IoT製品に対するセキュリティ適合性評価制度とは―IoT製品・サービスを提供する製造業へのインパクト―

  • 2024-11-11

独立行政法人情報処理推進機構(以下、IPA)が2024年9月末にIoTセキュリティ適合性評価及びラベリング制度(JC-STAR)を公開し*1、同制度は2025年春より運用が開始されます(2024年10月現在)。セキュリティレベルを評価し、ラベリングする制度が生まれた背景には、IoT機器の急速な普及に伴うサイバー攻撃によるリスクの高まりがあり、こうした制度の議論・運用は国際的なトレンドにもなっています。本記事では、JC-STAR設立の経緯と制度の内容について解説します。

制度設立の背景と経緯

2022年11月に経済産業省が推進する産業サイバーセキュリティ研究会のワーキンググループ3にて、第1回「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」*1が開催され、「IoT製品に対するセキュリティ適合性評価制度」(以下、IoT適合性評価制度)についての議論が始まりました。

国際的には、既にETSI EN303 645(Cyber Security for Consumer Internet of Things: Baseline Requirements)*2の要件と準拠基準をベースにした民間認証が導入されており、シンガポールでは政府公認のCybersecurity Labelling Scheme(CLS)*3、また米国では一般コンシューマーのセキュリティ面で安全な製品を選択するような購買活動の変容を目論んでCyber Trust Mark*4制度が施行されています。

日本でも、セキュリティ推進策として米国やシンガポールのようなラベリング制度によってセキュリティ面に配慮した製品か否かを識別できる制度の必要性を議論すべきとの声が高まっていたことから、IoT適合性評価制度の検討が始まりました。

2024年度からは「具体的な要件をどのような内容にするか」「製品分野共通のベースライン要件を何にするか」といった議論を通じて具体的なレベルで案が作成され、このほどパブリックコメント*5を経て、IoT適合性評価制度の方針*6が固まりました。

★1(レベル1)の要件

「★1」の要件として何を採用するか――。プレ委員会ではさまざまな視点から意見が挙げられました。当初は、「すでに一定の認知度と普及が進んでいるETSI EN 303 645と同じでよい」という議論もあったようですが、世界各地で議論されているラベリングの要件をより広く見渡し、特にフィンランドやドイツが相互認証を取っているシンガポールのCLSの要件や、米国NISTのIoTセキュリティ要件のほか、日本でもすでに実施されている総務省の技術適合要件や重要生活機器連携セキュリティ協議会(CCDS)の民間認証プログラムの要件、英国PSTI法の要件などを参考に議論がなされ、最終的に16の要件に絞られました。そして、大きく以下の4つの脅威に対して、IoT機器の技術適合基準が13件、IoT機器を提供するベンダーへの脆弱性情報対応基準が3件、それぞれ定義されました。

IoT機器・ベンダーが考慮すべき4つの脅威:

  1. 情報漏洩、改ざん、機能異常を引き起こすマルウェア感染や踏み台攻撃を目論む外部からの不正アクセス
  2. 情報漏洩を引き起こす運用中の通信の盗聴
  3. 情報漏洩を引き起こす廃棄後・転売先の機器からの情報詐取
  4. ネットワーク切断や停電時からの復旧時の異常動作誘発

IoT製品に対する適合基準:

  • 識別・認証・アクセス制御
    • 適切な認証に基づくアクセス制御
    • 容易に推測可能なデフォルトパスワードの禁止
    • パスワードなどの認証値の変更機能
    • ネットワーク経由のユーザ認証に対する総当たり攻撃からの保護
  • 脆弱性対策、ソフトウェア更新
    • ソフトウェアコンポーネントのアップデート機能
    • 容易かつ分かりやすいアップデート手順
    • アップデート前のソフトウェアの完全性の確認機能
    • ユーザが型式番号を認識可能とする記載・機能
  • インタフェースへの論理アクセス
    • 不要かつリスクの高いインタフェースの無効化(物理的・論理的な通信ポートなど)
  • データ保護
    • 製品に保存される守るべき情報の保護(保存データの暗号化、匿名化など)
    • ネットワーク経由で伝送される守るべき情報の保護(通信の暗号化、保護された通信環境の利用など)
    • 製品内に保存される守るべき情報の削除機能
  • レジリエンス向上
    • 停電・ネットワーク停止などからの復旧時の認証情報やソフトウェア設定の維持(初期状態に戻らないこと)
  • 情報提供
    • ユーザへのセキュアな利用・廃棄方法に関する情報提供(初期設定手順、セキュリティ更新、サポート期限、安全な廃棄手順など)
  • 情報・問い合わせの受付、情報提供
    • 連絡先・手続きなどの脆弱性開示ポリシーの公開
    • セキュリティアップデートの優先度決定方針の文書化

このように、ネットワークにつながり、他の機器やクラウドなどと連携するIoT機器に対し、過去のさまざまなインシデント事例からどのIoT機器にも生じ得る留意すべき脅威を特定し、その脅威にさらされてもなおIoT機器のセキュリティ耐性を確保できるように基礎的な要件が選定されました。また、IoT機器のセキュリティ強度はリリースされたタイミングが最も高く、運用中に脆弱性が発覚していくため、IoT機器を提供する事業者に対して、IoT機器をセキュアな状態で利用し続けられるよう、保守するための情報提供や問い合わせおよび報告受付窓口などを装備することも要件として定められました。

今後の動き

制度施行までのスケジュール

2024年度末(2025年3月)より、申請受付を開始する計画となっています。

経済産業省でのIoT適合性評価制度の普及促進

経済産業省では、IoT適合性評価制度(JC-STAR)によって適合ラベルを付与されたIoT製品を積極的に利用していくユーザの開拓を進める予定です。今後は、政府・重要インフラ・地方自治体向けの各ガイドラインに、本制度による適合ラベル付与製品の調達に関する方針が盛り込まれる予定となっています。なお、すでに政府統一基準群のガイドライン*7には本制度が反映されています。

同ガイドラインによると、「2025年度中に本制度の★1以上を取得していることを機器などの選定基準に含めるとともに、以降も、★2、★3以上の対象機器の拡充に応じて選定基準への反映を順次行っていく」と記載されています。

残る課題

JC-STARは、海外で先行する同様の制度の要件を参考にしたとはいえ、独自の要件セットとしてまとめられています。したがって、世界各地で販売を行うIoT製品の製造者の立場で考えれば、この認証を取得したとしても、海外各地で普及しているIoT適合性評価制度と相互承認されるわけではありません。米国でのCyber Trust MarkというIoT適合性評価制度が導入された際も、適合ラベル取得要件の国際ハーモナイゼーションが強く求められていました。今後は、日本も欧州や米国、アジア太平洋地域でのIoT適合性評価制度と相互承認されるスキームにこの制度を見直していくことが求められるでしょう。

また、主に製品ベンダーへの普及促進が目的である、前述の相互認証に関する施策だけでなく、消費者に対してもこの適合ラベルがあればセキュリティの面で安心して使える製品であることを周知するなど、製品ベンダー・消費者の両面から理解を得ることも普及に向けた大きな課題です。

まとめ

経済産業省での2年にわたる議論と、制度案に対するパブリックコメントを受けて、スキームオーナーであるIPAによって、2025年3月からの制度施行に向けた準備が進められています。この制度による適合ラベルの取得は必須ではありませんが、適合ラベルがある製品とない製品が市場に並ぶとき、ユーザが適合ラベルに注目してIoT製品を購入する、政府調達要件に適合ラベルの取得が入ってくる、という世界が近づいてきています。IoT製品のセキュリティ品質に投資し、適合ラベルによってそのセキュリティ品質の高さをユーザに訴求していくIoT製品の提供者が増えていくことが期待されます。

*1: セキュリティ要件適合評価及びラベリング制度(JC-STAR)
https://www.ipa.go.jp/security/jc-star/index.html

*2: 経済産業省 産業サイバーセキュリティ研究会ワーキンググループ3(IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/index.html

*3: ETSI EN303 645
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf

*4: CLS
https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme

*5: Cyber Trust Mark
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/iot-product-us-cyber-trust-mark03.html

*6: IoT製品に対するセキュリティ適合性評価制度構築方針案に対する意見公募
https://www.meti.go.jp/press/2023/03/20240315005/20240315005.html

*7: IoT製品に対するセキュリティ適合性評価制度構築方針案に対する意見公募手続の結果について
https://public-comment.e-gov.go.jp/pcm/1040?CLASSNAME=PCM1040&id=595224006&Mode=1

*8: NISC 政府機関等の対策基準策定のためのガイドライン(令和5年度版)
https://www.nisc.go.jp/pdf/policy/general/guider6.pdf

執筆者

和栗 直英

シニアマネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

本ページに関するお問い合わせ

フォーム

関連サービス