[新動向]

CCDSがIoT機器用のサーティフィケーションプログラムを発表

=守るべきセキュリティ要件の達成度を認定=
2019/11/08
(金)
狐塚 淳 フリーライター

2019年10月30日(水)、フクラシア丸の内オアゾ(東京都千代田区)で、一般社団法人 重要生活機器連携セキュリティ協議会(以下、CCDS)主催の「IoT機器向け サーティフィケーションプログラムキックオフイベント」が開催され、サーティフィケーションプログラムの内容と同プログラム取得製品が紹介された。

IoT機器のセキュリティ要件を協議するCCDS

 CCDS(会長:徳田 英幸(とくだ ひでゆき)、情報通信研究機構 理事長)は、民生機器を中心としたIoT機器やサービスにおけるセキュリティ向上を目指した産学官連携の協議会で、今回IoTセキュリティの要件を定めて、IoT機器向けの「サーティフィケーションプログラム」を開始した(写真1)。

写真1 「IoT機器向け サーティフィケーションプログラムキックオフイベント」の参加者

出所 筆者撮影

 イベントの冒頭、CCDSの代表理事を務める情報セキュリティ大学院大学 客員教授の荻野 司(おぎの つかさ)氏(写真2)は、「日本製品は品質には定評があるが、インターネットに多くの機器がつながる時代には、これに加え安心安全なセキュリティも提供されなくてはならない。そのためには一般消費者に向けたわかりやすい基準作りが必要だ」と、CCDSの活動の背景を説明した。

写真2 CCDSの活動と「IoT機器向け サーティフィケーションプログラム」を紹介した荻野 司氏(重要生活機器連携セキュリティ協議会 代表理事/情報セキュリティ大学院大学 客員教授)

出所 筆者撮影

 CCDSは2014年に設立された非営利団体で、この目標を実現するためにさまざまな協議を重ねてきた。主な事業としては、生活機器の各分野のセキュリティに関する国内外の動向調査、セキュリティ設計プロセスの開発や検証方法のガイドラインの開発・策定および国際標準化の推進、生活機器の検証環境の整備・運用管理と検証事業などを行っている。2019年9月現在、CCDSには産官学195の会員が参加している。
「CCDSでは7つのワークグループで活発な協議を重ね、そこから出てきた成果について、外部有識者を含む『IoTセキュリティ要件諮問委員会』が要件の正しさなどを検討するという体制を取っている」(荻野氏)

 こうしてまとめられた要件から、2018年は「IoT 分野共通セキュリティ要件ガイドライン 2018 年度版(案)」、2019年は「CCDS 製品分野別セキュリティガイドライン_スマートホーム編_1.0版」などを公開している。

IoT関連セキュリティの法制化に向けたプログラム

 続いて荻野氏はIoTを取り巻く各国の動向を紹介。日本でのサイバー・フィジカル・セキュリティ対策フレームワークの策定や「技適」(技術基準適合証明)へのセキュリティ要件追加、米国でのIoT Cybersecurity Actの変更と政府調達の新しい管理基準、EUでのコンシューマIoT向けセキュリティ行動規範13か条などを挙げ、「こうした諸外国のIoT機器セキュリティの法制化に向けた動きを見ると、日本も国内外で戦える製品を作るために、IoT機器セキュリティの要件を確定し、広めていくことが重要だ」と述べ、「サーティフィケーションプログラム」開発の必要性を説明した。

 CCDSが今年4月からトライアルを開始し、今回先進的な企業の製品に初の認定を付与した「サーティフィケーションプログラム」は、SQLインジェクション対策や不要サービスポート課題、アクセスコードの実装方式などIoT機器共通の11のセキュリティ要件(図1)に対して基準を満たした製品に「サーティフィケーションマーク」を付与する仕組みだ。

図1 IoTセキュリティの11の要件

出所 2019年10月30日、一般社団法人重要生活機器連携セキュリティ協議会(CCDS)、発表資料より

 認証は3段階のレベルに分かれ、レベル1はIoT機器として共通する一般的要件(つながる機器として最低のマナー)、レベル2は製品分野別に業界団体などで共有されるべき要件、レベル3は消費者の生命や財産などに関わるスマートハウス機器などに必要な要件として、消費者にもわかりやすいよう1~3個の「★」が付与され、購入時などの安心・安全基準として利用可能になる(図2)。

 「サーティフィケーションマーク」は罰則なしの任意マークだが、製品に対する要件評価はメーカーチェックでも、第三者検証機関に委託しても可。CCDSはマーク発行の役割を担うとともに、検証者の資格要件を定め、そのための講座を実施し、資格者のいるメーカーのみが、自主検証が可能になるという仕組みになっている。現在、認定資格者数は20名弱で、今後講習を通じて年間30~60名を認定していく予定だ。

 なお、マークは毎年更新で、新たな脅威の登場など最新のセキュリティ状況に対応していくという。

図2 CCDSサーティフィケーションマーク

出所 2019年10月30日、一般社団法人重要生活機器連携セキュリティ協議会(CCDS)、発表資料より

ページ

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...