整合規格が未定の中、欧州向けIoTセキュリティの設計開発をどう進めるか:欧州のIoT機器セキュリティ対策最新動向(2)
IoT機器を狙ったサイバー攻撃の脅威が現実のものとなる中、世界各国でセキュリティ対策の整備が進んでいる。本連載では欧州当局が出すセキュリティ要件や規制動向に焦点を当て、国内製造業が意識すべきポイントを解説していく。
連載第1回目では、Wi-Fi、Bluetoothをはじめとした、無線を利用するIoT(モノのインターネット)機器を欧州で上市する際に必要なRED(Radio Equipment Directive)のArt. 3.3 (e)と(d)、(f)の要求が実行され、それによって2024年8月からサイバーセキュリティ対策が要求されること、そしてこれまで整合規格候補とされていた、欧州電気通信標準化機構(ETSI)のEN 303 645より厳しい規格が策定されるであろうことを解説した。
連載2回目の本稿では、整合規格がまだ決まっていない中、設計開発チームがどのようにサイバーセキュリティ機能の実装をするべきなのかについて解説する。
EN 303 645の内容は「ごく基本的」
ETSIが発行したEN 303 645は、その名称を「Cyber Security for Consumer Internet of Things: Baseline Requirements」としている。簡単に言うと、コンシューマー向けIoT機器に求められるサイバーセキュリティの基準と考えることができる。その技術的要件はドキュメントの第5章で、大きく13項目にまとめられている。その目次、日本語訳は以下の通りである。
EN 303 645はサイバーセキュリティの観点から見たとき、ごく基本的な技術的要求事項のみをカバーしている。EN 303 645についてはETSIの委員も2020年12月に行われたカンファレンスのなかで、包括的なサイバーセキュリティの要求事項ではなく、中小企業(SME)でも実現可能なレベルであること、またサイバーセキュリティの基準としてはあくまで“Good”レベルのものであることを説明している。
そのためIoT機器のサイバーセキュリティ対策としては一般的な、ペネトレーションテストや包括的な脆弱性スキャニングなどは求められておらず、サイバーセキュリティ対策としてはベーシックな内容にとどまっている。誤解を恐れずに言うならば、コロナ対策のためには家に帰ったらうがい、手洗いを欠かさずやりましょう、程度の粒度である。
今すぐにできることをまずはやる
EN 303 645はそのような規格であるがゆえに、REDの整合規格としては不十分ではないかとの議論が、ワーキンググループでなされていた。そのため今後出てくるREDの整合規格はETSI EN 303 645をベースとしながらも、より追加の要求事項が加わると考えるのが自然である。そのため整合規格が決まっていないからと、指をくわえて待つのではなく、まずはETSI EN 303 645の要求事項について熟知したうえで、これらの機能実装に取り組むのが望ましい。
ほとんどのIoT機器はETSI EN 303 645の要求事項すら実現できていないというのが現状であり、これは実際に多数IoT機器のテストを実施しているわれわれの肌感覚とも大きく離れたものではない。設計当初からサイバーセキュリティの要求事項を考慮して開発が進められている機器はそれほど多くない。さらに、セキュリティを考慮している機器でもなんらかの不適合が発見されることは少なくない。
ほとんどの開発現場では、ETSI EN 303 645の対策ですら相当の時間がかかっている。普段の開発業務を続けながら、追加で既存製品のサイバーセキュリティ対策を実装するのは、開発現場に相当な負荷をかけることとなる。RED整合規格の策定を待ってから対策を始めるのではなく、今すぐにできることをまずはやることが、開発現場の負担を軽減することにつながる。またETSI EN 303 645の要求事項を実装することは、RED整合規格の中に含まれる可能性が高いと予想されることから、無駄にはならないと思われる。
連載最終回では、EN 303 645に対応するために、開発チームが何をするべきかについて解説する。解説にあたっては、これから開発を始める製品をETSI EN 303 645の要求事項に沿う形で開発するケースと、既存製品をETSI EN 303 645に対応させる2つのケースをもとに解説を行う。
⇒その他の「欧州のIoT機器セキュリティ対策最新動向」の記事はこちら
⇒製造マネジメントフォーラム過去連載一覧
筆者紹介
貝田 章太郎(かいだ しょうたろう)
テュフ ラインランド ジャパン株式会社サイバーセキュリティサービス 室長(APA地域統括)
早稲田大学政治経済学部 政治学科卒業。米国カリフォルニア大学、韓国 漢陽大学に留学。ITのサイバーセキュリティ技術動向に加え、業界別のサイバーセキュリティ法規制や、OT(制御技術)のサイバーセキュリティに詳しく、情報漏洩(ろうえい)対策(TISAX、GDPR、HIPAA)や自動車関連のサイバーセキュリティプロジェクトを数多く手掛ける。近年では産業用ロボット、医療機器などのサイバーセキュリティサービスを開発し、国内外の大手製造業に数多く採用されている。韓国での勤務経験があり、英語だけでなく韓国語も堪能。韓国系自動車OEMのサイバーセキュリティ事情も熟知している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
2022年に規制化、産業用ロボットに求められるサイバーセキュリティ対策最新動向
人手不足やコロナ禍などにより、産業用ロボットやサービスロボットなど、ロボットの利用領域は急速に拡大している。一方でネットワーク化が進むこれらのロボットのセキュリティ対策については十分に検討されているとはいえない状況だ。本連載ではこうしたロボットセキュリティの最前線を取り上げる。第2回となる今回は、ロボットセキュリティ法規制の最新動向について紹介する。
IoT機器に求められるGDPR対応、対策のポイントを解説
2018年5月、欧州連合(EU)の個人情報保護法であるGDPR(一般データ保護規則)の適用がスタートした。GDPRはデータ漏えいが起きた場合の罰則規定が非常に厳しいことから企業に大きな動揺を与えている。本稿ではGDPRについて今一度簡単におさらいし、IoT機器の開発でGDPR対応に必要な考え方と対策のポイントについて解説する。
IoT製品のライフサイクル全体を通じたセキュリティ製品を発表
アズジェントは、Karamba SecurityによるIoTソリューション「Karamba's Total IoT Security」を発表した。IoT製品の開発、テスト段階から運用段階までの一貫したセキュリティを提供できる。
IoTデバイス開発で最低限押さえたいセキュリティのポイント
製品のIoT化が進む中、IoT製品のセキュリティ対策の必要性も増している。そういう中で米国デジサートは電子証明書がセキュリティ確保のカギを握ると訴えている。デジサートでIoTセキュリティ担当バイスプレジデントを務めるマイク・ネルソン氏に、IoTデバイスセキュリティのポイントについて話を聞いた。
サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。
米国の消費者IoTセキュリティラベル表示制度とESG戦略
本連載第54回で、2020年1月に施行されたカリフォルニア消費者プライバシー法(CCPA)およびIoT機器セキュリティ法が非医療機器に及ぼす影響について取り上げたが、2023年に向けて消費者IoTセキュリティの新制度を巡る動きが加速している。