お知らせ

国内外で求められる IoT セキュリティの意味合いと信頼性確保の仕組み

～「IoT 製品に対するセキュリティ適合性評価制度」や諸外国の規格に対する当社の取組みについて～

2024 年 4 月 5 日
サイバートラスト株式会社

サイバートラスト株式会社は、経済産業省が推進する「IoT 製品に対するセキュリティ適合性評価制度」の構築に向けた意見公募を受けて、当社が提供する IoT セキュリティコンサルティングサービスや PKI 技術による機器認証をはじめとする各種サービスによって、IoT 機器メーカーの製品へのセキュリティ実装を支援することを表明します。

近年のデジタル化の進展に伴って、IoT 製品の数が急速に増加するとともに、IoT 製品を狙った攻撃も増加傾向にあります。日々巧妙化してくるサイバー攻撃に対して、製品に潜在する脆弱性を突く攻撃への防御という観点だけではなく、攻撃が成功してしまった後の対策もしっかり考慮する必要があります。
国内では、この先の経済安全保障の推進を受けて重要インフラを中心に関わる製品などへの情報セキュリティ対策と機能が強く求められる時代に突入します。

このセキュリティ適合性評価制度の目的の一つは、諸外国の制度と協調的な制度を構築し、相互承認を図ることとされており、IoT 製品を海外に輸出する際に求められる適合性評価であることは言うまでもありません。

一方、米国の政府機関 NIST（米国国立標準技術研究所）は、「NIST IR 8425」や、「NIST SP800-171」と呼ばれるセキュリティのガイドラインを公開しています。この規格は、直接取引がある企業に加え、サプライチェーンの取引企業すべてを対象に情報セキュリティの向上を求めています。
米国政府は、米国内の多くの産業に対して規格への準拠を求めていくと考えられ、米国企業と取引がある日本企業もその影響を受けることは避けることができません。それぞれの規格が何を要求しているのか、対象は何かなど、組織や製品に求められる情報セキュリティについて多面的な評価が必要となります。
これまでは、サイバー攻撃を防止する対策に重点を置いていましたが、現在はこれに加え、攻撃を受けた後の対策がより重要視されるようになってきたことも考慮することが必要です。

また、米国の規格に加え、欧州サイバーレジリエンス法（CRA）や業界規制／規格などへの対応も急務となってきています。いずれも、国際標準である ISO/IEC27001（ISMS）よりも内容が強化されており、侵入前のインシデント防止（防御）だけではなく、侵入後のインシデント発生以降（検知・対応・復旧）にも対応が求められることになります。

このような諸外国の先進的な取り組みに対し、日本の産業は直ちに対応していくことが重要となってきています。なぜならば、諸外国と合意された情報セキュリティ対策への取組みが、製品そのものの信頼性の確保になるという新しい意味と価値をもつようになったからです。

サイバートラストは、複雑かつ高度化する国際情勢において、特に高度なセキュリティ知識と技術が求められる「識別及び認証」、「リスクアセスメント」、「セキュリティアセスメント」、「システム及び通信の保護」あるいは「システム及び情報の完全性」などの要件に関し、長年にわたる電子認証局運用と国産 OS サポート、脆弱性管理のノウハウの蓄積を活かし、防衛産業や重要インフラ産業に対してビジネスを展開する日本の企業を支援してまいります。