国際標準レベルのセキュリティ検査と認定制度を組合わせた「セキュアIoTプログラム」がスタート
背景
インターネット上に接続されるIoTシステムの脆弱性を基点にしたサイバー攻撃が増加している。
経済安全保障の議論においても「サプライチェーンの強靭化」や「基幹インフラ安全性強化」がトピックに上げられており、脆弱性の放置は致命的なリスクとなる。
IEC62443をはじめとする国際標準やSP800シリーズなどのセキュリティ規格が定められ、調達基準としても採用され始めているが、取得のためには莫大の費用と長期の検証期間がかかるため適合できるのが一部の大手企業に限定されるのが現状となっている。
そこで、一般社団法人セキュアIoTプラットフォーム協議会では、IoTシステムに求められるセキュリティ要件を以下の3点に絞り込み「脆弱性検査およびIoTセキュリティ検査」と国際標準への適合性を確認する「セキュアIoTプログラム」を組合わせたプログラムを立ち上げた。
【検証ポイント】
●ライフサイクル管理
・真正性の担保 (鍵管理、ROT:Root Of Trust)
・認証と識別 (設計・製造、利用、廃棄、リサイクル)
・セキュアアップデート (OTA:Over The Air)
なお「IoTセキュリティ検査」は、IEC62443をベースに作成された「IoTセキュリティ手引書 Ver 2.0」(2022年1月発行)を基準する。
また「セキュアIoTプログラム」は、産業用システム、業務システム、コンシューマ機器における最終的なIoT機器だけではなく、IoT機器を構成する部品やソフトウェア、システムも認定対象とする。
【プログラム概要】
■プログラム構成
「セキュアIoTプログラム」は、検査(IoTセキュリティ検査および脆弱性検査)と認定(セキュアIoT認定:Gold/Sliver/Bronze)から構成される。
検査結果を基に、国際標準との適合性を確認し、その適合度によって認定を付与するプログラムである。
■Goldグレード Class
「セキュアIoT認定」は、認定要件に対する適合度により適切なClassが、申請時に認証機関より「Gold」、「Silver」、「Bronze」の3段階のグレードで認定される。申請者が指定するものではない。
なお、Goldグレードの場合は、認定対象システムの利用用途や目的において求められる。
| Class | 対象 |
| Class1 | プライバシー情報を扱わない機器またはシステム |
| Class2 | 安全性や機密性、プライバシーへの影響が少ない機器またはシステム |
| Class3 | 安全性・機密性・プライバシー保護が求められる機器またはシステム |
| Class4 | 安全性・機密性・プライバシー保護が厳密に求められる機器またはシステム(重要インフラ) |
■認定対象
「セキュアIoT認定」の対象は最終製品に関わらず、IoT機器を構成するハードウェアやソフトウェア単体も検査、認定の対象となる。
またIoTサービスを提供するために利用されるシステムも対象となる。
| 認証対象 | 具体例 |
| ハードウェア | IoTデバイス、入出力デバイス、電子回路(ボード)、電子部品など |
| ソフトウエア | OS、アプリケーション、ファームウェアなど |
| システム | 認証局、OCSP、ライフサイクル管理システム、鍵管理システム、OTAシステムなど |
■認定有効期間・提供物
「セキュアIoT認定」の有効期間は認定を受けた日より5年間。
認定を受けたシステムに対しては、認定証書と認定マークが付与されるので、製品HPなどの電子媒体や各種資料、製品パッケージなどの印刷媒体にて利用が可能。
・認定有効期間:認定日より5年間
・発行物: 認証証書、認定マーク
■認証マーク
■費用
400万円~/件
(IoTセキュリティ検査、脆弱性検査、認定費用含む)
申請時に案件に応じて事務局より見積もりを発行。
■認定スキーム
セキュアIoT認定では、独立性と公平性を担保するために、認定を発行する「認定機関」と検査を実施する「指定検査事業者」の2つの団体で構成される。
特定の要件を満たした認定機関より指定を受けた「指定検査事業者」は、脆弱性検査およびIoTセキュリティ検査を実施し、その結果を検査結果報告書として認定機会に提出。認定機関では検査結果報告書を精査し、最終的に認定の判断を行なう。
尚、IoTセキュリティ検査は「IoTセキュリティ手引書 Ver2.0」(2022年1月発行)を基準に実施される。
IoTセキュリティ手引書 Ver2.0はこちらからダウンロードが可能である。
■検査事業者指定要件
検査事業者指定基準は、以下の全てを満たすことが必要。
| •ISO/IEC 27001(JIS Q 27001)の認証取得企業。 •経済産業省「情報セキュリティサービス基準」に適合する事業者であり、IPAが公開する「情報セキュリティサービス基準適合サービスリスト」の情報セキュリティ監査サービスと脆弱性診断サービスの両方のリストに掲載されている事業者。 •以下に示す内容相当の資格を保有し、かつ監査・診断において一定の実務経験がある技術者が検査に従事すること。 -公認情報セキュリティ監査人、公認システム監査人、CISA、システム監査技術者、情報処理安全確保支援士、CEH、CISSP、CISM、GIAC等 •脆弱性診断については、検査事業者の技術と評価の公平性を保つため、検査事業者に拠らず認証機関が提供する共通検査ツールを利用すること。 |
■申請フロー
認定を受けたいIoTシステムの製造・提供事業者は指定の申請書を認定機関に提出。
認定機関ではその対象システムの利用用途や目的に応じてClass分けを行いその結果を申請者に通知。
その結果および検査内容に合意の上で、指定検査事業者により検査を実施し、その結果に応じて認定機関より判定結果を通知する。
出典:セキュアIoTプラットフォーム協議会が国際標準レベルのセキュリティ検査と認定制度を組合わせた「セキュアIoTプログラム」を発表
