令和３年度サイバー・フィジカル・セキュリティ対策促進事業 先進的手法を用いたセキュリティ検証及び検証サービスビジネスの発展に関する調査報告書

この報告は、IoT機器等に対する先進的手法を用いたセキュリティ検証及び検証サービスビジネスの発展に関する調査について書かれた報告書である。

Society 5.0の実現に向けてサイバー空間とフィジカル空間の高度融合が進む中、IoT機器の増加によりサイバー攻撃が現実社会に与える影響が拡大しており、十分なセキュリティ確保と適切な脆弱性検証基盤の構築が重要となっている。本調査では、国内外のIoT機器等に対する先進的脆弱性検証技術を調査し、検証サービス事業者向けガイドラインの拡充を図るとともに、信頼できる検証主体を確認する仕組みの検討を行った。

具体的には、スマートTV、スマートリモコン、カーナビゲーションシステム、産業用無線ルータ・産業用コントローラの4機器区分を選定し、民間検証サービス事業者における脆弱性検証の取組を調査・比較した。検証手法としては、情報収集、想定脅威分析、ハードウェア調査、ファームウェア解析、ネットワークキャプチャ等が主要なものとして確認された。

信頼できる検証事業者を確認する仕組みについては、米国HACS制度や英国CHECK制度等の海外事例を参考に、国内外の関連制度において求められる要件を分析し、有識者検討会や業界ヒアリングを通じて検討を重ねた。その結果、情報セキュリティサービス基準審査登録制度に「機器検証サービス」を新たに追加する案を策定し、検証事業者の信頼性確保のための要件項目や審査基準を整理した。

機器のサイバーセキュリティ確保については、国内機器メーカーにおけるセキュリティ対策の現状を調査し、企画・設計段階でのセキュリティ方針策定や脆弱性対策の実施状況を把握した。また、海外のラベリング制度やセキュリティ人材確保の取組を調査し、機器のセキュリティ・アシュアランスレベルを判断するための観点を整理した。今後の検証サービスビジネス発展に向けては、制度運用の具体化、ガイドライン普及啓発、人材育成等の継続的な取組が必要であるとした。