2023 年版の IoT 機器セキュリティ要件ガイドライン 適合基準ガイドラインを公開
CCDS サーティフィケーションプログラムの要件、適合基準を改版2023 年版の IoT 機器セキュリティ要件ガイドライン 適合基準ガイドラインを公開
一般社団法人 重要生活機器連携セキュリティ協議会は、2019 年、2021 年にリリースしたガイドライン
を国内外の IoT セキュリティ動向を参考に、対策要件を更新致した。
IoT 機器セキュリティ要件 2023 年版及び、適合基準ガイドライン 2023 年版は、現状のIoT セキュリティ環境を踏まえて必要とするベースライン要件について修正、追加した。
また国内外のガイドライン、特に米国国立標準技術研究所(NIST)より 2022 年 9月に公開された NIST IR 8425 “Profile of the IoT Core Baseline for Consumer IoT Products “※1、欧州電気通信標準化機構(ESTI)より 20220 年 6 月に公開された EN 303 645 v2.1.1 “CyberSecurity for Consumer Internet of Things: Baseline Requirements”※2 も参考にしている。
■ 2023 年版公開文書の主な更新内容と特徴
【2023 年版における新規追加要件】
・ 要件 ID 1-2(追加):データ保護
・ 要件 ID 2-2(追加):製品に関する文書管理
・ 要件 ID 2-3(追加):利用者への情報提供
・ 要件 ID 3-1(追加):ログの記録
※サブセット要件として ID 3-1-1 時間管理機能の要件を追加
【適合基準ガイドラインの特徴】
・ 要件に適合するための具体的な実装例や、実機検査例を記載。
・ 本ガイドラインで対応を推奨しているガイドラインや、参考とした海外ガイドラインの
出典を記載。
・ 別紙 ANNEX1 として、NIST IR 8425、ETSI303 645 及び、欧州のサイバーレジリエンス
法案※3が示す要件と、CCDS のセキュリティ要件との対応資料を記載。
本ガイドラインの詳細は CCDS 公開資料サイト(以下の URL)から。
https://www.ccds.or.jp/public_document/index.html#GR01-2023
※1:米国国立標準技術研究所(NIST)、NIST IR 8425 “Profile of the IoT Core Baseline for Consumer IoT Products”
https://csrc.nist.gov/publications/detail/nistir/8425/final
※2:欧州電気通信標準化機構(ESTI)、ETSI EN 303 645 v2.1.1 “Cyber Security for Consumer Internet of Things:Baseline Requirements”
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf
※3:EUROPEAN COMMISSION、”ANNEXES to the PROPOSAL FOR A REGULATION OF THE EUROPEAN
PARLIAMENT AND OF THE COUCIL”
https://trade.ec.europa.eu/doclib/docs/2021/december/tradoc_159967.pdf
