« 米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25) | Main | ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25) »

2022.10.31

ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) とシンガポールのサイバーセキュリティ庁 (CSA) が消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認協定に署名していますね。。。

米国では、NISTを中心にIoT製品の認証のための仕組みづくりの検討が進み、欧州では、サイバーレジリエンス法案が欧州委員会から提案されるなど、消費者向けIoT製品についての認証等が話題になりそうですね。。。ドイツ、シンガポール、フィンランドでは認証制度がはじまっています。。。シンガポールがこの分野はなかなか熱心ですね。。。

相互認証が進めば、企業側も利用者側もメリットがありますね。。。あっ、日本ってどうするだっけ...

 

Fig1_20221030171201

 

ドイツ

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.10.20 BSI and Singapore Cyber Security Agency Mutually Recognise Cyber Security Labels

BSI and Singapore Cyber Security Agency Mutually Recognise Cyber Security Labels BSIとシンガポールサイバーセキュリティ庁がサイバーセキュリティラベルを相互認証
The Vice President of the German Federal Office for Information Security (BSI), Dr. Gerhard Schabhüser, and the Chief Executive of the Cyber Security Agency Singapore (CSA), David Koh, signed a bilateral agreement. ドイツ連邦情報セキュリティ局(BSI)副総裁ゲアハルト・シャブヒューザー博士とシンガポールサイバーセキュリティ庁(CSA)長官デビッド・コーが二国間協定に署名。
The Vice President of the German Federal Office for Information Security (BSI), Dr. Gerhard Schabhüser, and the Chief Executive of the Cyber Security Agency Singapore (CSA), David Koh, signed a bilateral agreement on the mutual recognition of the German IT Security Label and Singapore’s Cybersecurity Label on this year's Singapore International Cyber Week (SICW). ドイツ連邦情報セキュリティ局(BSI)の副総裁ゲアハルト・シャブヒューザー博士と、サイバーセキュリティ庁シンガポール(CSA)の最高責任者デビッド・コーは、今年のシンガポール国際サイバーウィーク(SICW)で、ドイツのITセキュリティラベルとシンガポールのサイバーセキュリティラベルの相互認証に関する二国間協定に調印した。
With immediate effect, products with the German IT Security Label of the BSI can receive a level 2 Cybersecurity Label in Singapore. Level 2 or higher of the Singaporean Cybersecurity Label allows manufacturers to undergo a simplified application process to obtain the German IT Security Label. The agreement covers the product category Smart Consumer Devices published by the BSI. This mainly bases on the European IoT basic standard ETSI EN 303 645. 即日、BSIのドイツITセキュリティラベルを取得した製品は、シンガポールでレベル2のサイバーセキュリティラベルを取得することができる。シンガポールのサイバーセキュリティラベルのレベル2以上であれば、メーカーはドイツのITセキュリティラベルを取得するための簡略化された申請手続きを受けることができる。本協定は、BSIが発行する製品カテゴリー「スマート消費者向けデバイス」を対象としている。これは主に欧州のIoT基本規格であるETSI EN 303 645に基づくものである。
Through the joint agreement with the CSA, the BSI as the German federal cyber security authority is further expanding its cooperation with international cyber security authorities. In the further development of the German IT Security Label, the BSI attaches particular importance to the best possible synchronisation with existing and future European and international cyber security labels. CSAとの共同合意により、ドイツ連邦サイバーセキュリティ当局であるBSIは、国際的なサイバーセキュリティ当局との協力関係をさらに拡大している。ドイツITセキュリティラベルのさらなる発展において、BSIは、既存および将来の欧州および国際的なサイバーセキュリティラベルとの最適な同期を特に重要視している。
With this mutual recognition agreement, the BSI is fulfilling its role as a pioneer and shaper of secure digitisation not only in Germany but also at international level. The joint agreement confirms the importance of the IT Security Label as a blueprint for the design of European and international labels. この相互認証協定により、BSIはドイツ国内だけでなく、国際的にも安全なデジタル化の先駆者、形成者としての役割を果たすことができる。この共同合意は、欧州および国際的なラベルの設計のための青写真として、ITセキュリティラベルの重要性を確認するものである。
With the help of the IT Security Label, consumers can easily find out, via the short link or QR code on the label, about the security features of networked, internet-enabled products as assured by manufacturers and providers. The BSI issues the IT Security Label after a manufacturer has tested and comprehensibly and plausibly declared that its device or service meets specific, security-relevant product requirements. ITセキュリティラベルのおかげで、消費者はラベル上のショートリンクやQRコードを通じて、メーカーやプロバイダーが保証するネットワークやインターネットに接続された製品のセキュリティ機能について簡単に知ることができる。BSIは、メーカーがその機器やサービスをテストし、セキュリティに関連する特定の製品要件を満たしていることを分かりやすく、かつもっともらしく ドイツ宣言した後に、ITセキュリティラベルを発行している。

 

ドイツのIoTセキュリティラベリング制度

IT-Sicherheitskennzeichen

 


シンガポール

Cyber Security Agency of Singapore: CSA

・2022.10.20 Singapore and Germany Sign Mutual Recognition Arrangement on Cybersecurity Labels for Consumer Smart Products

Singapore and Germany Sign Mutual Recognition Arrangement on Cybersecurity Labels for Consumer Smart Products シンガポールとドイツは、消費者向けスマート製品のサイバーセキュリティラベルに関する相互承認に調印
The Cyber Security Agency of Singapore (CSA) and Germany’s Federal Office for Information Security (BSI) will sign a Mutual Recognition Arrangement (MRA) on the cybersecurity labels to be issued by both countries today. シンガポールのサイバーセキュリティ庁(CSA)とドイツの連邦情報セキュリティ局(BSI)は、本日、両国が発行するサイバーセキュリティラベルに関する相互承認協定(MRA)に調印する予定である。
2. CSA’s Cybersecurity Labelling Scheme (CLS) is the first multi-level labelling scheme in the Asia Pacific region.  Under the scheme, smart devices will be rated according to their levels of cybersecurity provisions, from Level 1 to Level 4. Under the MRA, smart consumer products issued with Germany’s IT Security Label and Singapore’s Cybersecurity Label will be mutually recognised in either country. Products issued with BSI’s label will be recognised by CSA to have fulfilled CLS Level 2 requirements, while products with CLS Levels 2 and above will be recognised by BSI. 2. CSAのサイバーセキュリティ・ラベリングスキーム(CLS)は、アジア太平洋地域初のマルチレベル・ラベリングスキームである。  この制度では、スマートデバイスは、サイバーセキュリティ規定のレベルに応じて、レベル1からレベル4まで格付けされる。MRAのもと、ドイツのITセキュリティラベルとシンガポールのサイバーセキュリティラベルが発行されたスマート消費者向け製品は、どちらの国でも相互に承認される。BSIのラベルが発行された製品は、CSAによってCLSレベル2の要件を満たしていると認定され、CLSレベル2以上の製品はBSIによって認定される。
3. The mutual recognition of cybersecurity labels will apply to devices intended for use by consumers such as smart cameras, smart televisions, smart speakers, smart toys, smart garden and household robots, gateways and hubs for home automation, health trackers, smart lighting, smart plug (smart power socket) and smart thermostats. 3. サイバーセキュリティラベルの相互認証は、スマートカメラ、スマートテレビ、スマートスピーカー、スマート玩具、スマートガーデンや家庭用ロボット、ホームオートメーションのためのゲートウェイやハブ、ヘルストラッカー、スマート照明、スマートプラグ(スマートコンセント)、スマートサーモスタットなど消費者が使用することを目的としたデバイスに適用される。
4. For a start, the MRA will not cover some products such as Smart Door Locks, Fire/Gas/Water detectors1, and general computing devices such as computers, smartphones or tablets, which are designed to run any applications without a predefined purpose. CSA and BSI will progressively work towards recognising more product categories under the scope of the MRA. 4. MRAは、まず、スマートドアロック、火災/ガス/水検知器1、およびコンピュータ、スマートフォン、タブレットなどの一般的なコンピューティングデバイスのように、事前に定義された目的なしに任意のアプリケーションを実行するように設計されている一部の製品は対象外となる。CSA と BSI は、より多くの製品カテゴリーを MRA の対象として認識するよう、順次取り組んでいく。
5. Germany is the second country after Finland to formalise the mutual recognition of national cybersecurity labels with Singapore. At SICW 2021, CSA signed its first Memorandum Of Understanding (MOU) with the Transport and Communications Agency of Finland (Traficom). Consumer IoT products with Finland's Cybersecurity Label will be recognised as having met CLS Level 3 requirements, and vice versa2. 5. ドイツは、フィンランドに続き、シンガポールとの間で国家サイバーセキュリティラベルの相互承認を正式に行った2番目の国である。SICW 2021において、CSAはフィンランド運輸通信庁(Traficom)と初の覚書 (MOU)を締結した。フィンランドのサイバーセキュリティラベルを取得した消費者向けIoT製品は、CLSレベル3の要件を満たしていると認識され、その逆もまた然りである2。
6. Manufacturers of smart consumer devices will benefit from these agreements as they save costs and time on duplicated testing and gain improved access to new markets. Companies that have benefited from the Singapore-Finland’s MOU include Signify, Polar and ASUS.  The first CLS Level 3 labels under the MoU were awarded to eight products from Signify's smart lighting system and Polar Electro's multi-sport watches3. The first Traficom's cybersecurity labels under the MoU were awarded to seven products from ASUS’s Wi-Fi 6 routers4. 6. スマート消費者機器の製造企業は、これらの協定により、重複する試験のコストと時間を節約し、新規市場へのアクセスを改善することができるというメリットがある。シンガポールとフィンランドの覚書の恩恵を受けている企業には、Signify、Polar、ASUSなどがある。  覚書に基づく最初のCLSレベル3ラベルは、Signifyのスマート照明システムとPolar Electroのマルチスポーツウォッチ3から8製品に付与された。覚書に基づく最初のトラフィコムのサイバーセキュリティ・ラベルは、ASUSのWi-Fi 6ルーターから7製品に付与された4。
7. As of October 2022, more than 200 products – ranging from routers to smart lighting to smart cameras – have been awarded the CLS label. 7. 2022年10月現在、ルーターからスマート照明、スマートカメラまで、200以上の製品にCLSラベルが付与されている。
1 The list of product types is not exhaustive. 1 製品の種類を網羅したものではない。
2 Both CSA's and Traficom's labels are based on the same standard, ETSI EN 303 645. 2 シンガポール・サイバーセキュリティ庁とフィンランド運輸通信庁のラベルは、いずれも同じ規格であるETSI EN 303 645に基づいている。
The products from Signify and Polar Electro are Philips Hue Starter kit and Hue Bridge, and Polar Grit X, Polar Grit X pro, Polar Vantage V2, Polar Vantage M2, Polar Ignite 2 and Polar Unite. 3 Signify社およびPolar Electro社の製品は、Philips Hue Starter kitおよびHue Bridge、Polar Grit X、Polar Grit X pro、Polar Vantage V2、Polar Vantage M2、Polar Ignite 2およびPolar Uniteである。
4 The products from ASUS are RT-AX88U, GT-AX11000, RT-AX82U, TUF-AX5400, TUF-AX3000, RT-AX58U and ZenWiFI XD6. 4 ASUSの製品は、RT-AX88U、GT-AX11000、RT-AX82U、TUF-AX5400、TUF-AX3000、RT-AX58U、ZenWiFI XD6である。


シンガポールのCLS

● CSA - Cybersecurity Certification Centre - Cybersecurity Labelling Scheme (CLS) 

 フィンランドとドイツとの相互認証についても触れられていますね。。。

 


 

参考

 

まるちゃんの情報セキュリティ気まぐれ日記

BSIのITセキュリティラベル

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

 

|

« 米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25) | Main | ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25) | Main | ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25) »