ISO/IEC 27403:2024サイバーセキュリティ - IoTセキュリティとプライバシー - IoTドモティクスのためのガイドライン (2024.06.25)

こんにちは、丸山満彦です。

ISO/IEC 27403:2024サイバーセキュリティ - IoTセキュリティとプライバシー - IoTドモティクスのためのガイドラインが公表されていますね...

 

● ISO

・2024.06.25 ISO/IEC 27403:2024(en) Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics

 

目次...

Foreword	まえがき
Introduction	序文
1 Scope	1 範囲
2 Normative references	2 引用規格
3 Terms and definitions	3 用語と定義
4 Abbreviated terms	4 略語
5 Overview	5 概要
5.1 General	5.1 概要
5.2 Features	5.2 特徴
5.3 Stakeholders	5.3 ステークホルダー
5.4 Life cycles	5.4 ライフサイクル
5.5 Reference model	5.5 参照モデル
5.6 Security and privacy dimensions	5.6 セキュリティとプライバシーの側面
6 Guidelines for risk assessment	6 リスクアセスメントのガイドライン
6.1 General	6.1 一般事項
6.2 Sources of security risks	6.2 セキュリティリスクの発生源
6.2.1 Security risks for service sub-systems	6.2.1 サービスサブシステムのセキュリティリスク
6.2.2 Security risks for IoT-domotics gateway	6.2.2 IoT-ドモティクス・ゲートウェイのセキュリティリスク
6.2.3 Security risks for IoT-domotics devices and physical entities	6.2.3 IoT-ドモティクス機器及び物理事業体のセキュリティリスク
6.2.4 Security risks for networks	6.2.4 ネットワークのセキュリティリスク
6.3 Sources of privacy risks	6.3 プライバシーリスクの原因
6.3.1 Privacy risks for service sub-systems	6.3.1 サービスサブシステムのプライバシーリスク
6.3.2 Privacy risks for IoT-domotics gateway	6.3.2 IoTドモティクス・ゲートウェイのプライバシーリスク
6.3.3 Privacy risks for IoT-domotics devices and physical entitles	6.3.3 IoTドモティクス機器及び物理的エンタイトルメントのプライバシーリスク
6.3.4 Privacy risks for networks	6.3.4 ネットワークのプライバシーリスク
7 Security and privacy controls	7 セキュリティとプライバシー管理
7.1 Principles	7.1 原則
7.1.1 General	7.1.1 一般原則
7.1.2 Different levels of security for different services	7.1.2 サービスごとに異なるセキュリティレベル
7.1.3 Easy security settings for users	7.1.3 ユーザの簡単なセキュリティ設定
7.1.4 Failsafe domotics devices	7.1.4 フェールセーフなドモティクス機器
7.1.5 Restricted access to content services	7.1.5 コンテンツサービスへのアクセス制限
7.1.6 Consideration for children	7.1.6 子どもへの配慮
7.1.7 Scenario-specific privacy preferences	7.1.7 シナリオ別のプライバシー設定
7.2 Security controls	7.2 セキュリティ管理
7.2.1 Policy for IoT-domotics security	7.2.1 IoTドモティクスのセキュリティに関する方針
7.2.2 Organization of IoT-domotics security	7.2.2 IoTドモティクスセキュリティの組織化
7.2.3 Asset management	7.2.3 資産管理
7.2.4 Equipment and assets located outside physical secured areas	7.2.4 物理的に保護された区域外にある機器及び資産
7.2.5 Secure disposal or re-use of equipment	7.2.5 機器の安全な廃棄又は再利用
7.2.6 Learning from security incidents	7.2.6 セキュリティインシデントからの学習
7.2.7 Secure IoT-domotics system engineering principles	7.2.7 安全な IoT ドモグラフィシステム工学の原則
7.2.8 Secure development environment and procedures	7.2.8 安全な開発環境及び手順
7.2.9 Security of IoT-domotics systems in support of safety	7.2.9 安全を支えるIoTドモティクス・システムのセキュリティ
7.2.10 Security in connecting varied IoT-domotics devices	7.2.10 多様なIoTドモティクス機器の接続におけるセキュリティ
7.2.11 Verification of IoT-domotics devices and systems design	7.2.11 IoTドモティクス機器とシステム設計の検証
7.2.12 Monitoring and logging	7.2.12 監視とロギング
7.2.13 Protection of logs	7.2.13 ログの防御
7.2.14 Use of suitable networks for the IoT-domotics systems	7.2.14 IoTドモティクス・システムに適したネットワークの利用
7.2.15 Secure settings and configurations in delivery of IoT-domotics devices and services	7.2.15 IoT ドモティクス機器及びサービスの提供における安全な設定及び構成
7.2.16 User and device authentication	7.2.16 ユーザ及び機器の認証
7.2.17 Provision of software and firmware updates	7.2.17 ソフトウェア及びファームウェアの更新の提供
7.2.18 Sharing vulnerability information	7.2.18 脆弱性情報の共有
7.2.19 Security measures adapted to the life cycle of IoT-domotics system and services	7.2.19 IoT ドモティクス・システム及びサービスのライフサイクルに適合したセキュリティ対策
7.2.20 Guidance for IoT-domotics users on the proper use of IoT-domotics devices and services	7.2.20 IoT ドモティクス利用者に対する IoT ドモティクス機器及びサービスの適切な利用に関するガイダンス
7.2.21 Determination of security roles for stakeholders	7.2.21 関係者のセキュリティ上の役割の決定
7.2.22 Management of vulnerable devices	7.2.22 脆弱性機器の管理
7.2.23 Management of supplier relationships in IoT-domotics security	7.2.23 IoT ドモティクス・セキュリティにおける供給者関係の管理
7.2.24 Secure disclosure of Information regarding security of IoT-domotics devices	7.2.24 IoT ドモティクス・機器のセキュリティに関する情報の安全な開示
7.3 Privacy controls	7.3 プライバシー管理
7.3.1 Prevention of privacy invasive events	7.3.1 プライバシー侵害事象の防止
7.3.2 IoT-domotics privacy by default	7.3.2 デフォルトによる IoT ドモグラフィのプライバシー
7.3.3 Provision of privacy notice	7.3.3 プライバシー通知の提供
7.3.4 Verification of IoT-domotics functionality	7.3.4 IoTドモティクスの機能検証
7.3.5 Consideration of IoT-domotics users	7.3.5 IoTドモティクス利用者への配慮
7.3.6 Management of IoT-domotics privacy controls	7.3.6 IoTドモティクスのプライバシー管理の管理
7.3.7 Unique device identity	7.3.7 ユニークな機器ID
7.3.8 Fail-safe authentication	7.3.8 フェイルセーフ認証
7.3.9 Minimization of indirect data collection	7.3.9 間接的データ収集の最小化
7.3.10 Communication of privacy preferences	7.3.10 プライバシー設定のコミュニケーション
7.3.11 Verification of automated decision	7.3.11 自動化された決定の検証
7.3.12 Accountability for stakeholders	7.3.12 利害関係者に対する説明責任
7.3.13 Unlinkability of PII	7.3.13 PII の連結不可能性
7.3.14 Sharing information on PII protection measures of IoT-domotics devices	7.3.14 IoT ドモティクス機器の PII 保護対策に関する情報の共有
Annex A Use cases of IoT-domotics	附属書 A IoT ドモティクスのユースケース
A.1 Use case 1: entertainment	A.1 ユースケース 1：娯楽
A.2 Use case 2: electrical appliance control	A.2 ユースケース 2：電化製品の制御
A.3 Use case 3: monitoring and security system	A.3 ユースケース3：監視・セキュリティシステム
A.4 Use case 4: care service	A.4 ユースケース4：介護サービス
A.5 Use case 5: energy management	A.5 ユースケース5：エネルギー管理
A.6 Use case 6: car video communication	A.6 ユースケース6：車載ビデオコミュニケーション
Annex B Security and privacy concerns from stakeholders	附属書B ステークホルダーからのセキュリティとプライバシーに関する懸念
B.1 Security concerns	B.1 セキュリティに関する懸念
B.1.1 General	B.1.1 一般的な懸念
B.1.2 Security concerns from IoT-domotics service provider	B.1.2 IoT ドモティクス・サービス・プロバイダからのセキュリティ懸念
B.1.3 Security concerns from IoT-domotics service developer	B.1.3 IoT ドモティクスサービス開発者のセキュリティ懸念
B.1.4 Security concerns from IoT-domotics user	B.1.4 IoTドモティクス利用者のセキュリティ懸念
B.2 Privacy concerns	B.2 プライバシーに関する懸念
B.2.1 General	B.2.1 一般的な懸念
B.2.2 Privacy concerns from IoT-domotics service provider	B.2.2 IoTドモティクスサービスプロバイダからのプライバシーに関する懸念
B.2.3 Privacy concerns from IoT-domotics service developer	B.2.3 IoTドモティクスサービス開発者のプライバシーに関する懸念
B.2.4 Privacy concerns from IoT-domotics user	B.2.4 IoT ドモティクス利用者のプライバシーに関する懸念
Annex C Security and privacy responsibilities of stakeholders	附属書 C 関係者のセキュリティ及びプライバシーに関する責任
C.1 Responsibilities of IoT-domotics service provider	C.1 IoT ドモティクスサービスプロバイダの責任
C.2 Responsibilities of IoT-domotics service developer	C.2 IoTドモティクスサービス開発者の責任
C.3 Responsibilities of IoT-domotics user	C.3 IoT ドモティクス利用者の責任
Annex D Security measures for different types of IoT-domotics devices	附属書 D IoT ドモティクス機器の種類に応じたセキュリティ対策
D.1 General	D.1 一般
D.2 Class I	D.2 クラス I
D.3 Class II	D.3 クラスII
D.4 Class III	D.4 クラス III
D.5 Class IV	D.5 クラス IV
Figuares	図
Figure 1 — IoT-domotics life cycles	図1-IoTドモティクス・ライフサイクル
Figure 2 — IoT-domotics reference model	図2-IoTドモティクス参照モデル
Figure A.1 — Entertainment scene	図A.1 - 娯楽シーン
Figure A.2 — Electrical appliance control scene	図A.2 - 電化製品の制御シーン
Figure A.3 — IoT-domestics security system scene	図A.3 - IoTドーメスティクスのセキュリティシステムのシーン
Figure A.4 — Healthcare service scene	図A.4 - ヘルスケアサービスシーン
Figure A.5 — Energy management scene	図A.5 - エネルギー管理シーン
Figure A.6 — Car video communication scene	図A.6 - カービデオ・コミュニケーション・シーン
Tables	表
Table 1 — Stakeholders involved in IoT-domotics	表1 - IoT ドモティクスに関わる関係者
Table 2 — Correspondence between entities described in this document and domains described in ISO/IEC 27400	表2 - 本文書に記載された事業体と ISO/IEC 27400 に記載されたドメインとの対応関係
Table 3 — IoT-domotics entities and their involved security and privacy dimensions	表3 - IoT ドモティクスの事業体と、それらに関係するセキュリティ及びプライバシーの次元
Table B.1 — Security protection attributes	表B.1 - セキュリティ保護属性
Table B.2 — Privacy protection attributes	表B.2 - プライバシー保護属性
Table D.1 — Classification of IoT-domotics devices based on hardware resources	表D.1-ハードウェア資源に基づく IoT ドモティクス機器の分類

 

Domotics（ドモティックス）はHome automation（ホームオートメーション）のことですね...