一般社団法人セキュア IoT プラットフォーム協議会(理事長:辻井 重男、所在地:東京都港区、以下、SIOTP協議会)は、IoTシステムの安全性を担保するために、国際標準レベルのセキュリティ検査と認定制度を組合わせた「セキュアIoTプログラム」を2023年2月9日より開始しました。
インターネット上に接続されるIoTシステムの脆弱性を基点にしたサイバー攻撃が増加し、経済安全保障においても「サプライチェーンの強靭化」や「基幹インフラ安全性強化」がトピックに上げられています。IoT機器の脆弱性の放置は致命的なリスクです。
その対策としてIEC62443をはじめとする国際標準やSP800シリーズなどのセキュリティ規格が定められ、その一部は調達基準としても採用され始めていますが、「具体的に何を対応すればよいのかわからない?」、「取得のためには莫大の費用と長期の検証期間がかかる」などの問題があります。
そこで、SIOTP協議会では、IoTシステムの守るべきセキュリティ要件として、長期的な安全性確保の為のライフサイクル管理に着目し、1.真正性の担保(鍵管理、RoT:Root Of Trust)、2.認証と識別 (設計・製造、利用、廃棄、リサイクル)、3.セキュアアップデート (OTA:Over The Air)の3点に絞り込み、国際標準(IEC62443-4)との適合性を確認する「脆弱性検査・IoTセキュリティ検査」および「セキュアIoT認定」を提供します。
「セキュアIoT認定」では、産業用システム、業務システム、コンシューマ機器における最終的なIoT機器だけではなく、IoT機器を構成する部品やソフトウェア、システムも認定対象とします。またその認定要件に対する適合性により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定します。
世界のIoT機器数の増加は目覚ましく、総務省令和4年度 情報通信白書によると、2024年には398.5億台に達すると予測されています。その中でも産業分野が123.1億台と最も多くの割合を占めています。また分野・産業別では、2021~2024年度の年平均成長率を見ると特に伸びが高いのが、医療(17.3%)、産業用途(16.4%)、コンシューマ(16.1%)の分野です。これらは「セキュアIoTプログラム」においても特に対応を強化していきたい分野です。
このIoTの急速な拡大に合わせて、IoTデバイスをターゲットとした攻撃も急激に増加しています。総務省「ICT サイバーセキュリティ総合対策 2022」によると、2019 年2月よりNICTが実施する、IoT 機器調査する「NOTICE」において、2021年度までに約36,000件が注意喚起されています。また大規模サイバー攻撃観測網(NICTER)が2021年に観測したサイバー攻撃関連通信数(約5,180億パケット)は、3年前との比較では2.4倍、5年前との比較では3.7倍と急速に増加しています。その中でも影響度が大きく、ライフサイクルが長期に渡るIoT機器を狙った攻撃が最も多い状況が報告されています。
このような状況を踏まえて、SIOTP協議会では「セキュアIoTプログラム」を推進することで、日本の経済安全保障に寄与する、安全安心なIoTのエコシステムを推進してまいります。
全体構成
