2024年度 第1回定例研究会
<IoT製品に対するセキュリティ適合性評価制度について ~拡大するサイバー脅威とセキュリティ対策の方向性~>
2024年04月23日開催
講演概要
近年、IoT製品の脆弱性を狙ったサイバー脅威が高まってきています。このため、2022年11月から経済産業省が設置した「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」(以下「検討会」という。)において安全性評価制度の議論が進められてきました。今般、最終とりまとめを踏まえた本制度の制度構築方針案が作成され、2024年3月15日~4月15日予定で意見公募が実施されております。
そこで今回の研究会では2024年度中に開始が見込まれる本制度の概要と今後の方向性について経済産業省よりご講演いただきます。
講師
木本 達也 氏
セミナーレポート
2024年度 第1回定例研究会は、経済産業省 木本 達也 氏をお招きし、「IoT製品に対するセキュリティ適合性評価制度について ~拡大するサイバー脅威とセキュリティ対策の方向性~」をテーマに、ご講演を頂きました。
本制度は2022年11月より経済産業省で検討が行われ、今年3月に検討の最終とりまとめが公表され、制度構築方針案へのパブコメが4/15まで実施されたものとなります。情報セキュリティ監査を行うにあたり、昨今増加しているIoT機器の安全性の確保についても今後は充分な考慮が必要になることから、今回定例研究会で取り上げさせていただきました。
最初に本制度構築の背景と経緯についてのご説明がありました。IoT機器の急増に伴い脆弱性を狙ったサイバー脅威が高まってきていること、諸外国でもIoT製品のセキュリティ対策に関する制度検討が進んでいること、これらの取組状況を考慮したうえで、共通的な物差しで製品のセキュリティ機能を評価・可視化することが重要であり、調達者が適切なセキュリティ対策が講じられているIoT製品を容易に選択できる仕組みが必要であることが述べられました。
次に制度を普及させていくための取組について説明がありました。対象としてまず政府機関等、重要インフラ事業者、地方公共団体に対して、IoT製品調達時に用途やそのリスクに応じて、本制度における認定を受けたラベル付与製品を選定・調達することを求めていくことが述べられました。関係機関との調整の方向性としては大きくは政府機関等に対しては、統一基準やそのガイドライン等、制度に関する記載を追加すること、重要インフラ事業者に対しては「重要インフラのサイバーセキュリティに係る行動計画」に紐づく安全基準等策定指針および手引書に記載を追加すること、地方公共団体には、前述の統一基準への記載の追加により、地方公共団体セキュリティポリシーガイドラインへの記載に結び付けること等が検討されているとのことでした。さらに講演の中では、民間についても普及方策が触れられ、制度に関連する業界団体やベンダ、利用者、評価機関等のステークホルダへの制度の浸透のための検討内容が示されました。
最後に制度の施行のスケジュールとして2024年半ばに制度開始の正式案内を行い、2024年度中(2025年3月の想定)に制度の開始を目指すことが示されました。
当日の参加人数は166名です。
今回、直近で施行を予定している新たな制度の説明会ということもあり、具体的な運用を想定した活発な質疑応答が30分弱に渡り行われました。受講者からのすべての質問に対しては木本様からそれぞれ丁寧なご回答をいただきました。受講後のアンケートからも受講者の皆様の関心の高さがうかがえるセミナーとなりました。