セキュアIoTプログラム

「セキュアIoTプログラム」とは

インターネット上に接続されるIoTシステムの脆弱性を基点にしたサイバー攻撃が増加しています。

経済安全保障の議論においても「サプライチェーンの強靭化」や「基幹インフラ安全性強化」がトピックに上げられていますが、脆弱性の放置は致命的なリスクです。

そこでIEC62443をはじめとする国際標準やSP800シリーズなどのセキュリティ規格が定められ、調達基準としても採用され始めていますが、取得のためには莫大の費用と長期の検証期間がかかるため適合できるのが一部の大手企業に限定されるのが現状です。

一般社団法人セキュアIoTプラットフォーム協議会では、IoTシステムに求められるセキュリティ要件を以下の3点に絞り込み「脆弱性検査およびIoTセキュリティ検査」と国際標準への適合性を確認する「セキュアIoT認定」を組合わせたプログラムを立ち上げました。

●くろまるライフサイクル管理
・真正性の担保 (鍵管理、ROT:Root Of Trust)
・認証と識別 (設計・製造、利用、廃棄、リサイクル)
・セキュアアップデート (OTA:Over The Air)

「IoTセキュリティ検査」は、IEC62443をベースに作成された「IoTセキュリティ手引書 Ver 2.0」(2022年1月発行)を基準に実施いたします。

また本プログラムは、産業用システム、業務システム、コンシューマ機器における最終的なIoT機器だけではなく、IoT機器を構成する部品やソフトウェア、システムも認定対象とします。

【プログラム概要】

■しかくプログラム構成

「セキュアIoTプログラム」は、検査(IoTセキュリティ検査・脆弱性検査)と認定(セキュアIoT認定)から構成されます。
検査結果を基に、国際標準との適合性を確認し、その適合度によって認定(Gold/Sliver/Bronze)を付与します。

■しかく認定グレード

認定要件に対する適合性により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定します。

■しかくGoldグレード:Class

Goldグレードの場合は、認定対象システムの利用用途や目的において求められるセキュリティ要件に応じて、適切なClassが、申請時に認証機関より設定されます。(申請者が指定するものではありません)。

Class 対象

Class1 プライバシー情報を扱わない機器またはシステム

Class2 安全性や機密性、プライバシーへの影響が少ない機器またはシステム

Class3 安全性・機密性・プライバシー保護が求められる機器またはシステム

Class4 安全性・機密性・プライバシー保護が厳密に求められる機器またはシステム(重要インフラ)

■しかく認定対象

「セキュアIoT認定」の対象は最終製品に関わらず、IoT機器を構成するハードウェアやソフトウェア単体も検査、認定の対象となります。
またIoTサービスを提供するために利用されるシステムも対象です。

認証対象 具体例

ハードウェア IoTデバイス、入出力デバイス、電子回路(ボード)、電子部品など

ソフトウエア OS、アプリケーション、ファームウェアなど

システム認証局、OCSP、ライフサイクル管理システム、鍵管理システム、OTAシステムなど

■しかく認定有効期間・提供物

「セキュアIoT認定」の有効期間は認定を受けた日より5年間といたします。
また認定を受けたシステムに対しては、認定証書と認定マークが付与されますので、製品HPなどの電子媒体や各種資料、製品パッケージなどの印刷媒体にて利用いただけます。

認定有効期間:認定日より5年間
発行物: 認証証書、認定マーク

■しかく認証マーク

■しかく費用

400万円〜/件
(IoTセキュリティ検査、脆弱性検査、認定費用含む)

申請時に案件に応じて事務局より見積もりを発行いたします。

【認定スキーム】

セキュアIoT認定では、独立性と公平性を担保するために、認定を発行する「認定機関」と検査を実施する「指定検査事業者」の2つの団体で構成されます。

特定の要件を満たした認定機関より指定を受けた「指定検査事業者」は、脆弱性検査およびIoTセキュリティ検査を実施し、その結果を検査結果報告書として認定機会に提出します。認定機関では検査結果報告書を精査し、最終的に認定の判断を行います。
尚、IoTセキュリティ検査は「IoTセキュリティ手引書 Ver2.0」(2022年1月発行)を基準に実施します。

IoTセキュリティ手引書 Ver2.0はこちらからダウンロードできます。

(フォームに氏名記入後、ダウンロードURLが表示されます。)

【検査事業者指定要件】

検査事業者指定基準は、以下の全てを満たすこととします。

•ISO/IEC 27001(JIS Q 27001)の認証取得企業。
•経済産業省「情報セキュリティサービス基準」に適合する事業者であり、IPAが公開する「情報セキュリティサービス基準適合サービスリスト」の情報セキュリティ監査サービスと脆弱性診断サービスの両方のリストに掲載されている事業者。
•以下に示す内容相当の資格を保有し、かつ監査・診断において一定の実務経験がある技術者が検査に従事すること。
-公認情報セキュリティ監査人、公認システム監査人、CISA、システム監査技術者、情報処理安全確保支援士、CEH、CISSP、CISM、GIAC等
•脆弱性診断については、検査事業者の技術と評価の公平性を保つため、検査事業者に拠らず認証機関が提供する共通検査ツールを利用すること。

【申請フロー】

認定を受けたいIoTシステムの製造・提供事業者は指定の申請書を認定機関に提出します。

認定機関ではその対象システムの利用用途や目的に応じてClass分けを行いその結果を申請者に通知します。

その結果および検査内容に合意をいただいた上で、指定検査事業者により検査を実施し、その結果に応じて認定機関より判定結果を通知いたします。

【取得システム一覧】

現在認定されているシステムはこちらから確認いただけます。
https://www.secureiotplatform.org/s-iot-cert/cases

【お問合せ】

お問合せについてはこちらのフォームより「セキュアIoTプログラムについて」のお問合せの趣旨を記載してご連絡ください。