IoT機器を狙ったサイバー攻撃の脅威が現実のものとなる中、世界各国でセキュリティ対策の整備が進んでいる。本連載では欧州当局が出すセキュリティ要件や規制動向に焦点を当て、国内製造業が意識すべきポイントを解説していく。
連載第1回目では、Wi-Fi、Bluetoothをはじめとした、無線を利用するIoT(モノのインターネット)機器を欧州で上市する際に必要なRED(Radio Equipment Directive)のArt. 3.3 (e)と(d)、(f)の要求が実行され、それによって2024年8月からサイバーセキュリティ対策が要求されること、そしてこれまで整合規格候補とされていた、欧州電気通信標準化機構(ETSI)のEN 303 645より厳しい規格が策定されるであろうことを解説した。
連載2回目の本稿では、整合規格がまだ決まっていない中、設計開発チームがどのようにサイバーセキュリティ機能の実装をするべきなのかについて解説する。
ETSIが発行したEN 303 645は、その名称を「Cyber Security for Consumer Internet of Things: Baseline Requirements」としている。簡単に言うと、コンシューマー向けIoT機器に求められるサイバーセキュリティの基準と考えることができる。その技術的要件はドキュメントの第5章で、大きく13項目にまとめられている。その目次、日本語訳は以下の通りである。
EN 303 645はサイバーセキュリティの観点から見たとき、ごく基本的な技術的要求事項のみをカバーしている。EN 303 645についてはETSIの委員も2020年12月に行われたカンファレンスのなかで、包括的なサイバーセキュリティの要求事項ではなく、中小企業(SME)でも実現可能なレベルであること、またサイバーセキュリティの基準としてはあくまで“Good”レベルのものであることを説明している。
そのためIoT機器のサイバーセキュリティ対策としては一般的な、ペネトレーションテストや包括的な脆弱性スキャニングなどは求められておらず、サイバーセキュリティ対策としてはベーシックな内容にとどまっている。誤解を恐れずに言うならば、コロナ対策のためには家に帰ったらうがい、手洗いを欠かさずやりましょう、程度の粒度である。
EN 303 645はそのような規格であるがゆえに、REDの整合規格としては不十分ではないかとの議論が、ワーキンググループでなされていた。そのため今後出てくるREDの整合規格はETSI EN 303 645をベースとしながらも、より追加の要求事項が加わると考えるのが自然である。そのため整合規格が決まっていないからと、指をくわえて待つのではなく、まずはETSI EN 303 645の要求事項について熟知したうえで、これらの機能実装に取り組むのが望ましい。
ほとんどのIoT機器はETSI EN 303 645の要求事項すら実現できていないというのが現状であり、これは実際に多数IoT機器のテストを実施しているわれわれの肌感覚とも大きく離れたものではない。設計当初からサイバーセキュリティの要求事項を考慮して開発が進められている機器はそれほど多くない。さらに、セキュリティを考慮している機器でもなんらかの不適合が発見されることは少なくない。
ほとんどの開発現場では、ETSI EN 303 645の対策ですら相当の時間がかかっている。普段の開発業務を続けながら、追加で既存製品のサイバーセキュリティ対策を実装するのは、開発現場に相当な負荷をかけることとなる。RED整合規格の策定を待ってから対策を始めるのではなく、今すぐにできることをまずはやることが、開発現場の負担を軽減することにつながる。またETSI EN 303 645の要求事項を実装することは、RED整合規格の中に含まれる可能性が高いと予想されることから、無駄にはならないと思われる。
連載最終回では、EN 303 645に対応するために、開発チームが何をするべきかについて解説する。解説にあたっては、これから開発を始める製品をETSI EN 303 645の要求事項に沿う形で開発するケースと、既存製品をETSI EN 303 645に対応させる2つのケースをもとに解説を行う。
⇒その他の「欧州のIoT機器セキュリティ対策最新動向」の記事はこちら
⇒製造マネジメントフォーラム過去連載一覧
貝田 章太郎(かいだ しょうたろう)
テュフ ラインランド ジャパン株式会社サイバーセキュリティサービス 室長(APA地域統括)
早稲田大学政治経済学部 政治学科卒業。米国カリフォルニア大学、韓国 漢陽大学に留学。ITのサイバーセキュリティ技術動向に加え、業界別のサイバーセキュリティ法規制や、OT(制御技術)のサイバーセキュリティに詳しく、情報漏洩(ろうえい)対策(TISAX、GDPR、HIPAA)や自動車関連のサイバーセキュリティプロジェクトを数多く手掛ける。近年では産業用ロボット、医療機器などのサイバーセキュリティサービスを開発し、国内外の大手製造業に数多く採用されている。韓国での勤務経験があり、英語だけでなく韓国語も堪能。韓国系自動車OEMのサイバーセキュリティ事情も熟知している。
Copyright © ITmedia, Inc. All Rights Reserved.