日本のIoTセキュリティ評価制度と「CCDSサーティフィケーション」の意味

　「IoT（Internet of Things：モノのインターネット）の活用が進む中、IoTセキュリティの規格化・標準化が国内外で加速している（図1）。だが最も早く法令化関連施策に取り組んだのは日本だ」――。重要生活機器連携セキュリティ協議会（CCDS）代表理事の荻野 司 氏は、こう語る（写真1）。

図1：IoTセキュリティの規格化・標準化が日米欧で加速している

　CCDSは2014年10月に産学連携で設立された団体だ。生活機器を対象にしたセキュリティを対象に動向調査や、設計プロセスの開発、検証方法のガイドラインの策定、国際標準化の推進、人材育成や広報・普及啓蒙活動などに取り組んでいる。日本学術振興会の「サイバーセキュリティ第192委員会」を「産学サイバーセキュリティ検討委員会」としてCCDSが引き継いでもいる。

　IoTセキュリティの規格化・標準化にあって荻野氏が「日本が最も早く法令化関連施策に取り組んだ」として挙げるのは、2018年に電気通信事業法の技術基準適合認定にセキュリティ要件の追加を提案したことである。具体的な要件を盛り込んだだけではなく、「ボット化対策として最低限の施策を入れた」（荻野氏）。無線機器に対しては「一定の歯止めを掛けられた」（同）という。

写真1：重要生活機器連携セキュリティ協議会（CCDS）代表理事の荻野 司 氏

米国では2021年のセキュリティ大統領令により整備が加速

　米国で注目すべき法案となったのは2019年の「IoT Cybersecuirity Improvement Act法案」である。翌2020年に米国における現在の基本となるガイドライン「NIST IR 8529」が公開された。

　米国の IoTセキュリティ対策を大幅に進めたのは、コロナ禍の2021年に出されたセキュリティ大統領令「Executive Order 14028」だ。荻野氏は「コンシューマー機器に対応したことで、消費者に向けた推奨基準の作成へとつながり、さらには消費者に分かり易くするためのラベリング法案を固める契機になった」と評価する。

　消費者向けのIoTガイドラインは2022年に「NIST IR 8425（以下、NIST 8425）」として公開された。「政府の後押しを受け民間主導で要件が固まりつつある」と荻野氏は話す。

　NIST 8425は大きく2つのIoTセキュリティ要件を定義している。IoTデバイスの機能要件と、IoT製品の製造者に関する非技術的な要件だ。後者では、製品のライフサイクルを通じたサイバーセキュリティに関連する情報の作成・収集・保管や、顧客からの問い合わせへの対応能力、さらには消費者への教育の実施なども記載されている。

　荻野氏は、「一般家庭や中小企業などIoTやセキュリティの専門家がいないところで、IoTのユーザーを守るための情報提供までがしっかりと記載されている。日本の規格・認証にあっても、NIST 8425が定める非技術的要件をどこまで入れ込むかがポイントになる」とみる。