特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜

ULがIoT機器のセキュリティレベルを5段階でレーティング、短期間かつ安価に評価IoTセキュリティ(1/2 ページ)

UL Japanは、開発した製品が米国や欧州のIoTセキュリティの法規制に準拠することを示す「IoTセキュリティレーティング」のサービスを日本国内向けに提供開始すると発表した。IEC 62443など従来のIoTセキュリティの国際標準に関する認証を取得するのと比べて、短期間で評価が完了するとともに、コストも大幅に少なくて済むことが特徴だ。

» 2020年07月20日 08時00分 公開
[朴尚洙MONOist]

 UL Japanは2020年7月16日、オンラインで会見を開き、主に一般消費者向けに開発した機器が米国や欧州のIoT(モノのインターネット)セキュリティの法規制に準拠することを示す「IoTセキュリティレーティング」のサービスを日本国内向けに提供開始すると発表した。IEC 62443など従来のIoTセキュリティの国際標準に関する認証を取得するのと比べて、短期間で評価が完了するとともに、コストも大幅に少なくて済むことが特徴だ。

 IoTセキュリティレーティングは、開発した製品のIoTセキュリティのレベルについて、ダイヤモンド、プラチナ、ゴールド、シルバー、ブロンズの5段階の評価を行う。ULによる評価が完了すれば、達成したセキュリティレベルに対応したラベルを貼り付けたり、ECサイトなどで掲示したりして、開発した機器がセキュアなことをユーザーに訴求できる。

IoTセキュリティレーティングは5段階で評価する店頭やECサイトなどで対応するラベルを活用できる IoTセキュリティレーティングは5段階で評価する(左)。店頭やECサイトなどで対応するラベルを活用できる(右)(クリックで拡大) 出典:UL Japan

 同レーティングの基準は「UL MCV 1376」という文書で規定されている。NIST(米国標準技術局)の「NISTIR 8259:Core Cybersecurity Feature Baseline for Securable IoT Devices;A Starting Point for IoT Device Manufacturers」、ETSI(欧州電気通信標準化機構)の「ETSI TS 103 645:Cyber Security for Consumer Internet of Things」、CSDE(セキュアなデジタル経済にむけた国際評議会)の「C2 Consensus on IoT Device Baseline Security(CSDE C2 Consensus)」という、国際的な業界フレームワークとベストプラクティスに基づいている。また、英国のDCMS(デジタル・文化・メディア・スポーツ省)が定めたIoT製品のセキュリティに関する行動規範にも合致するという。

IoTセキュリティレーティングの基準評価の特徴 IoTセキュリティレーティングの基準となる国際的な業界フレームワークとの整合性(左)と評価の特徴(右)(クリックで拡大) 出典:UL Japan

 レーティングの評価は、いわゆる“20−80のルール”に基づいており、全てのサイバー攻撃から守り切れるような100%の精度を目指すものではない。定型的な情報提出と体系だった評価基準により、一般的なサイバー攻撃と既知のIoT脆弱性に基づく仕組みが構築できているかを確認するためのものだ。これにより評価を迅速かつ効率的に進められ、初期評価後の定期的な監視も可能になる。

 また、レーティングは5段階あるが、機器の使われ方によって求められるレーティングのレベルも異なる。例えば、Bluetoothスピーカーのように、PCなどと無線通信するもののインターネットにつながらない機器の場合は、低レベルのセキュリティ保証があればいいので、レベル1のブロンズでも十分なセキュリティを確保できることになる。一方、IPカメラやルーターなどインターネットから直接アクセスできる機器は、高レベルのセキュリティ保証が必要なので、レベル4のプラチナやレベル5のダイヤモンドでなければ十分にセキュアとはいえなくなる。

IoT機器の使われ方によって求められるレーティングのレベルも異なる IoT機器の使われ方によって求められるレーティングのレベルも異なる(クリックで拡大) 出典:UL Japan

 このためレーティングの取得プロセスでは、まずULからの質問票への回答に基づいて初期評価と取得すべきレーティングを決定する。この決定に合わせて、満たすべき7カテゴリー/44項目の要求事項を定め、ULに機器を送って実際にセキュリティの評価を行う。その評価結果から、機器のIoTセキュリティレーティングのレベルが確定し、対応するラベルを活用できるようになる。評価には1〜3週間の期間が掛かり、取得したレーティングは1年間利用できる。なお、セキュリティは新たな脆弱性やマルウェアの登場によって状況が変わるため、半年ごとのサーベイランス(監視)が継続されることになっている。サーベイランスをクリアし利用料を支払えば当初の1年間以降の利用継続も可能だ。

取得プロセス各レベルが満たすべき要求事項 IoTセキュリティレーティングの取得プロセス(左)と各レベルが満たすべき要求事項(右)(クリックで拡大) 出典:UL Japan
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.