« 米国 国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27) | Main | インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版) »

2022.11.04

経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

こんにちは、丸山満彦です。

経済産業省で、第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会が開催されたようですね。。。

IoT機器等のセキュリティ認証については、EU(ドイツ、フィンランド)、シンガポールで始まり、米国でもNISTを中心に検討が進んでいますね。。。

このタイミングでは、認証を受ける事業者のメリットを考え、国際的な枠組みと同じにしておくことが重要かと思います(最低でも相互認証を前提とした制度にするイメージ)。日本独自色を出したいのであれば、国際的な枠組みの中で、それを提案していく感じです。

ちょうど、ISO\IEC 27000シリーズがそのようになったように思います。。。

あれが、経済産業の安全対策事業者認定制度を廃止し、民間の認証制度に変えようということで、私も初期メンバーとして制度づくりから考えました。当初は、独自色を出したい人も多かったのですが、当時英国が国際基準化を目論んでいたBS7799と同じ内容(それでも当初は、一部日本独自色を出しましたが。。。)にして、BS7799が国際基準になったタイミングで、JIS化をし、日本でも普及しましたよね。。。で、普及したので、日本から多くのメンバーがSC27のメンバーになり、ISO/IEC 27000シリーズの開発、改訂に関わっていますよね。。。

認証制度のポイントは、

・クライテリア(適合するための基準)

・評価基準(評価者の力量、評価方法、評価結果の報告等)

という静的な部分と、

・評価者(認証機関、監査会社)の管理の仕組み(認定機関を含むスキーム)

ということになると思います。2002年に経済産業の情報セキュリティ監査制度を作る時に検討しましたが。。。

 

● 経済産業省- 審議会・研究会 - ものづくり/情報/流通・サービス - 産業サイバーセキュリティ研究会 - ワーキンググループ3(サイバーセキュリティビジネス化) - ワーキンググループ3(IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)

・2022.11.01 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 


 

ドイツのセキュリティ製品の認証

● まるちゃんの情報セキュリティきまぐれ日記

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

|

« 米国 国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27) | Main | インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27) | Main | インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版) »