「セキュアIoTプログラム」の普及促進を発表

⼀般社団法⼈組込みシステム技術協会（以下JASA）と⼀般社団法⼈セキュア IoT プラットフォーム協議会（以下、SIOTP協議会）は、IoTシステムの安全性を担保するために、国際標準を参照したセキュリティ検査と認定制度を組み合わせた「セキュアIoTプログラム」の普及促進活動を展開し、我が国の安⼼安全な産業の発展に貢献することを発表した。

インターネット上に接続されるIoTシステムの脆弱性を基点にしたサイバー攻撃が増加しているのは周
知のとおりであろう。設計製造の段階からシステムや機器の脆弱性を排除し、安全であることを求めるセキュリティバイデザインの考え⽅が重要となってきている。
またそれに合わせてIEC62443やETSI EN 303 645をはじめとする国際標準やSP800シリーズなどのセキュリティ規格、さらに昨今は欧州においてサイバーレジリエンス法への対応が強く求められるようになってきている。しかしながら事業者側では「具体的に何を対応すればよいのかわからない？」、「取得のためには莫⼤の費⽤と⻑期の検証期間がかかる」などの課題がある。

そこで、組込みシステムにおける応⽤技術に関する調査研究、標準化の推進、普及及び啓発等を⾏うことを⽬的に設⽴されたJASAとIoTシステムのセキュリティ担保を推進するSIOTP協議会が連携し、IoTシステムの⻑期的な安全性確保の為のライフサイクル管理に着⽬し、必要となる要件を洗い出し、国際標準と照らし合わせながら、セキュリティ検査と認定制度を組み合わせた「セキュアIoTプログラム」を推進することで合意した。

セキュリティ検査・認定制度のポイント

①真正性の担保(鍵管理、RoT：Root Of Trust）
②認証と識別 (設計・製造、利⽤、廃棄、リサイクル)
③セキュアアップデート (OTA：Over The Air)
の3点に絞り込み、国際標準(IEC62443-4、ETSI EN 303 645など)との適合性を確認する。
「脆弱性検査・IoTセキュリティ検査」および「セキュアIoT認定」を提供する。
「セキュアIoT認定」では、産業⽤システム、業務システム、コンシューマ機器における最終的なIoT機器だけではなく、IoT機器を構成する部品やソフトウェア、システムも認定対象とします。またその認定要件に対する適合性により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定する。

全体構成

検査基準

「IoTセキュリティ⼿引書 Ver 2.0」をベースにしたチェックシート(IEC62443-4準拠)
※「IoTセキュリティ⼿引書」とは
国際標準をベースにIoTデバイスに求められる実装レベルのセキュリティ仕様をまとめたドキュメント

検査認定対象

●産業⽤システム、業務システム、コンシューマ機器
●上記機器を構成する
ハードウェア
ソフトウェア
システム

認定グレード

認定要件に対する適合度により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定

費⽤

認定費⽤：25万円（税別）
検査費⽤：350万円〜（税別）
検査内容：IoTセキュリティ検査＋脆弱性検査

有効期間

認定⽇より5年間

認定マーク

認定体制

※指定検査事業者要件
1.ISO/IEC 27001（JIS Q 27001）等の認証取得企業
2.経済産業省「情報セキュリティサービス基準適合サービスリスト」登録企業
3.以下に例⽰する内容相当の資格を保有し、かつ監査・診断において⼀定の実務経験がある技術者を要する企業
公認情報セキュリティ監査⼈、公認システム監査⼈、CISA、システム監査技術者、情報処理安全確保⽀
援⼠、CEH、CISSP、CISM、GIAC等

詳細・お問合せ

セキュアIoTプログラム
https://www.secureiotplatform.org/s-iot-cert
お問合せ
https://www.secureiotplatform.org/s-iot-cert/contact

出典：組込み技術システム協会とセキュアIoTプラットフォーム協議会が国際標準レベルのセキュリティ検査と認定制度を組み合わせた「セキュアIoTプログラム」の普及促進を発表