IoT製品に対するセキュリティ適合性評価制度とは―IoT製品・サービスを提供する製造業へのインパクト―
2022年11月から経済産業省の産業サイバーセキュリティ研究会にて「IoT適合性評価制度」の議論が始まりました。IoT製品のセキュリティ品質に投資し、認証マークによってそのセキュリティ品質の高さをユーザに訴求するIoT製品提供者の増加が期待されます。
独立行政法人情報処理推進機構(以下、IPA)が2024年9月末にIoT製品に関する「セキュリティ要件適合評価及びラベリング制度」(以下、JC-STAR)*1を公開し、2025年春より運用が開始されます(2024年10月現在の予定)。セキュリティレベルを評価、ラベリングする制度(以下、IoT適合性評価制度)が生まれた背景には、IoT機器の急速な普及に伴うリスクの高まりがあり、こうした制度の構築・運用は国際的なトレンドにもなっています。
本稿では、IoT適合性評価制度や製品セキュリティにおける基本概念ともいえるSecure by Design、Secure by Default、Secure by Demandという‟3つのD”によって期待されるセキュアなIoT社会について解説します。
IoT適合性評価制度とは
IoT適合性評価制度は、IoT機器に対するサイバー攻撃によるリスクに対応した安心・安全な製品の普及促進のために、セキュリティ品質を評価し、適合ラベルの付与によって可視化する制度を指します。日本国内においては、2024年9月にIPAによってJC-STARと呼ばれるIoT適合性評価制度が公開されました。グローバルでは、米国の「U.S. Cyber Trust Mark」やシンガポールの「Cybersecurity Labeling Scheme(CLS)」などの任意制度のほか、EUの「Cyber Resilience Act(CRA)」や英国の「PSTI法(Product Security and Telecommunication Infrastracture Act)」といった規則が存在し、特に後者の「規則」に関してはグローバル展開している製造業にとって、今まさに対応が急務となっている状況です。
製品セキュリティにおける“3つのD”
製品セキュリティにおける基本概念に、Secure by DesignおよびDefaultがあります。これは、脅威分析やリスク評価による合理的な保護機能が設計に組み込まれ、また保護機能の一部においては、追加料金や手順を必要とせず、最低限の脅威から保護されるよう機能を設計し、消費者に提供することを意味します。この2つの概念は製品を対象としたものですが、その一方で、消費者がよりセキュリティ品質の高い製品を調達する際の選定基準の考え方として、Secure by Demandが存在します。Secure by Demandについては、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が主にソフトウェア製品を対象にしたガイダンス*2を2024年8月に公表しています。また、国内では、2024年7月に一部改定された、政府統一基準群のガイドライン*3に日本の制度が反映されており、今後IoT適合性評価制度の普及とともに、消費者がより安心・安全な製品を要求するためのこうした考え方やガイドラインへの制度の盛り込みが広がっていくでしょう。
IoT適合性評価制度によって期待される未来
IoT適合性評価制度の普及は、製品ベンダーがセキュアな製品設計(Secure by Design)をし、標準的かつ分かりやすいセキュリティ機能を提供(Secure by Default)するだけでなく、消費者側も制度によって可視化されたセキュリティ品質に基づいて、より安心・安全な製品を優先的に選択する、あるいは組織内の運用方針をはじめとしたセキュリティルールなどに基づいて積極的に要求(Secure by Demand)するきっかけとなることが期待されます。その結果、製品ベンダーおよび消費者の両者がセキュリティ品質を意識することによる、よりセキュアなIoT社会を実現していくことにつながります。
*1 独立行政法人情報処理推進機構, セキュリティ要件適合評価及びラベリング制度(JC-STAR)
https://www.ipa.go.jp/security/jc-star/index.html
*2 CISA, Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem
https://www.cisa.gov/resources-tools/resources/secure-demand-guide
*3 内閣サイバーセキュリティセンター, 政府機関等の対策基準策定のためのガイドライン(令和5年度版)
https://www.nisc.go.jp/pdf/policy/general/guider6.pdf
*4 経済産業省, IoT製品に対するセキュリティ適合性評価制度構築方針~概要説明資料~
https://public-comment.e-gov.go.jp/pcm/download?seqNo=0000278531
執筆者
和栗 直英
シニアマネージャー, PwCコンサルティング合同会社
IoT適合性評価制度が作るセキュアなIoT社会
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
