UL Japanは、開発した製品が米国や欧州のIoTセキュリティの法規制に準拠することを示す「IoTセキュリティレーティング」のサービスを日本国内向けに提供開始すると発表した。IEC 62443など従来のIoTセキュリティの国際標準に関する認証を取得するのと比べて、短期間で評価が完了するとともに、コストも大幅に少なくて済むことが特徴だ。
UL Japanは2020年7月16日、オンラインで会見を開き、主に一般消費者向けに開発した機器が米国や欧州のIoT(モノのインターネット)セキュリティの法規制に準拠することを示す「IoTセキュリティレーティング」のサービスを日本国内向けに提供開始すると発表した。IEC 62443など従来のIoTセキュリティの国際標準に関する認証を取得するのと比べて、短期間で評価が完了するとともに、コストも大幅に少なくて済むことが特徴だ。
IoTセキュリティレーティングは、開発した製品のIoTセキュリティのレベルについて、ダイヤモンド、プラチナ、ゴールド、シルバー、ブロンズの5段階の評価を行う。ULによる評価が完了すれば、達成したセキュリティレベルに対応したラベルを貼り付けたり、ECサイトなどで掲示したりして、開発した機器がセキュアなことをユーザーに訴求できる。
同レーティングの基準は「UL MCV 1376」という文書で規定されている。NIST(米国標準技術局)の「NISTIR 8259:Core Cybersecurity Feature Baseline for Securable IoT Devices;A Starting Point for IoT Device Manufacturers」、ETSI(欧州電気通信標準化機構)の「ETSI TS 103 645:Cyber Security for Consumer Internet of Things」、CSDE(セキュアなデジタル経済にむけた国際評議会)の「C2 Consensus on IoT Device Baseline Security(CSDE C2 Consensus)」という、国際的な業界フレームワークとベストプラクティスに基づいている。また、英国のDCMS(デジタル・文化・メディア・スポーツ省)が定めたIoT製品のセキュリティに関する行動規範にも合致するという。
レーティングの評価は、いわゆる“20−80のルール”に基づいており、全てのサイバー攻撃から守り切れるような100%の精度を目指すものではない。定型的な情報提出と体系だった評価基準により、一般的なサイバー攻撃と既知のIoT脆弱性に基づく仕組みが構築できているかを確認するためのものだ。これにより評価を迅速かつ効率的に進められ、初期評価後の定期的な監視も可能になる。
また、レーティングは5段階あるが、機器の使われ方によって求められるレーティングのレベルも異なる。例えば、Bluetoothスピーカーのように、PCなどと無線通信するもののインターネットにつながらない機器の場合は、低レベルのセキュリティ保証があればいいので、レベル1のブロンズでも十分なセキュリティを確保できることになる。一方、IPカメラやルーターなどインターネットから直接アクセスできる機器は、高レベルのセキュリティ保証が必要なので、レベル4のプラチナやレベル5のダイヤモンドでなければ十分にセキュアとはいえなくなる。
このためレーティングの取得プロセスでは、まずULからの質問票への回答に基づいて初期評価と取得すべきレーティングを決定する。この決定に合わせて、満たすべき7カテゴリー/44項目の要求事項を定め、ULに機器を送って実際にセキュリティの評価を行う。その評価結果から、機器のIoTセキュリティレーティングのレベルが確定し、対応するラベルを活用できるようになる。評価には1〜3週間の期間が掛かり、取得したレーティングは1年間利用できる。なお、セキュリティは新たな脆弱性やマルウェアの登場によって状況が変わるため、半年ごとのサーベイランス(監視)が継続されることになっている。サーベイランスをクリアし利用料を支払えば当初の1年間以降の利用継続も可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.