セキュアIoTプラットフォーム協議会が国際標準レベルのセキュリティ検査と認定制度を組合わせた「セキュアIoTプログラム」を発表
一般社団法人セキュア IoT プラットフォーム協議会(理事長:辻井 重男、所在地:東京都港区、以下、SIOTP協議会)は、IoTシステムの安全性を担保するために、国際標準レベルのセキュリティ検査と認定制度を組合わせた「セキュアIoTプログラム」を2023年2月9日より開始しました。
インターネット上に接続されるIoTシステムの脆弱性を基点にしたサイバー攻撃が増加し、経済安全保障においても「サプライチェーンの強靭化」や「基幹インフラ安全性強化」がトピックに上げられています。IoT機器の脆弱性の放置は致命的なリスクです。
その対策としてIEC62443をはじめとする国際標準やSP800シリーズなどのセキュリティ規格が定められ、その一部は調達基準としても採用され始めていますが、「具体的に何を対応すればよいのかわからない?」、「取得のためには莫大の費用と長期の検証期間がかかる」などの問題があります。
そこで、SIOTP協議会では、IoTシステムの守るべきセキュリティ要件として、長期的な安全性確保の為のライフサイクル管理に着目し、①真正性の担保(鍵管理、RoT:Root Of Trust)、②認証と識別 (設計・製造、利用、廃棄、リサイクル)、③セキュアアップデート (OTA:Over The Air)の3点に絞り込み、国際標準(IEC62443-4)との適合性を確認する「脆弱性検査・IoTセキュリティ検査」および「セキュアIoT認定」を提供します。
「セキュアIoT認定」では、産業用システム、業務システム、コンシューマ機器における最終的なIoT機器だけではなく、IoT機器を構成する部品やソフトウェア、システムも認定対象とします。またその認定要件に対する適合性により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定します。
世界のIoT機器数の増加は目覚ましく、総務省令和4年度 情報通信白書によると、2024年には398.5億台に達すると予測されています。その中でも産業分野が123.1億台と最も多くの割合を占めています。また分野・産業別では、2021~2024年度の年平均成長率を見ると特に伸びが高いのが、医療(17.3%)、産業用途(16.4%)、コンシューマ(16.1%)の分野です。これらは「セキュアIoTプログラム」においても特に対応を強化していきたい分野です。
このIoTの急速な拡大に合わせて、IoTデバイスをターゲットとした攻撃も急激に増加しています。総務省「ICT サイバーセキュリティ総合対策 2022」によると、2019 年2月よりNICTが実施する、IoT 機器調査する「NOTICE」において、2021年度までに約36,000件が注意喚起されています。また大規模サイバー攻撃観測網(NICTER)が2021年に観測したサイバー攻撃関連通信数(約5,180億パケット)は、3年前との比較では2.4倍、5年前との比較では3.7倍と急速に増加しています。その中でも影響度が大きく、ライフサイクルが長期に渡るIoT機器を狙った攻撃が最も多い状況が報告されています。
このような状況を踏まえて、SIOTP協議会では「セキュアIoTプログラム」を推進することで、日本の経済安全保障に寄与する、安全安心なIoTのエコシステムを推進してまいります。
※「IoTセキュリティ手引書」とは
国際標準をベースにIoTデバイスに求められる実装レベルのセキュリティ仕様をまとめたドキュメント
上記機器を構成する
-ハードウェア
-ソフトウェア
-システム
2 経済産業省「情報セキュリティサービス基準適合サービスリスト」登録企業
3 以下に例示する内容相当の資格を保有し、かつ監査・診断において一定の実務経験がある技術者を要する企業
公認情報セキュリティ監査人、公認システム監査人、CISA、システム監査技術者、情報処理安全確保支援士、CEH、CISSP、CISM、GIAC等
その対策としてIEC62443をはじめとする国際標準やSP800シリーズなどのセキュリティ規格が定められ、その一部は調達基準としても採用され始めていますが、「具体的に何を対応すればよいのかわからない?」、「取得のためには莫大の費用と長期の検証期間がかかる」などの問題があります。
そこで、SIOTP協議会では、IoTシステムの守るべきセキュリティ要件として、長期的な安全性確保の為のライフサイクル管理に着目し、①真正性の担保(鍵管理、RoT:Root Of Trust)、②認証と識別 (設計・製造、利用、廃棄、リサイクル)、③セキュアアップデート (OTA:Over The Air)の3点に絞り込み、国際標準(IEC62443-4)との適合性を確認する「脆弱性検査・IoTセキュリティ検査」および「セキュアIoT認定」を提供します。
「セキュアIoT認定」では、産業用システム、業務システム、コンシューマ機器における最終的なIoT機器だけではなく、IoT機器を構成する部品やソフトウェア、システムも認定対象とします。またその認定要件に対する適合性により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定します。
世界のIoT機器数の増加は目覚ましく、総務省令和4年度 情報通信白書によると、2024年には398.5億台に達すると予測されています。その中でも産業分野が123.1億台と最も多くの割合を占めています。また分野・産業別では、2021~2024年度の年平均成長率を見ると特に伸びが高いのが、医療(17.3%)、産業用途(16.4%)、コンシューマ(16.1%)の分野です。これらは「セキュアIoTプログラム」においても特に対応を強化していきたい分野です。
このIoTの急速な拡大に合わせて、IoTデバイスをターゲットとした攻撃も急激に増加しています。総務省「ICT サイバーセキュリティ総合対策 2022」によると、2019 年2月よりNICTが実施する、IoT 機器調査する「NOTICE」において、2021年度までに約36,000件が注意喚起されています。また大規模サイバー攻撃観測網(NICTER)が2021年に観測したサイバー攻撃関連通信数(約5,180億パケット)は、3年前との比較では2.4倍、5年前との比較では3.7倍と急速に増加しています。その中でも影響度が大きく、ライフサイクルが長期に渡るIoT機器を狙った攻撃が最も多い状況が報告されています。
このような状況を踏まえて、SIOTP協議会では「セキュアIoTプログラム」を推進することで、日本の経済安全保障に寄与する、安全安心なIoTのエコシステムを推進してまいります。
- 全体構成
- 検査基準
※「IoTセキュリティ手引書」とは
国際標準をベースにIoTデバイスに求められる実装レベルのセキュリティ仕様をまとめたドキュメント
- 検査認定対象
上記機器を構成する
-ハードウェア
-ソフトウェア
-システム
- 認定グレード
- 費用
- 有効期間
- 認定マーク
- 認定体制
1 指定検査事業者要 ISO/IEC 27001(JIS Q 27001)等の認証取得企業
2 経済産業省「情報セキュリティサービス基準適合サービスリスト」登録企業
3 以下に例示する内容相当の資格を保有し、かつ監査・診断において一定の実務経験がある技術者を要する企業
公認情報セキュリティ監査人、公認システム監査人、CISA、システム監査技術者、情報処理安全確保支援士、CEH、CISSP、CISM、GIAC等
- 詳細情報
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像