IoT機器の評価認証

IoT機器の評価認証

2025/07/03

IoT機器の評価認証 セキュリティー確認効率化

産総研では、将来の産業ニーズを見据えた目的基礎研究を通じて、革新的な技術シーズの創出に挑戦しています。
こうした最先端の成果を、日刊工業新聞で連載しています。産総研マガジンでもご紹介していますので、ぜひご覧ください。
※本記事は、日刊工業新聞社の許諾を得て掲載しています。著作権は日刊工業新聞社に帰属します。

　IoT（モノのインターネット）時代となり、身近なモノがインターネットに接続されて世の中が便利になった。その反面、ネットを介したモノへの攻撃に対処する必要が生じた。

　そこで、モノに対して、セキュリティーを確認するための仕組みづくりが、国際的に進められている。では、どのような仕組みなら、ユーザーはモノのセキュリティーを確認できるのか。

要求適合を提示

　図中のセキュリティー要求仕様書は、当該製品分野の典型的なセキュリティー要件を製品の業界がまとめ、その妥当性をセキュリティーの専門家である第三者が確認した文書である。IoT機器の調達者はこれを用いて、調達要件を製品提供者（ベンダー）に提示する。ベンダーは、自社製品がこの文書の要求に適合していることを提示するためにセキュリティー設計仕様書を作成し、評価機関に評価を依頼する。

　評価機関は、国際規格（ISO/IEC 15408）などに基づき、セキュリティー要求仕様書に対してセキュリティー設計仕様書に記載されたセキュリティー機能の妥当性などを評価し、その結果を評価報告書としてまとめる。認証機関は、この報告書を検証し、上記基準を満たしていれば、認証書を発行する。ユーザーはこの認証書によって、IoT機器のセキュリティーを確認できる。

仕様書を開発

　ベンダーはIoT機器の価格を抑えるため、セキュリティー対策および製品評価へのコストに制約を課す場合がある。こうした背景から、産業技術総合研究所（産総研）はIoT機器の用途、情報の重要度、運用環境に応じた攻撃者の能力を想定し、IoT機器向けに限定、精密化したセキュリティー要求仕様書を開発することで、評価の際のコストを低減する仕組みを研究し、2022年には「ITセキュリティ評価及び認証制度（JISEC）」の下で、本仕様書に対して認証を取得した。

サイバーフィジカルセキュリティ研究部門
セキュリティ保証スキーム研究グループ
研究グループ長

吉田　博隆

YOSHIDA Hirotaka