令和３年度補正中小企業サイバーセキュリティ対策促進事業（IoT機器脆弱性検証事業）報告書

この報告は、中小企業が開発・販売するIoT機器のサイバーセキュリティ脆弱性検証に関する取組について書かれた報告書である。

近年、家庭用IoT家電やスマートホーム機器、職場環境での照明・入退室管理システム、産業分野でのセンサ機器など、IoT機器は年間20～30億台のペースで急速に増加している。しかし、一般消費者の脅威理解は1割未満にとどまり、中小企業が開発するIoT機器のセキュリティ対策は十分でない状況である。脆弱性検証サービスの費用負担や開発期間延長などの理由により、中小企業における必要性の認識も浸透していない。

本事業では、中小企業等が開発・販売するIoT機器を対象とした脆弱性検証の実証を実施した。10社程度の検証事業者を選定し、機器に対するセキュリティ検証サービスを提供することで、IoT機器の設計・製造工程におけるセキュリティ対策の現状把握と検証サービスの実効性調査を行った。検証を通じて代表的な脆弱性が検出され、中小企業に対するアンケート調査により検証サービスへの満足度や今後の活用意向が明らかになった。

調査結果を踏まえ、IoT機器を開発・販売する中小企業向けのガイドと検証サービス事業者向けの手引きを作成した。中小企業向けガイドでは、開発段階からセキュリティを意識するセキュリティ・バイ・デザインの考え方を取り入れた対策の全体像を示した。検証事業者向け手引きでは、機器個別のセキュリティ検証プラクティス集を新たに追加し、既存手引きを拡充した。

さらに、IoT製品の安全性確保を目的とした適合性評価制度の構築について検討を行った。諸外国の取組状況を調査し、米国のNISTIR 8425やEUのサイバーレジリエンス法などの動向を分析した。有識者検討会での議論を通じて、既存の評価スキームを活用した制度設計の方向性を示し、制度の位置づけ、対象製品範囲、適合性評価基準、評価スキームの活用方法について整理した。今後議論すべき事項として、政府の関与や検討体制のあり方、IoT製品ベンダーの能動的な制度活用を促す仕掛け、適合性評価済製品におけるセキュリティ事案への対応が挙げられている。