« NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド | Main | フィッシング対策協議会をかたるフィッシング »

2022.05.09

ドイツ ITセキュリティラベル for 消費者向けスマート製品

こんにちは、丸山満彦です。

ドイツでは、ITセキュリティ法2.0の施行により、ITセキュリティラベル制度を電子メールサービスと、IoT機器について始めていますが、消費者向けスマート製品(スマートカメラ、スマートスピーカー、スマート掃除機・園芸用ロボット、スマートトイ、スマートテレビ)のメーカも申請できるようになるようですね。。。

Criteriaとして利用する標準は、消費者向け製品のIoTセキュリティについての欧州規格である[PDF] ETSI EN 303 645 – Cyber Security for Consumer Internet of Things: Baseline Requirements, Version 2.1.1ですね。。。

 

● Bundesamt für Sicherheit in der Informationstechnik: BSI

発表

・2022.05.06 IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte

IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte ITセキュリティ・マークがスマートコンシューマ製品にも対応
Produktkennzeichnung des BSI um fünf neue Produktkategorien erweitert BSIの製品ラベリングが新たに5つの製品カテゴリーに拡大
Ab Mai 2022 können Hersteller von smarten Kameras, smarten Lautsprechern, smarten Reinigungs- und Gartenrobotern, smarten Spielzeugen sowie smarten Fernsehprodukten das IT-Sicherheitskennzeichen beim Bundesamt für Sicherheit in der Informationstechnik (BSIbeantragen. 2022年5月より、スマートカメラ、スマートスピーカー、スマート掃除機・園芸ロボット、スマートトイ、スマートテレビのメーカは、連邦情報セキュリティ局(BSI)のITセキュリティマークを申請できるようになる予定です。
In den kommenden Monaten plant das BSI, weitere Produktkategorien des IT-Sicherheitskennzeichens zu veröffentlichen. Zunächst aus dem Bereich Smart Home Automation. Das BSI arbeitet kontinuierlich daran, den Anwendungsbereich des IT-Sicherheitskennzeichens auszuweiten. BSIは今後数ヶ月のうちに、ITセキュリティ・マークのさらなる製品カテゴリーを公表する予定です。当初はスマートホームオートメーションの領域から始めます。BSIは、ITセキュリティマークの適用範囲を拡大するための活動を継続的に行っています。
Mit dem IT-Sicherheitskennzeichen macht das BSI das Versprechen von Herstellern und Diensteanbietern in die IT-Sicherheit ihrer Produkte gegenüber Verbraucherinnen und Verbrauchern transparent. Die neue Produktkennzeichnung des BSI schafft damit Orientierung auf dem Verbrauchermarkt und trägt zu einer informierten Kaufentscheidung beim Einkauf von IT-Produkten bei. ITセキュリティ・マークにより、BSIは、製品のITセキュリティにおけるメーカーやサービスプロバイダの約束を消費者に透明化することができます。BSIの新しい製品ラベルは、消費者市場での方向性を示し、IT製品を購入する際に十分な情報を得た上での購入判断に貢献します。
Über einen QR-Code kann online eine individuelle Produktinformationsseite des BSI aufgerufen werden, die über das Herstellerversprechen, die zugrundeliegenden Standards und aktuelle Sicherheitserkenntnisse des BSI zum Produkt informiert. BSIの個々の製品情報ページは、QRコードを介してオンラインで呼び出すことができ、製造者の約束、基礎となる規格、製品に関するBSIの現在のセキュリティ所見に関する情報を提供しています。
Seit Dezember 2021 kann das IT-Sicherheitskennzeichen in den ersten beiden Produktkategorien „Breitbandrouter“ und „E-Mail-Dienste“ beantragt werden. Schon im Februar 2022 wurden im Rahmen des 18. Deutschen IT-Sicherheitskongresses die ersten vier Kennzeichen an einen E-Mail-Anbieter übergeben. Mit der Einführung fünf weiterer Produktkategorien wird der nächste Meilenstein erreicht. 2021年12月以降、ITセキュリティマークは、まず「ブロードバンドルーター」と「メールサービス」の2つの製品カテゴリーで申請することができます。2022年2月には、第18回ドイツITセキュリティ会議で、最初の4つのマークが電子メールプロバイダーに手渡されました。さらに5つの製品カテゴリーの導入で、次のマイルストーンに到達することになります。
Arne Schönbohm, Präsident des BSI„Das IT-Sicherheitskennzeichen schafft nun auch Transparenz in den Bereichen Smart Home Multimedia und intelligentes Spielzeug, gibt dabei Orientierung für informierte Kaufentscheidungen und fördert den Schutz vor Cyber-Kriminalität. Mit dem IT-Sicherheitskennzeichen für smartes Spielzeug profitiert hiervon auch die besonders vulnerable Nutzergruppe der Kinder und Jugendlichen. Wir geben damit ein deutliches Signal an den Verbrauchermarkt, dass Informationssicherheit ein wichtiges Argument für die Kauf- und Nutzungsentscheidung bei IT-Produkten ist. Mit der ETSI EN 303 645 haben wir einen europäischen Sicherheitsstandard als Grundlage ausgewählt, den wir gemeinsam mit Branchenvertretern und Partnern der europäischen Standardisierungsarbeit entwickelt haben. Wir liefern damit einen wertvollen Beitrag für die europäische Debatte um die Cyber-Sicherheit bei Verbrauchergeräten und sind überzeugt, dass das IT-Sicherheitskennzeichen einen wesentlichen Schritt zu mehr Sicherheit und Transparenz in diesen Bereichen darstellt.“ BSI会長のアルネ・シェーンボムは、次のように述べています。「ITセキュリティマークは、スマートホームマルチメディアやスマートトイの分野でも透明性を高め、十分な情報に基づいた購買決定とサイバー犯罪からの保護を促進するものです。スマートトイにITセキュリティラベルをつけることで、特に弱い立場のユーザーである子供や若者もその恩恵を受けることができます。このように、情報セキュリティがIT製品の購入や使用を決定する際の重要な論拠となることを、消費者市場に明確に発信しています。ETSI EN 303 645は、ヨーロッパのセキュリティ規格をベースに、業界代表や欧州標準化活動のパートナーと共に開発しました。このように、私たちは、消費者向け機器のサイバーセキュリティに関する欧州の議論に貴重な貢献をしており、ITセキュリティマークは、これらの分野におけるセキュリティと透明性の向上に不可欠なステップであると確信しています。」
Erfolgreiche Standardisierungsarbeit als Grundlage der Produktkennzeichnung 製品ラベルの基礎となる標準化作業の成功
Die neuen Produktkategorien des IT-Sicherheitskennzeichens stützen sich auf den etablierten europäischen Sicherheitsstandard ETSI EN 303 645. Der Standard wurde im Rahmen der europäischen Standardisierungsarbeit durch Expertinnen und Experten des BSI mitentwickelt. In einem Pilotprojekt wurde dieser mit einem Produktanbieter und einer Prüfstelle für IT-Sicherheit auf praktische Anwendbarkeit geprüft. Er adressiert IoT-Geräte, die ein Risiko für die Informationssicherheit und Privatsphäre von Nutzerinnen und Nutzern darstellen können. Smarte IT-Produkte sind ein beliebtes Ziel von Cyber-Angreifern und können missbraucht werden, um an persönliche Daten der Besitzer zu gelangen oder großflächige Cyber-Angriffe auf Infrastrukturen Dritter durchzuführen. Um diesen Bedrohungen zu begegnen, beinhaltet der Standard verpflichtend umzusetzende Sicherheitsanforderungen. Hierzu gehören sichere Authentisierungsmechanismen, ein angemessenes Updatemanagement und die Absicherung der Kommunikation. ITセキュリティラベルの新しい製品カテゴリーは、欧州の標準化作業の一環としてBSIの専門家が共同開発した、確立された欧州セキュリティ規格ETSI EN 303 645をベースにしています。パイロットプロジェクトでは、製品プロバイダーとITセキュリティのテストセンターで実用性のテストが行われました。この規格は、ユーザーの情報セキュリティとプライバシーにリスクをもたらす可能性のあるIoT機器に対応しています。スマートIT製品はサイバー攻撃者の格好の標的であり、悪用されて所有者の個人情報を取得されたり、第三者のインフラに大規模なサイバー攻撃を仕掛けられたりする可能性があります。このような脅威に対抗するため、規格にはセキュリティに関する必須要件が含まれています。このような脅威に対して、認証の仕組みや適切な更新管理、通信の安全確保などのセキュリティ要件が必須となっています。

 

制度説明

IT-Sicherheitskennzeichen

こちらを参照してください...


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。


 

申請

Beantragung eines IT-Sicherheitskennzeichens

製品カテゴリー ITセキュリティ要件 申請書類
ブロードバンドルータ BSI TR-03148 ブロードバンドルータ用
メールサービス BSI TR-03108 メールサービス用
スマートテレビ ETSI EN 303 645 消費者向け製品用
スマートスピーカー ETSI EN 303 645 消費者向け製品用
スマートカメラ ETSI EN 303 645 消費者向け製品用
スマートトイ ETSI EN 303 645 消費者向け製品用
スマート掃除機・園芸用ロボット ETSI EN 303 645 消費者向け製品用

 

標準と認証

Standards und Zertifizierung

消費者向けIoT向けITセキュリティラベルで利用される標準

Consumer IoT

Criteriaとして、、、

・[PDF] ETSI EN 303 645 – Cyber Security for Consumer Internet of Things: Baseline Requirements, Version 2.1.1

20220509-61018

 

評価基準として、、、

・[PDF] ETSI TS 103 701 – Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements, Version 1.1.1

20220509-61204

 

ガイドラインとして

・[PDF] ETSI TR 103 621 – Guide to Cyber Security for Consumer Internet of Things, Version 1.1.1

20220509-61428

 

補足文書

・[PDF] Technical Guideline BSI TR-03173 Amendments for Conformance Assessments based on ETSI EN 303 645/TS 103 701

・[EXLX] Assessment Template for Identification of the DUT, ICS and Assessment Results (Excel), Version 1.1.1

・[DOCX] Assessment Template for IXIT (Word), Version 1.1.1

 

 


参考

まるちゃんの情報セキュリティ気まぐれ日記

BSIのITセキュリティラベル

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

|

« NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド | Main | フィッシング対策協議会をかたるフィッシング »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド | Main | フィッシング対策協議会をかたるフィッシング »