« 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開 | Main | ENISA テレコム・セキュリティ・インシデント 2022 »

2024.03.17

経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

こんにちは、丸山満彦です。

IoT製品のセキュリティについては英国でPTSI法があと1ヶ月少し(2024.04.29)より施行されますし、欧州のサイバーレジリエンス法 (CRA) もまもなく施行されそうですね。。。そして、米国のサイバートラストマークによるIoTセキュリティの担保についても、今月中には、なんらかの決定がでるような気がします。。。

と、IoTセキュリティの話が多いのですが、日本でもついに...IoT製品に対するセキュリティ適合性評価制度についての話がでてきました...

欧州のように法制化ではなく、任意制度として政府調達、マーク付与による差別化による価格転嫁がしやすくするなど、市場原理が適正に働く方向のインセンティブの導入により制度の普及を図るようにすることのようです。

保証水準はCCと同じように複数つくるようです。⭐️2、⭐︎1といった感じで...

1_20240316151201

 

評価基準(Criteria)については、これからつめることになりますかね。。。

2_20240316151301

 

一部英語に仮訳されていますね...

 

経済産業省

・2024.03.15 [PDF] IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会最終とりまとめ(本編)

20240316-150306

 

・2024.03.15 [PDF] IoT製品に対するセキュリティ適合性評価制度構築方針案(本編)

20240316-150407

 

・2024.03.15 [PDF] IoT製品に対するセキュリティ適合性評価制度構築方針案(概要説明資料)

20240316-181434

 

 

● ワーキンググループ3IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)

・2024.03.15 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 最終とりまとめ

 

・[PDF] 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 最終とりまとめ

別添1 セキュリティ要件一覧(後日公開予定)

・[PDF] 別添2 ☆1セキュリティ要件・適合基準

20240316-181217

 

英語仮訳

・2024.03.15 [PDF] IoT Product Security Conformity Assessment Scheme Policy Draft

20240316-182348

 

・2024.03.15 [PDF] (Annex) Security Requirements and Conformance Criteria for ☆1 (Star 1)

20240316-182852

 

 


 

検討会...

ワーキンググループ3IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)

IoT製品のセキュリティ適合性評価制度における基準等の策定に向けたプレ検討委員会

の開催状況

2024.03.15 制度構築に向けた検討会 最終
とりまとめ
2024.03.04 制度構築に向けた検討会 第7回
2024.02.02 基準等の策定に向けたPre検討会 第4回
2023.12.12 制度構築に向けた検討会 第6回
2023.10.03 制度構築に向けた検討会 第5回
2023.09.27 基準等の策定に向けたPre検討会 第3回
2023.09.11 基準等の策定に向けたPre検討会 第2回
2023.08.09 基準等の策定に向けたPre検討会 第1回
2023.07.19 制度構築に向けた検討会 第4回
2023.05.15 制度構築に向けた検討会 中間
とりまとめ
2023.03.17 制度構築に向けた検討会 第3回
2023.02.06 制度構築に向けた検討会 第2回
2022.11.01 制度構築に向けた検討会 第1回

 

まるちゃんの情報セキュリティ気まぐれ日記

検討会...

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

EU CRA...

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.01.29 欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

英国 PTSI

・2024.01.29 英国 2022年製品セキュリティ・通信インフラ制度のウェブページ(Product Security and Telecommunications Infrastructure Act 2022 関係)

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

ドイツのセキュリティ製品の認証

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.05.07 米国 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2023.05.03)

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

|

« 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開 | Main | ENISA テレコム・セキュリティ・インシデント 2022 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開 | Main | ENISA テレコム・セキュリティ・インシデント 2022 »