セキュア IoT プラットフォーム協議会(以下、SIOTP協議会)は、IoTシステムの安全性を担保するために、国際標準レベルのセキュリティ検査と認定制度を組合わせた「セキュアIoTプログラム」を2023年2月9日より開始した。
インターネット上に接続されるIoTシステムの脆弱性を基点にしたサイバー攻撃が増加する中、特に近年ではIoT機器の脆弱性放置がリスクとして問題視されている。
その対策としてIEC62443をはじめとする国際標準やSP800シリーズなどのセキュリティ規格が定められ、その一部は調達基準としても採用され始めているものの、「具体的に何を対応すればよいのかわからない」「取得のためには莫大の費用と長期の検証期間がかかる」などの問題があるという。
そこで、SIOTP協議会は、IoTシステムの守るべきセキュリティ要件として、長期的な安全性確保の為のライフサイクル管理に着目し、以下の3点に絞り込む。
- 真正性の担保(鍵管理、RoT:Root Of Trust)
- 認証と識別(設計・製造、利用、廃棄、リサイクル)
- セキュアアップデート(OTA:Over The Air)
その上で、国際標準(IEC62443-4)との適合性を確認する「脆弱性検査・IoTセキュリティ検査」および「セキュアIoT認定」を今回提供する。
「セキュアIoT認定」では、産業用システム、業務システム、コンシューマ機器における最終的なIoT機器だけではなく、IoT機器を構成する部品やソフトウェア、システムも認定対象となる。またその認定要件に対する適合性により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定する。
IoTの急速な拡大に合わせて、IoTデバイスをターゲットとした攻撃も急激に増加している状況を踏まえ、SIOTP協議会では「セキュアIoTプログラム」を推進することで、日本の経済安全保障に寄与する、安全安心なIoTのエコシステムを推進していくとしている。
【関連記事】
・パロアルト、2023年の5大サイバー脅威予測を発表 サプライチェーンや医療IoTのリスクも
・チェック・ポイント、AIを活用した自律型IoTセキュリティ「Quantum Titan」を発表
・IPAがスマート工場のセキュリティリスク調査結果を発表 IoT機器や遠隔制御などの課題や対策を網羅
