IoTセキュリティの歴史的背景と国内の現状～購入者が安心して手に取れる安全な機器を目指して～

2020年以降、IoT機器を安心して利用できる仕組みを提供する目的で、国際的にIoTデバイスのセキュリティ認定要件、認定条件についての検討が進められています。

特に欧米では政府主導で標準化文書が制定されています。英国ではそれに先立ち政府がIoTセキュリティの基本要件としてCode of Practice for Consumer IoT Securityを発行し、それがオーストラリア、シンガポール、フィンランドといった国々で採用されました。

日本はこれまで総務省と経済産業省が発行していた「IoTセキュリティガイドライン（案）」だけでしたが、各国の仕様と横並びで遜色の無いIoTセキュリティ要件ガイドライン（CCDS-GR01-2023）を制定しました。これをベースにデジタル庁のデジタル臨時行政調査会で、国としてIoTセキュリティの認定要件と認定条件について社会実装上の課題を検証しながら進めています。

この記事では、近年欧米を中心に標準化されてきているIoTセキュリティ要件について、それが日本においてどのような形で標準化されようとしているかを、なるべくわかりやすい形で伝えることを目的としています。

2020年以前のIoTセキュリティ

2020年以前は、国際的にはISO/IEC15408によるCommon Criteriaを基にした、IoTデバイスのセキュリティ要件ならびにセキュリティ認証要件しかありませんでした。非常に厳格な基準であるため、理解して設計から認証までを実施するには企業側にとってコスト（工数やツールなどの予算）が掛かります。すべてのIoTデバイスに関わるメーカーやベンダーにとって、高いハードルがありました。

また、プロファイルの存在しない新しいカテゴリーのIoTデバイスを設計した場合は、そのデバイスのカテゴリーに対するプロファイルの策定からセキュリティ要件と認証要件を用意する必要があります。製品が出来上がってから市場に出るまで時間が掛かり、結果として製品を売るタイミングを逸してしまう懸念がされていました。

また、マイクが搭載され、外部クラウドに繋がるIoTデバイスでマイクからの音声を経由して、様々な制御を行えるようになりました。一部のIoTデバイスを設計・製造するメーカーでは、異なる機種の間でデータ通信を実現するためのネットワーク構造である、開放型システム間相互接続（OSI：Open Systems Interconnection）の階層でIoTデバイスのセキュリティ要件を策定しようとしました。

しかし、すべての分野のIoTデバイスに適用するのは難しく、また出来上がったセキュリティ要件から設計者、検証者への要件文書を用意することは容易ではありませんでした。

この状況下において、欧州ではEU一般データ保護規則（GDPR：General Data Protection Regulation）によるデータ保護、セキュリティが優先されます。米国ではその後の米中貿易摩擦のきっかけにもなった、ZTE社に代表される中国製製品による米国内のインフラからの情報漏洩、ならびにAlibabaやAmazon、eBayなどで販売される中国製製品による偽装（模造）部品による製品の劣化、故障等を原因に数々の大統領令を発行していました。

購入者目線に立ったIoTデバイスセキュリティ

日本でのきっかけ

日本では、2020年に新しく開庁する市町村庁舎に対してあった相談がきっかけです。その相談とは、「内部で利用するIoTデバイス（汎用的な意味ではもっと広義な製品名となるもの）を、地方自治体の職員が調達する場合、安心して導入し安全に利用できる基準が欲しい」というものでした。相談者は、企業の大小を問わず多くの経営者ならびに情報システム管理者であり、同様の相談は、当該の地方自治体に限らず多くの中小企業からも寄せられていた事実があります。ただ、IoTデバイスセキュリティとしてガイドラインの形を成したのは、英国政府によるCode of Practice for Consumer IoT Securityが発端となります。

英国の動向

日本での動きとほぼ同時期に、英国政府がIoTデバイスセキュリティとしてCode of Practice for Consumer IoT Securityを発表します。Code of Practice for Consumer IoT Securityは、IoTデバイスにありがちな脆弱性を引き起こす要因について、それぞれの要素（物理ポート）別に設計時・出荷時に注意すべき点を明記しています。また、出荷するIoTデバイスの持っているポートが少なければ脆弱性になりうる要素も少ないと見ることができます。

欧州の同調

英国の動向と同調するように、欧州では、ETSI（欧州電気通信標準化機構）にて「EN 303 645 Cyber Security for Consumer Internet of Things: Baseline Requirements」というセキュリティ要件と「TS 103 701 Cyber Security for Consumer Internet of Things: Baseline Requirements(Assessment spec.)」という認証基準を制定しました。

欧州では英国と違い、セキュリティ要件とセキュリティの認証基準を分離しています。セキュリティ要件を満足するように設計・製造を行い、第三者または自社の認証機関がセキュリティの認定基準を満足しているかの検査を行い、IoTデバイスが設計から製造後の完成品に至るまでセキュリティ要件を満たしていることを確認する制度です。

米国による主張

米国では、連邦政府（Federal Government）がNIST（米国標準化研究所）を通して、「NISTIR 8259A」というセキュリティ要件、ならびに「NISTIR 8259B」という認証基準を制定しました。米国では、NIST以外にNTIA（米国商務省電気通信情報局）から、オープンソースソフトウェア（OSS：Open Source Software）等による脆弱性への対応として、Firmware Update（脆弱性対策）やソフトウェアの部品によるサプライチェーン問題を可視化するためにSoftware Transparency（SBOM）についても制定される動きとなっています。

ここでも、欧州同様にセキュリティ要件とセキュリティに認証基準を定めています。目的は欧州と同じく、IoTデバイスが設計から製造後の完成品に至るまでセキュリティ要件を満たしていることを確認する制度です。

その後の日本の動き

また、日本で策定したセキュリティ要件のガイドラインには、ペネトレーションテストで用いられる、ポートの脆弱性によって得られるゴールについても記載されています。同時にセキュリティ認証要件も策定しました。このセキュリティ要件とセキュリティ認定要件の役割は、欧米と同じです。IoTデバイスが設計から製造後の完成品に至るまでセキュリティ要件を満たしていることを確認する目的で用意されています。

このセキュリティ認証要件をベースに、デジタル庁のデジタル臨時行政調査会での議論、ならびに経済産業省におけるガイドラインの社会実装としての実効性を検証する実証実験を繰り返し、経済産業省による「第3回産業サイバーセキュリティ研究会ワーキンググループ3（IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会）」等で議論がなされています。

議論がなされる場のなかで、直接的にインターネットに接続する可能性がある製品と、間接的にインターネットに接続する製品との区分があります。前者は、総務省の技術基準適合認定及び設計についての認証が含まれます。まだ、詳細なカテゴリーが整理されていませんが、厚生労働省の管轄する医療機器以外は包括的に議論されています。

これら一連の動きの目的は、調達者の側から見て安心して手にできる安全な機器を明確にすることにあります。セキュリティ要件とセキュリティ認証要件は、策定年月日から時間が経過すると策定当時には想定していなかった脆弱性が見逃される可能性を持ちます。よって、常にセキュリティ要件とセキュリティ認定要件は中立的な立場で見直され続けるよう、ワーキンググループと諮問委員会で最新の動向を反映しています。

ラックのIoTデバイスペネトレーションテスト

ラックでは、IoTデバイスの検査を行うときに、アタックベクターと呼ばれる攻撃境界面の検査を実施します。また、このアタックベクターからの特定のシナリオに基づく不正な侵入によってIoTデバイスの持つ重要な資産へのアクセスが可能かの検査を行います。

シナリオは設計ミスによるバグまたは設計ミスに誘発される脆弱性、ならびに既知の脆弱性を想定した方法で行います。ただし、設計・評価の段階でカバレッジ（設計コードの網羅性）については評価されていることを前提としています。このシナリオに基づく侵入による検査は一般にはペネトレーションテストと呼ばれています。ペネトレーションテストの範囲をIoTデバイスとし、デバイスへの侵入経路が利用可能となっているポートならびにIoTデバイスの基板を解析した結果から見えるポートを起点とし、レッドチームのゴールとします。その起点から得られる設計・製造ベンダー・ユーザの重要情報は守られているのか、情報が見えてしまう原因はなにかについて検査を行います。認定要件にはガイドラインとして明記されていませんが、ラックではお客様との契約によっては、こういった視点に立ってIoTペネトレーションテストを行っています。

適用範囲外のIoTデバイス

IoTデバイスはたくさん種類があります。以下については、前述のワーキンググループでカバーできないものなので、管轄している団体ならびに省庁が策定した、標準化・適合性認証を行うことを検討し実施する必要があります。

• 施設管理機器（入退室機器、受変電設備、照明、昇降機など）：経産省ビルガイドライン
• 医療機器（人工呼吸器、人工心臓弁、輸液ポンプなど）：厚生労働省・医療情報ガイドライン
• 電気事業関連機器（スマートメーター、発電設備、PCSなど）：JESC電制ガイドライン
• 製造業・流通業関連機器（生産設備、自動倉庫など）：経産省工場ガイド、国交省物流ガイド）
• 鉄道事業関連機器（CTC装置、PRC装置など）：国交省鉄道ガイドライン
• 航空事業関連機器（IMS、iDMUなど）：国交省航空ガイドライン

ラックのIoTデバイスペネトレーションテストとは

ラックは、各国の最新のセキュリティ動向を睨みつつ、国際規格に準拠したIoTセキュリティのペネトレーションテストを実施しています。見逃されがちなIoT機器の脆弱性を洗い出し、お客様が製品を安心して利用して頂けるサービスの提供を心がけています。IoTセキュリティのペネトレーションテストについて、ご興味をお持ちになりましたらぜひお問い合わせください。