国際標準を基にしたIoTセキュリティ評価プログラムへ向けて
今回の評価は、国際標準規格であるIEC62443をベースに、実装レベルのセキュリティ仕様をまとめた「IoTセキュリティ仕様書 Ver1.0」(*3) (2020年11月にSIOTP協議会より発行)に基づき、「SIOTP協議会セキュリティチェックシート」を策定し、評価検証したものです。
特に「IoTデバイスの真正性の確保と識別」、「設計・製造から廃棄にいたるプロダクトライフサイクル管理」、「適切なファームウェアアップデート」などIoTシステムに求められるセキュリティ対策が適正に実装され、さらに安全に運用を支援するため管理体制の整備や各種書類の文書化などセキュリティマネージメント観点においても適切に実行されていることを、そのエビデンスを含めて確認いたしました。
今後SIOTP協議会会員が保有する複数のIoTシステムのパイロット検証により明らかになった標準仕様に追加すべき必要要件を洗い出し、「IoTセキュリティ仕様書 Ver1.0」へのフィードバックを行います。
あわせて来年度に向けて、標準化機関との連携も視野に、「SIOTP協議会IoTセキュリティ認定プログラム(仮題)」を立ち上げ、広くIoTシステムやデバイスに対するセキュリティ実装の評価検証を行い、安全性が担保されているシステム、製品に対して認定マークを付与する取り組みを開始します。
●サイバートラスト株式会社「EM Linux」(*1)
長期間使用できるIoT・組込み機器専用の Linuxです。脆弱性に対してパッチを10年(延長可能)提供するため産業機器に最適です。さらに高速起動(Warp!!)、Linux – RTOS 共存、セキュア OS、ドライバー最適化などのカスタマイズ・開発支援をオプション提供します。
●サイバートラスト株式会社「Secure IoT Platform®」(*2)
IoT機器の固有情報と国際基準の電子証明書を組み合わせた機器認証により、機器の本物性を担保するトラストサービスです。PKI(公開鍵暗号基盤)による機器認証によってデータの改ざんやなりすましを防ぎ、セキュアなソフトウェアアップデートを提供します。Secure IoT Platform®によって IoT 機器の製造から設置・運用、廃棄までライフサイクルを通して安心・安全な管理が行えます。
●IoTセキュリティ仕様書 Ver1.0 (*3)
SIOTP協議会「仕様検討部会」では、国際標準IEC62443(特にIEC62443-4)を参考とし、IoTシステムに求められる真正性の担保、設計から廃棄に至る安全なプロダクトライフサイクルの管理、安全なファームウェアのアップデートなどの実現を目指し、研究開発活動を展開。その成果として2020年11月に実装レベルの仕様をまとめた「IoTセキュリティ手引書Ver1.0」をリリース。
https://www.secureiotplatform.org/static/images/20201110.pdf
【セキュアIoTプラットフォーム協議会について】
https://www.secureiotplatform.org
2017年4⽉に設⽴されたセキュアIoTプラットフォーム協議会はIoT機器の利⽤者が安⼼・安全にIoT機器やそのサービスを利活⽤できるよう、全世界標準かつデファクトなセキュリティ基盤の構築を⽬指しています。⽇本産業界の知⾒を集めオープンイノベーションによりIoT機器の製造段階からクラウド環境でのサービスまでを包含したセキュリティ標準化の取り組みを推進しています。