• Column
  • 社会の成長を止めないIoTセキュリティの姿

日本のIoTセキュリティ評価制度と「CCDSサーティフィケーション」の意味

「IoTセキュリティフォーラム2023」より、重要生活機器連携セキュリティ協議会(CCDS)の荻野 司 氏

中村 仁美(ITジャーナリスト)
2023年10月27日

欧州はセキュリティ関連施策を “投網”のように展開

 一方、欧州では 2022年9月、「欧州サイバーレジリエンス法案(EU Cyber Resilience Act:CRA)」が策定された。2025年後半からの施行が予定されている。

 CRAでは、メーカーやソフトウェアベンダーに対し、第三者機関による評価を義務づけ、違反した場合は最大1500万ユーロあるいは総売上高の2.5%のうち高い金額が制裁金として科せられる。セキュリティ事故が発生すれば、24時間以内に「ENISA(欧州連合サイバーセキュリティ機関)」への報告が求められる。

 CRAとは別に荻野氏が着目するのが、「EUサイバーセキュリティ法(EUCC)」と、2025年8月に施行予定の「RED(EU無線機器指令)」である。EUCCはコモンクライテリア(国際規格)の後継制度として「かなり厳密なプロセスチェックが求められる。これをどこまで参考にするかが問われている」と荻野氏は指摘する。

 欧州の動きを荻野氏は「投網だ」と指摘する。「REDやEUCCでカバーできなかった対象を拾うために“投網”のように策定されたのがCRAだと考えられる」(同)からだ。

日本は認証制度の2025年の開始を目標に

 さまざまなIoTセキュリティの認証制度が出される中、日本企業の対応策として荻野氏は、「NIST 8425とCCDS2023の要件を読めば、ほぼ十分ではないか」と断言する。そのうえで荻野氏は、日本の認証制度の確立に向けて3つのポイントを挙げる。

ポイント1

経年変化するセキュリティに合わせ、アップデートできる仕組みを盛り込むこと。非営利組織で柔軟に動ける体制にすることが大事である

ポイント2

日本としての適用基準を作成すること。米国から持ち込んだ基準では実状に合わないことがある。結果、ドキュメントチェックが多く認証にかかるコストが増大する。差分だけをチェックできるような軽い検査プロセスが重要になる

ポイント3

社会実装に向けては、メーカーと消費者の双方にインセンティブが必要になること。認証コストの削減も重要だが、消費者に対して「安心・安全に使える」というメリットの提供が求められる

 日本の適合性評価制度の発足に向けては現在、レベル1のIoT機器に最低限求められる対策の統一的なスキームが検討されている。さらに「CCDSサーティフィケーションプログラム」では既にレベル2、レベル3の検討も進んでいる(図2)。業界別の製品分野別要件を作成し、既存制度との連携・合流を予定する。

図2:「適合性評価制度」と「CCDSサーティフィケーションプログラム」の対応

 適合性評価制度検討会では、認証を効率化する仕組みも検討している。型式認証申請書の自動受け付けや形式チェックのほか、サプライチェーンリスクを避けるためのSBOM(ソフトウェア部品表)を採り入れる。脆弱性データベース「JVN」を使ってSBOMの脆弱性をチェックし、メーカーに脆弱性を通知する仕組みなどを計画している。

 適合性評価においてポイントになるのが「責任分解点だ」と荻野氏は指摘する。そのうえで検証事業者やメーカーに対しては「自己適合宣言の申請を依頼する」(同)という。「自己適合を宣言できる仕組みを2023年度中に検討し、2024年度から実施したい。民間主導で進められるよう柔軟な体制を構築し、広く一般に認知を広めたい」と荻野氏は意気込む。