脅威増すIoT機器への攻撃、欧州上市ではサイバーセキュリティ対策が必須に:欧州のIoT機器セキュリティ対策最新動向(1)
IoT機器を狙ったサイバー攻撃の脅威が現実のものとなる中、世界各国でセキュリティ対策の整備が進んでいる。本連載では欧州当局が出すセキュリティ要件や規制動向に焦点を当て、国内製造業が意識すべきポイントを解説していく。
この10年間、身の回りで無線を使う家電機器が急激に増えた。声で操作のできるスマートスピーカーや、無線監視カメラ、インターネット放送を受信可能なスマートテレビなど、皆さんの家庭にも1つくらいはあるのではないだろうか。最近では電子レンジや洗濯機、冷蔵庫まで、無線でインターネットにつながる機種も目にするようになった。さまざまな家電がインターネットに接続され、新たな利便性を提供している。
その一方で、これらの家電に対するサイバーリスクも顕在化するようになった。残念なことに、市場に出回っているIoT(モノのインターネット)機器の大多数は、サイバーセキュリティ対策をしっかりしているとはいえない状況にあり、悪意のある攻撃に対して相当脆弱(ぜいじゃく)だと言わざるを得ない。このような状況では、洗濯機がハッキングされ、身代金を支払わないと洗濯ができなくなってしまう、という事件がいつ起きてもおかしくないだろう。
おとぎ話のようだと思われる方がいるかもしれないが、既にあるエンジニアが、インターネットにつながるコーヒーメーカーをハッキングし、身代金を要求するメッセージを表示することに成功した、という事例が報じられている。このコーヒーメーカーはスマートフォンアプリでコーヒーをいれられる優れものであった。そのためにWi-Fiに接続する必要があったのだが、機器が危険なWi-Fiアクセスポイントに接続されてしまうと、遠隔でファームウェアを書き換えることができてしまうという脆弱性があった。
その後ファームウェアを不正に書き換えられ、ハッキングされてしまったコーヒーメーカーは、ボタン操作をしなくてもいきなり熱湯を注ぎ始め、熱くなった保温プレートに熱湯が滴り落ちると同時に、「誤動作を止めたければ、身代金を支払え」というメッセージを液晶ディスプレイに表示するようになった。
このハッキングでは、機器に対しての物理的なアクセスやWi-Fiアクセスポイントに対してのアクセスが必要だったため、ただ無線に接続されているだけで、攻撃が実施できるというわけではないが、生活家電に対するハッキングが可能だということを実証した意味で、非常に興味深い事例である。
特に無線を使った機器はハッキングの被害にあう可能性が高い。というのも悪意のある攻撃者が、ハッキングを行うに当たっては、機器に対して物理的にケーブルなどをつながずとも、電波さえ届けば機器の置かれている敷地外からでも攻撃ができてしまうからだ。
欧州が求めるサイバーセキュリティ要件
欧州当局は、このような状況を放置することはできないと考え、欧州で電波を利用する機器に要求されるRED(Radio Equipment Directive、欧州無線機器指令)のサイバーセキュリティ要求を実行する方針を固めた。サイバーセキュリティ対策は2024年8月から必須となる。これまでのREDでは、大きく以下の要件に適合することが求められている。
Art. 3.1(a): 安全要求
無線機器は低電圧指令(Low Voltage Directive)が定義する安全要求を満足しなければならない(電圧の条件を適用しない)電磁波の人体暴露を含む。
Art. 3.1(b):EMC要求
無線機器はEMC指令が定義するEMC要求を満足しなければならない。
Art. 3.2:無線要求
無線機器は有害な妨害を避けるために、周波数スペクトラムを効率的に使用し、また効率的な使用をサポートするように、設計、製造されなければならない。
上記に加えて以下の要求がこれまでも存在していたが、要求事項としては具体的な評価要求項目等は示されていなかった。
Art. 3.3(a)-(i):その他の要求
特定の機器に対しての要求。例として、充電器の共用、ネットワークの互換性、EU向けの無線インタフェース、エマージェンシーサービスへの接続、個人データとプライバシーの保護、ソフトの変更による適合継続の確保など。
EU委員会委任規則(EU) 2022/30は、Art. 3.3 (d) ネットワークの保護要求、Art. 3.3 (e) 個人情報の保護要求並びに Art. 3.3 (f) 詐欺対策要求の実行を2024年8月1日より開始すると決め、実質サイバーセキュリティ規制開始のカウントダウンが始まった。
一方でサイバーセキュリティのテストをするための整合規格がまだ発行されておらず、どのような試験で評価を行うべきかが関係各所で議論されている。REDの整合規格候補としては、欧州電気通信標準化機構(European Telecommunications Standards Institute、ETSI)が発行したEN 303 645というヨーロピアンスタンダードが利用されるという観測があった。そのため当社を含む第三者認証機関においても、EN 303 645という規格を基に準備をすることを推奨してきた。しかしこの内容では、不十分であるとの見解がREDのワーキンググループで提起されているのも事実で、今後のEU整合規格の採択状況を注視する必要がある。
前述のようにサイバーセキュリティの要求が2024年8月に始まるにもかかわらず、整合規格がないというのは、IoTを設計開発する方々にとって混乱をもたらすことになっている。当社にも数多くの問い合わせが寄せられている。当社の基本的な考えとしては、まずETSI EN 303 645をベンチマークとしたうえで、要求されている機能実装をすべきである、ということになる。
次回記事では、なぜETSI EN 303 645をベンチマークとすべきなのか、技術的観点から解説を行う。
⇒その他の「欧州のIoT機器セキュリティ対策最新動向」の記事はこちら
筆者紹介
貝田 章太郎(かいだ しょうたろう)
テュフ ラインランド ジャパン株式会社サイバーセキュリティサービス 室長(APA地域統括)
早稲田大学政治経済学部 政治学科卒業。米国カリフォルニア大学、韓国 漢陽大学に留学。ITのサイバーセキュリティ技術動向に加え、業界別のサイバーセキュリティ法規制や、OT(制御技術)のサイバーセキュリティに詳しく、情報漏洩(ろうえい)対策(TISAX、GDPR、HIPAA)や自動車関連のサイバーセキュリティプロジェクトを数多く手掛ける。近年では産業用ロボット、医療機器などのサイバーセキュリティサービスを開発し、国内外の大手製造業に数多く採用されている。韓国での勤務経験があり、英語だけでなく韓国語も堪能。韓国系自動車OEMのサイバーセキュリティ事情も熟知している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
2022年に規制化、産業用ロボットに求められるサイバーセキュリティ対策最新動向
人手不足やコロナ禍などにより、産業用ロボットやサービスロボットなど、ロボットの利用領域は急速に拡大している。一方でネットワーク化が進むこれらのロボットのセキュリティ対策については十分に検討されているとはいえない状況だ。本連載ではこうしたロボットセキュリティの最前線を取り上げる。第2回となる今回は、ロボットセキュリティ法規制の最新動向について紹介する。
IoT機器に求められるGDPR対応、対策のポイントを解説
2018年5月、欧州連合(EU)の個人情報保護法であるGDPR(一般データ保護規則)の適用がスタートした。GDPRはデータ漏えいが起きた場合の罰則規定が非常に厳しいことから企業に大きな動揺を与えている。本稿ではGDPRについて今一度簡単におさらいし、IoT機器の開発でGDPR対応に必要な考え方と対策のポイントについて解説する。
IoT製品のライフサイクル全体を通じたセキュリティ製品を発表
アズジェントは、Karamba SecurityによるIoTソリューション「Karamba's Total IoT Security」を発表した。IoT製品の開発、テスト段階から運用段階までの一貫したセキュリティを提供できる。
IoTデバイス開発で最低限押さえたいセキュリティのポイント
製品のIoT化が進む中、IoT製品のセキュリティ対策の必要性も増している。そういう中で米国デジサートは電子証明書がセキュリティ確保のカギを握ると訴えている。デジサートでIoTセキュリティ担当バイスプレジデントを務めるマイク・ネルソン氏に、IoTデバイスセキュリティのポイントについて話を聞いた。
サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。
米国の消費者IoTセキュリティラベル表示制度とESG戦略
本連載第54回で、2020年1月に施行されたカリフォルニア消費者プライバシー法(CCPA)およびIoT機器セキュリティ法が非医療機器に及ぼす影響について取り上げたが、2023年に向けて消費者IoTセキュリティの新制度を巡る動きが加速している。