　セキュアIoTプログラムは、国際標準に基づいた「IoTセキュリティ検査」と「セキュアIoT認定」を組み合わせたものだ。設計製造の段階からシステムや機器の脆弱性を排除して安全性を確保する、セキュリティバイデザインの考え方を基本とし、IoT（モノのインターネット）システムの安全性を高めることを目的としている。

　IoTセキュリティ検査では、「真正性の担保（鍵管理、Root of Trust）」「認証と識別（設計や製造、利用、廃棄、リサイクル）」「セキュアアップデート（Over The Air）」の3つのポイントに焦点を当て、IEC62443-4やETSI EN 303 645などの国際標準との適合性を確認する。また、ソースコードやファームウェアの解析、既知脆弱性診断などの脆弱性検査も実施する。

セキュアIoTプログラムの全体構成［クリックで拡大］出所：セキュアIoTプラットフォーム協議会

　セキュアIoT認定では、産業用および業務システム、コンシューマー機器におけるIoT機器に加え、構成部品やソフトウェア、システムも認定対象とする。認定要件への適合性によって「Gold（95％以上）」「Silver（90％以上）」「Bronze（80％以上）」の3段階で認定し、Goldは利用目的などに応じて認定機関が決定する「Class」のIoTセキュリティ検査要件も満たす必要がある。

　費用はIoTセキュリティおよび脆弱性の検査費、認定費を含めて400万円からとなっている（税別）。認定の有効期間は5年間で、ISO/IEC 27001などの認証取得企業や経済産業省「情報セキュリティサービス基準適合サービスリスト」登録企業などが検査を担当する。

セキュアIoTプログラムの認定体制［クリックで拡大］出所：セキュアIoTプラットフォーム協議会

⇒その他の「IoTセキュリティ」の記事はこちら

景気減速でソフト開発の脆弱性対応が後手に？ SBOM整備の取り組みも足踏みか
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2024 オープンソース・セキュリティ＆リスク分析（OSSRA）レポート」の結果について説明した。
製造業大国の日本とドイツと中国の違い、DevSecOpsの現状比較から見えるもの
日本シノプシスは、ソフトウェアセキュリティに影響を与える戦略／ツール／プラクティスについて調査したレポート「世界のDevSecOpsの現状2023」について説明した。
IEC62443などの国際標準を基にしたセキュリティチェックシートで実装評価を開始
セキュアIoTプラットフォーム協議会は、国際標準を基にした「SIOTP協議会セキュリティチェックシート」を策定した。会員企業のIoT関連ソリューションを対象に、セキュリティ実装の有効性を評価する。
CSAのIoTデバイスセキュリティ仕様に準拠したSiPやSoCを提供
Nordic Semiconductorは、CSAが発表した「IoTデバイスセキュリティ仕様1.0」、それに伴う認証プログラムと「製品セキュリティ検証マーク」への支持を表明した。
“将棋の封じ手”暗号プロトコルが量子コンピュータに対応、一方向性関数で構成
NTTは、量子コンピュータに対する安全性と通信効率を両立する「コミットメント」を、暗号理論における最も基本的な構成要素である「一方向性関数」のみを用いて世界で初めて構成したと発表した。
マイコン制御IoT機器のプログラム改ざんを常時検知、NECの軽量真贋判定技術
NECは、「SIP／IoT社会に対応したサイバー・フィジカル・セキュリティシンポジウム2022」の展示会において、稼働中のIoT機器へのサイバー攻撃によるプログラムの改ざんをリアルタイムに検知する「軽量プログラム真贋判定技術」を披露した。