METIリリース 「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」最終とりまとめを公表
IoT製品の脆弱性を狙ったサイバー脅威が高まっていることを踏まえ、経済産業省では、2022年11月よりIoTセキュリティ適合性評価制度構築に関する検討会を開催し、今般、最終とりまとめを策定した。
まずは2025年3月頃にIoT製品共通の最低限の脅威に対応するための基準に対する自己適合宣言の受付及びラベル付与の開始を目指し、政府機関や重要インフラ事業者等の調達ルールに本制度が活用されるよう働きかける予定。
1.背景・趣旨
近年、デジタル化の進展に伴い、IoT製品の数が急速に増加するとともに、IoT製品を狙った攻撃も増加傾向にあるなど、IoT製品の脆弱性を狙ったサイバー脅威が高まってきています。こうした背景を踏まえ、諸外国ではIoT製品のセキュリティ対策に関する制度検討が進んでいます。
諸外国の取組も踏まえつつ、我が国においても適切なセキュリティ対策が講じられているIoT製品が広まる仕組みを構築することを目指し、経済産業省は、2022年11月に「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」(以下「検討会」という。)を設置し、議論を進めてきました。
国内で構築するIoT製品に対するセキュリティ適合性評価制度(以下「本制度」という。)を、広く普及させ、そして社会に浸透させるために、IoT製品の調達者が自組織の資産をサイバー脅威から保護するべく適切なセキュリティ水準を満たした製品(ラベルが付与された製品)を優先的に選択するように促すと同時に、IoT製品ベンダーが積極的にラベルを取得することを促すことが必要です。このため、検討会では、以下の三点を主目的として制度を検討してきました。
- 政府機関や企業等で調達する製品について、共通的な物差しでIoT製品のセキュリティを評価・可視化できるようにする(特に初期ターゲットとして、政府機関等、重要インフラ事業者、地方公共団体を設定)。
- 特定分野のシステムに組み込まれて調達・利用されるIoT製品に求められるセキュリティ要件を定め、必要な認証・ラベルを各業界団体等で指定できるようにする(業界標準としての活用)。
- 諸外国の制度と協調的な制度を構築し、相互承認を図ることで、IoT製品を海外に輸出する際に求められる適合性評価にかかるIoT製品ベンダーの負担を軽減する。
今般、経済産業省は、検討会としての最終とりまとめを策定しましたので、公表します。最終とりまとめでは、構築すべきセキュリティ適合性評価制度の目的と位置付けや、制度の運用体制や対象とする製品範囲などの制度詳細、制度の発展に向けた施策等について、検討会で頂いた主な御意見及びそれを踏まえて構築すべき制度を示しています。併せて、経済産業省は、最終とりまとめを踏まえた本制度の制度構築方針案を作成し、意見公募を開始(2024年3月15日~4月15日)しました。
2.制度構築方針案の概要
構築するIoTセキュリティ適合性評価制度として、以下の方針とすることを示しています。
- 本制度は任意制度とし、インターネットに直接接続されない製品も含め、インターネットプロトコルを使用する通信機能を持つ幅広いIoT製品を対象(パソコン、スマートフォン等は対象外)とする。
- IoT製品共通の最低限の脅威に対応するための基準(☆1)及びIoT製品類型ごとの特徴に応じた基準(☆2、☆3及び☆4)を定め、求められるセキュリティ水準に応じた複数の適合性評価レベルを用いた制度とする。
- 制度を広く普及させるため、☆1及び☆2については、自己適合宣言によりラベルを付与することとする。一方で、政府機関等や重要インフラ事業者の調達に活用する想定であり、高い信頼性が求められる☆3及び☆4については、独立した第三者による評価を受ける第三者認証によりラベルを付与することとする。
- 制度は、独立行政法人情報処理推進機構(IPA)がスキームオーナーとなり、IPAが現在運営しているITセキュリティ評価及び認証制度(JISEC)を拡張することにより、本制度を含む枠組みとする。
- ETSI EN 303 645(欧州電気通信標準化機構の規格)やNISTIR 8425(米国標準技術研究所のプロファイル)等、IoT製品のサイバーセキュリティに関する海外の主要なガイドラインや国内の関連制度を参考に、検討会において整理された制度全体として求められ得るセキュリティ要件の全体や、実際のIoT製品に対する評価の実証結果も踏まえ、☆1で求めるセキュリティ要件、16項目の適合基準、評価手順を作成した。
3.今後の予定
制度構築方針案に対する意見公募を2024年3月15日~4月15日に実施し、頂いた御意見を踏まえて、2024年7月~9月頃にスキームオーナーとなるIPAから制度開始の正式案内を行う予定です。☆1のセキュリティ適合基準に対する自己適合宣言の受付及びラベル付与の開始については、2025年3月頃を目指す予定です。
IoT製品類型ごとのより高度なセキュリティ適合基準(☆2以上)の検討及び主要国制度との相互承認の方向性の提示については、2024年度以降に実施する予定です。
これらの検討と並行して、政府機関等・重要インフラ事業者・地方公共団体においてIoT製品調達ルールに本制度が活用されるよう働きかけを行う予定です。
関連資料
- IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会最終とりまとめ(本編)(PDF形式:1,968KB)
- IoT製品に対するセキュリティ適合性評価制度構築方針案(本編)(PDF形式:1,735KB)
- IoT製品に対するセキュリティ適合性評価制度構築方針案(概要説明資料)(PDF形式:1,158KB)
関連リンク
- 経済産業省 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会
- IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会最終とりまとめ
- IoT製品に対するセキュリティ適合性評価制度構築方針案に対する意見公募(2024年3月15日~4月15日)
出典:経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始しました