組込み技術システム協会とセキュアIoTプラットフォーム協議会が国際標準レベルのセキュリティ検査と認定制度を組み合わせた「セキュアIoTプログラム」の普及促進を発表

　インターネット上に接続されるIoTシステムの脆弱性を基点にしたサイバー攻撃が増加しているのは周知のとおりです。設計製造の段階からシステムや機器の脆弱性を排除し、安全であることを求めるセキュリティバイデザインの考え方が重要となってきています。

　またそれに合わせてIEC62443やETSI EN 303 645をはじめとする国際標準やSP800シリーズなどのセキュリティ規格、さらに昨今は欧州においてサイバーレジリエンス法への対応が強く求められるようになってきています。しかしながら事業者側では「具体的に何を対応すればよいのかわからない？」、「取得のためには莫大の費用と長期の検証期間がかかる」などの課題があります。

　そこで、組込みシステムにおける応用技術に関する調査研究、標準化の推進、普及及び啓発等を行うことを目的に設立されたJASAとIoTシステムのセキュリティ担保を推進するSIOTP協議会が連携し、IoTシステムの長期的な安全性確保の為のライフサイクル管理に着目し、必要となる要件を洗い出し、国際標準と照らし合わせながら、セキュリティ検査と認定制度を組み合わせた「セキュアIoTプログラム」を推進することで合意いたしました。

• セキュリティ検査・認定制度のポイント

①真正性の担保(鍵管理、RoT：Root Of Trust）

②認証と識別 (設計・製造、利用、廃棄、リサイクル)

③セキュアアップデート (OTA：Over The Air)

の3点に絞り込み、国際標準(IEC62443-4、ETSI EN 303 645など)との適合性を確認する。

「脆弱性検査・IoTセキュリティ検査」および「セキュアIoT認定」を提供します。

　「セキュアIoT認定」では、産業用システム、業務システム、コンシューマ機器における最終的なIoT機器だけではなく、IoT機器を構成する部品やソフトウェア、システムも認定対象とします。またその認定要件に対する適合性により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定します。

•  全体構成

• 検査基準   

「IoTセキュリティ手引書 Ver 2.0」をベースにしたチェックシート(IEC62443-4準拠)
※「IoTセキュリティ手引書」とは
　国際標準をベースにIoTデバイスに求められる実装レベルのセキュリティ仕様をまとめたドキュメント

•  検査認定対象　

●産業用システム、業務システム、コンシューマ機器

●上記機器を構成する

    ハードウェア

    ソフトウェア

    システム

• 認定グレード

認定要件に対する適合度により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定

•  費用

 認定費用：25万円（税別）
　検査費用は、認定機関よりご請求させていただきます。

検査費用：350万円～（税別）
　検査内容：IoTセキュリティ検査＋脆弱性検査
　検査費用は、検査対象となるシステムにあわせて、指定検査事業者よりお見積りおよびご請求させていただきます。

• 有効期間

認定日より5年間

•  認定マーク

• 認定体制

※指定検査事業者要件

1.ISO/IEC 27001（JIS Q 27001）等の認証取得企業

2.経済産業省「情報セキュリティサービス基準適合サービスリスト」登録企業

3.以下に例示する内容相当の資格を保有し、かつ監査・診断において一定の実務経験がある技術者を要する企業

公認情報セキュリティ監査人、公認システム監査人、CISA、システム監査技術者、情報処理安全確保支援士、CEH、CISSP、CISM、GIAC等

• 詳細・お問合せ

セキュアIoTプログラム

https://www.secureiotplatform.org/s-iot-cert

お問合せ

https://www.secureiotplatform.org/s-iot-cert/contact