IoT機器向けサイバーセキュリティ支援サービス

サイバーセキュリティとは

サイバーセキュリティとは、機器、ネットワーク、プログラム、データを不正アクセスから保護するために設計されたテクノロジー、プロセス、およびプラクティスの体系を指します。そのため、インターネットに接続された機器が常に攻撃を受けている場合、その機器が乗っ取られて使用不可能になったり、自社または顧客のデータが失われたりする可能性があります。

いずれの企業にとっても、ブランドや消費者信頼の観点からは壊滅的な打撃を与える可能性があり、法的に深刻な影響を与えることさえあります。このことは、「サイバーセキュア」であることを保証することの重要性を浮き彫りにしています。

IoT機器のセキュリティ問題

あらゆる「モノ」がネットワークにつながるIoT時代が本格的に広まると同時に、IoT機器のセキュリティ対策の法制化も進んでおり、2020年4月1日からはセキュリティ要件が追加された電気通信事業法が施行されました。この省令の改正により、IoT機器に対するパスワードなどによるアクセス制御機能、初期設定のパスワードの変更を促す機能、ソフトウェアの更新機能といったセキュリティ対策が義務化となりました。テュフズードジャパンは総務省から電気通信事業法に基づく登録認定機関として登録を受けており、端末機器の試験・認証サービス等を提供しています。

現在、電気通信事業法のセキュリティ要件が適用されるIoT機器は、監視カメラやルータなど、直接公衆回線（インターネット回線）に接続する機器が対象です。その一方で、電気通信事業法のセキュリティ要件の適用外にあたるIoT機器が、近年急激に増加しています。このようなIoTサービスの多様化は、サイバーリスクを高めていることを同時に意味します。

グローバルなサイバーセキュリティ法規制：NISTIR8259およびEN303645

世界規模でサイバー規制の導入が義務化されつつあります。そのため、製造業者は、エンドユーザーに対してどのような責任を負うかを理解することが重要です。すでにいくつかのサイバーセキュリティ基準や推奨事項があり、IoT機器のサイバーセキュリティに関するガイダンスを提供しています。
義務化されたサイバーセキュリティ規制は世界規模で見直されているため、あらゆる製品開発においてこれを考慮することが重要です。現在、IoT機器のサイバーセキュリティに関するガイダンスやテスト要件を提供するいくつかのサイバーセキュリティ基準がありますが、下記の2つの基準が今後重要となります。

• ETSI EN 303 645 -これは、消費者向けIoT機器のベースライン・セキュリティを奨励するために設計された欧州規格です。
• NISTIR 8259 - IoTデバイスのための基礎的なサイバーセキュリティです。米国の法規制をサポートするために使用できます。

IoT機器セキュリティ試験・評価サービスの概要

インターネットに接続されているすべての機器は、即座に悪意のある攻撃者のターゲットとなり、攻撃者は機器を侵害しようとします。サイバーセキュリティの評価と関連する試験を行うことで、製造業者は攻撃をシミュレーションし、脆弱性を特定することができます。このような評価は通常、リスク分析と直接試験を組み合わせて行われます。

IoT機器 セキュリティ評価サービスの詳細はこちら

IoT機器セキュリティ試験サービスに含まれるもの

IoT機器セキュリティ試験および評価について、いくつかの方法で実施が可能です。たとえば、適用可能な基準で定義することや、業界で認められている方法を用いた独自の試験として定義することが可能です。単純なものでは、デフォルトのパスワードのチェック、ソフトウェアのアップデート、脆弱性の報告などが標準で要求されますが、より詳細なものとして侵入試験（ペネトレーションテスト）が適用される場合もあります。

テュフズードのサービス

テュフズードは、多数のサイバーエキスパートが集まる試験施設を世界中に展開しています。当社は、上述した最新の基準および規制に対する試験を実施するとともに、個別のリスク評価、試験、およびサイバートレーニングをサービスとして提供しています。

• EN 303 645およびNISTIR 8259へのIoT機器試験
• 侵入テスト（ペネトレーションテスト）
• サイバーセキュリティのリスクアセスメント(IoT、ネットワーク、B2B)
• GDPR（一般データ保護規則）とデータプライバシー
• 各国規制に基づいた試験 (RED,EMC,Safety,Global Market Access(GMA))