大に伴い、機器の潜在的な脆弱性や設計ミスの影響がより重く、関連リスクはより高まっている。
Florian Wolff von Schutter(テュフズードプロダクトサービス、Head of Cyber Security for CIoT Devices)は次の通り述べている。「2020年には117億個のコネクテッド・IoT機器が世界中で使用されており、2025年までにはこれが300億個に増加すると予想されます。残念なことに、市場の成長に伴い、サイバー犯罪による損失が増加しており、2025年までには世界で10兆ドル以上の損失が発生すると予想しています」。
テュフズードは、ホワイトペーパー「IoT サイバーセキュリティの脅威と規制-コネクテッドな世界に向けたモノのインターネット(IoT)」を無料公開している。本書では、CIoT機器におけるセキュリティリスクや、新しく制定された規制、それらの規制への対応方法が解説されている。
さらに2022年8月25日(木)には、無料ライブウェビナー「IoT機器における脆弱性とは?」が開催される。サイバーセキュリティ対策の第一歩として、「脆弱性」に焦点を当てて基礎から解説が視聴できる。
【無料公開中】ホワイトペーパー「IoT サイバーセキュリティの脅威と規制-コネクテッドな世界に向けたモノのインターネット(IoT)」 日本語版
【受付中】無料ライブウェビナー「IoT機器における脆弱性とは?-サイバーセキュリティ対策の第一歩として、主な脆弱性を基礎から解説!」
日時: 2022年8月25日(木)15:00~15:30
詳細・お申込みはこちら
IoT サイバーセキュリティのポイント |
■ 欧州無線機器(RE)指令により、要求事項が厳格化
欧州委員会によれば、サイバー攻撃の80%以上がワイヤレス、無線機器を標的としている。そのため、欧州RED委任規制2022/30(欧州無線機器指令2014/53/EUを補足する規制)において、スマートフォン、タブレット、電子カメラ、スマートウォッチやフィットネストラッカーなどのウェアラブル機器だけでなく、玩具やベビーモニターなどの機器に対しても、より厳格なサイバーセキュリティ要件が課されることになった。2022年1月12日に公表された本規制により、IoT機器の製造業者には、プライバシー保護、不正リスクの低減、そしてネットワークの安定性を守るための適切な対策の確立が要されることになった(移行期限:2024年8月1日)。従来、この分野では、統一された基準がなかった。したがって製造業者には、移行期限よりも前に、独立した第三者評価を受けることが推奨される。
■ 3C(コネクティビティ、サイバーセキュリティ、コンプライアンス)への要求
CIoT機器の上市に際し、3C(connectivity, cyber security and compliance:コネクティビティ、サイバーセキュリティ、コンプライアンス)への要求が高まっている。コネクティビティの例としては、CIoT機器間のシームレスな通信やアップグレード、更新などの可能性が挙げられる。サイバーセキュリティには、マルウェアによる悪意ある攻撃や、パスワードの脆弱性、暗号化の欠如などに基づく保護が含まれる。コンプライアンスに関しては、サイバーセキュリティの基準や規制および国内の法律を遵守しなければならない。CIoT製品のサイバーセキュリティに関する内容は、ETSI EN 303 645規格がEUや英国で取り上げられているが、米国ではNISTIR 8258規格が適用され、インドやオーストラリアなどでは他の規格が適用されている。さらに複雑なことに、米国、欧州、アジアでは異なるデータ保護とプライバシーに関する法律と規制が適用される。
■ 外部のノウハウを利用するということ
適用される全ての規制を遵守する製造業者は、IoT業界で長期的に成功する可能性が高く、顧客の信頼を得ることができる。社内にサイバーセキュリティの専門家がいるCIoT機器の製造業者であっても、第三者機関のサービスを利用することが推奨される。テュフズードは、基準・指令の実施をサポートするだけでなく、製品固有のリスク分析や、設計・開発段階での試験・検査を実施している。これらのサービスは、データ保護やサイバーセキュリティに対する潜在的な脅威に加え、機能的な安全面も考慮しているものである。テュフズードのサイバーセキュリティ認証(TÜV CSC)をはじめとする認証マークを採用することで、製造業者は、自社の機器が高いレベルのサイバーセキュリティを提供していることを証明し、市場での優位性を確保することができる。