IoTセキュリティ
23.Jun.2021
IoTセキュリティ法規への認識を深め 国際的レベルへの到達を支援するOnward Security
約10年間の発展の影響で、IoTの各領域への浸透が加速し始めました。消費者に便利な生活をもたらすと同時に、サイバーセキュリティの問題も浮かび上がりつつあります。それゆえに、Onward Securityの最高技術責任者である劉作仁は製造企業に対して、国際的なセキュリティ基準に合わせる必要性を特別に強調しています。発売スケジュールと製品性能に対する要求はもちろん、グローバルIoT市場に進出するため、国際的なセキュリティ基準にも満足する必要があるということです。彼は「世界へ~IoTセキュリティの国際標準化」をテーマにした講演会で、各国で採用されているサイバーセキュリティ基準、そして製造企業が認証を申し込む際によくある問題に対して意見を発表しました。
劉作仁は、日米欧三大市場におけるサイバーセキュリティ基準および認証基準はすでに定めてあると指摘しています。2019年に通過されたEUサイバーセキュリティ法(Cybersecurity Act)はその例として、情報通信製品の認証をBasic、Substantial、Highという三つのレベルに分けています。各レベルに対応するサイバーセキュリティ基準はまだ存在しませんが、Basic LevelならETSI EN 303 645、Substantial LevelならIEC 62443-4-1およびIEC 62443-4-2、HighならCC EAL 4+というように、必要とされる認証はそれぞれあると予想されます。米国の場合、不正なアクセスを防ぎ、ハッキングのリスクを軽減するため、製品に共通の初期パスワードを設定することを禁止するSB-327が比較的に有名です。
また、アメリカ食品医薬品局(FDA)も2018年に医療機器市販前届出のサイバーセキュリティ管理内容に関するガイダンス草案を発表しました。そして市販後にも第三者機関のセキュリティ基準に合わせるよう要求しています。日本の場合、2019年にIoT製品のセキュリティ対策が修正され、電気通信事業法の改正によるサイバーセキュリティの強化が求められていました。
各国の基準のほか、国際認証機関のサイバーセキュリティ基準も完備になりつつあります。関連基準に合わせるため、大手企業たちは製造企業に製品認証の取得を要求するようになりました。製品の設計から開発、生産までの各段階に対応する書類および関連技術がそれぞれ要求されているISO 15408はすべての認証基準の中で一番厳しい共通基準であります。そのため、多数の大手グローバル企業および欧米政府はそれを採用し、または参考の基準にしています。標準に合う国際的レベルの製造企業になるため、その基準に準拠して認証を取得することは不可欠であります。
ISO 15408のような共通基準のほか、特定産業および設備向けの基準もあります。例えば、暗号アルゴリズムおよびモジュールの国際標準化を求めるFIPS 140-3、近年では産業制御分野で一番人気の産業用サイバーセキュリティ基準であるIEC 62443、テレマティクスシステムに注目するIS0 21434などが現在よく使われている認証基準です。
各協会の認証条例をまとめてみると、すべてリスク管理、ソフトウェア更新、パスワード設置、製品脆弱性報告などの内容が含まれていると、劉作仁は指摘しています。台湾の製造企業にとって、サイバーセキュリティ条例は比較的になじみのない分野であるため、設計および認証時にキーポイントを見つけ出しにくいとみられています。したがって、外部から専門的なノウハウを入れ、製品の認証スケジュールを加速することを勧めると言っています。
劉作仁によると、長年にわたって認証分野で深い経験を持つOnward Securityは、大手認定機関と大手メーカーから認定を取得した試験所だけでなく、専門的チームも完備しています。例えばISA/IEC 62443に準拠して発行された17枚の認証書の中で、6枚を所持することがその実力の証明です。また、相談サービスと訓練コースも提供しているため、企業はそれを利用し、関連条例の要点を十分に把握することができます。さらに、社内のシード教師の養成とサイバーセキュリティ法規に対する認識の強化も、国際的レベルに上がることに繋がります。
劉作仁は、日米欧三大市場におけるサイバーセキュリティ基準および認証基準はすでに定めてあると指摘しています。2019年に通過されたEUサイバーセキュリティ法(Cybersecurity Act)はその例として、情報通信製品の認証をBasic、Substantial、Highという三つのレベルに分けています。各レベルに対応するサイバーセキュリティ基準はまだ存在しませんが、Basic LevelならETSI EN 303 645、Substantial LevelならIEC 62443-4-1およびIEC 62443-4-2、HighならCC EAL 4+というように、必要とされる認証はそれぞれあると予想されます。米国の場合、不正なアクセスを防ぎ、ハッキングのリスクを軽減するため、製品に共通の初期パスワードを設定することを禁止するSB-327が比較的に有名です。
また、アメリカ食品医薬品局(FDA)も2018年に医療機器市販前届出のサイバーセキュリティ管理内容に関するガイダンス草案を発表しました。そして市販後にも第三者機関のセキュリティ基準に合わせるよう要求しています。日本の場合、2019年にIoT製品のセキュリティ対策が修正され、電気通信事業法の改正によるサイバーセキュリティの強化が求められていました。
各国の基準のほか、国際認証機関のサイバーセキュリティ基準も完備になりつつあります。関連基準に合わせるため、大手企業たちは製造企業に製品認証の取得を要求するようになりました。製品の設計から開発、生産までの各段階に対応する書類および関連技術がそれぞれ要求されているISO 15408はすべての認証基準の中で一番厳しい共通基準であります。そのため、多数の大手グローバル企業および欧米政府はそれを採用し、または参考の基準にしています。標準に合う国際的レベルの製造企業になるため、その基準に準拠して認証を取得することは不可欠であります。
ISO 15408のような共通基準のほか、特定産業および設備向けの基準もあります。例えば、暗号アルゴリズムおよびモジュールの国際標準化を求めるFIPS 140-3、近年では産業制御分野で一番人気の産業用サイバーセキュリティ基準であるIEC 62443、テレマティクスシステムに注目するIS0 21434などが現在よく使われている認証基準です。
各協会の認証条例をまとめてみると、すべてリスク管理、ソフトウェア更新、パスワード設置、製品脆弱性報告などの内容が含まれていると、劉作仁は指摘しています。台湾の製造企業にとって、サイバーセキュリティ条例は比較的になじみのない分野であるため、設計および認証時にキーポイントを見つけ出しにくいとみられています。したがって、外部から専門的なノウハウを入れ、製品の認証スケジュールを加速することを勧めると言っています。
劉作仁によると、長年にわたって認証分野で深い経験を持つOnward Securityは、大手認定機関と大手メーカーから認定を取得した試験所だけでなく、専門的チームも完備しています。例えばISA/IEC 62443に準拠して発行された17枚の認証書の中で、6枚を所持することがその実力の証明です。また、相談サービスと訓練コースも提供しているため、企業はそれを利用し、関連条例の要点を十分に把握することができます。さらに、社内のシード教師の養成とサイバーセキュリティ法規に対する認識の強化も、国際的レベルに上がることに繋がります。
