経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
こんにちは、丸山満彦です。
経済産業省産業サイバーセキュリティ研究会の「WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」がIoT評価に関する報告書を中間とりまとめとして、公表していますね。。。
大きな方向としては、この委員会が立ち上がるときに私がブログで書いていた内容と同じように思えるので、よいのではないかなぁ。。。
あとは、ISMSの時のように、立ち上げを迅速にし、世界標準での世界的な成功例として、他国の制度の模範となることかもしれませんね。。。
英国は法律で推進していますし、EUもおそらくサイバーレジリエンス法によってそうするでしょうし、、、米国も安全保障の観点から大統領令にもとづいて制度試行は考えているようですし、準備も始めていますよね。。。
ISMSの時は、情報処理サービス業情報システム安全対策実施事業所認定制度の後継となることがきまっていましたから、ある意味ベースがあったわけで、それが良かったわけです。それ以外のITSMS、CSMSなどは、それほど事業者が増えていません。Pマークも法律の施行を契機として増えたわけです。。。
そういう意味では、取得製品等に対するインセンティブを国が補助するというのは、国益という観点からありかもしれませんね。。。例えば、取得製品が最終消費者に売れるたびに10%の補助金をだすとか(最終消費者が誰か、転売して最終的に返品していないか、等の不正対策はいるでしょうが...)。このあたりは、綿密な普及のための制度設計が必要だと思います。。。
そういえば、製品・システムのセキュリティ認証といえば、ISO/IEC 15408、で、田渕治樹さんでしたが、田渕さんはどうされているのでしょうかね。。。2001年ごろでしょうか、CCについて教えてもらったことがあります。。。
⚫︎経済産業省 - 審議会・研究会 - ものづくり/情報/流通・サービス - 産業サイバーセキュリティ研究会 - ワーキンググループ3(サイバーセキュリティビジネス化) - ワーキンググループ3(IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)
・2023.05.15 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
・[PDF] 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
- 米国では、2022 年 10 月にホワイトハウスにおいて、消費者向け IoT 製品のラベリング制度の構築に向けた企業、団体及び政府機関間の議論が行われた。
- 英国では、消費者向け IoT 製品に対してセキュリティ対策の義務化を求める PSTI 法[1]が 2022年 12 月に成立した。
- EU では、EU 市場に投入されるあらゆるデジタル製品のセキュリティ対応を義務付ける EU サイバーレジリエンス法[2]の草案が 2022 年 9 月に発表された。
- ドイツ、シンガポール及びフィンランドでは、消費者向け IoT 製品に対するセキュリティラベリング制度が既に開始している。
[1] Product Security and Telecommunications Infrastructure Act 2022 https://www.legislation.gov.uk/ukpga/2022/46/contents/enacted
[2] European Commission, Cyber Resilience Act https://digital-strategy.ec.europa.eu/en/library/cyber-resilienceact
⚫︎ まるちゃんの情報セキュリティ気まぐれ日記
・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会
米国のサイバーセキュリティラベル
・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
EUのサイバーセキュリティ
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.01.29 欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構
・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
英国
・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06
・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表
・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24
中国
・2023.03.10 中国 デジタルチャイナ建設全体配置計画 (2023.02.27)
・2023.01.10 中国 中国のサイバーセキュリティ政策の発展における成果と変化 (2022.12.30)
« 個人情報保護委員会 個人情報を考える週間(令和5年の取組) | Main | 米国 CISA ブログ コロニアルパイプラインへの攻撃:この2年間で私たちが学んだこと、私たちがやってきたこと (2023.05.07) »
Comments