IoTサイバーセキュリティの統一化

IoT (Internet of Things) はグローバルでボーダレスな現象であり、どこで暮らしていても、デバイスがどこに展開されていても、IoTデバイスが安全に機能することを誰もが求めています。残念なことに、サイバーセキュリティ規格を統一するのは困難です。

ネットワークに接続されたデバイスは何年も前から存在していますが、その多くはセキュリティのベスト・プラクティスの基本を守っていません。たとえば、多くのデバイスには脆弱性開示ポリシーがありません。そうしたポリシーは、セキュリティの弱点や脆弱性が発見された場合に報告するための伝達フレームワークを確立します。

世界中の政策立案者がコンシューマーIoTにおけるサイバーセキュリティの重要性を認識し始めており、セキュリティのベスト・プラクティスの採用を奨励する多くの取り組みが進行中です。現在、40か国以上の約20の規制機関がIoTサイバーセキュリティ規制を策定したり、各地域のIoT製品のサイバーセキュリティ・スキームの認証を模索したりしています。これらはすべて重要な取り組みですが、統一性が欠けています。

欧州電気通信標準化機構 (ETSI)、米国国立標準技術研究所 (NIST)、国際標準化機構/国際電気標準会議 (ISO/IEC) など、いくつかの組織が先導していますが、最善を尽くしているにもかかわらず、IoTサイバーセキュリティの規格には大きな差違があります。

そのため、グローバルには断片化した状況になっており、地域ごとに異なるアプローチを取っています。統一されていないと、メーカーがベスト・プラクティスを特定し、認証を取得することが難しくなるため、エンド・ユーザーにとっては検討している製品が適切に保護されるかどうかを把握することが困難になります。

特に重要な要件を統合するIoT Device Security Specification

IoTサイバーセキュリティの断片化が解消されれば、メーカーはコストを抑えながら迅速に開発を進められるようになり、エンド・ユーザーも必要な機能を備えた製品を簡単に選んで購入し、導入できるようになります。複数の独立した適合性評価に対応するメーカーのコストは、さまざまな形で発生する可能性があります。たとえば、リソースの割り当てに関してであれば、リソースが限られているのに、製品の開発やサポートに必要な場合です。評価と適合自体のコストは、少額で済むこともあれば、数千ドルに上ることもあります。これを何回も行う必要があると考えると重荷になります。さらに、この適合作業を世界レベルで行うとなると、作業の回数は数十にも及び、非常にコストの高い大望のように思えます。

IoTをよりアクセスしやすく、セキュアで使いやすくすることに尽力している業界団体であるConnectivity Standards Alliance (CSA) は、統一化を利用してサイバーセキュリティの断片化を解消することを目指しています。製品が安全に接続し、やり取りすることを可能にするユニバーサルなオープン規格を策定し、推進しています。CSAのホーム・オートメーションの相互運用性規格であるマターが生み出した勢いに乗って、CSAはProduct Security Working Group (PSWG) を設立して、共通の認証プラットフォームを構築し、民生用製品のさまざまなセキュリティ適合要件を統合しました。

PSWGは1つのシンプルな考えを念頭に置いて取り組んでいます。それは、「別の」サイバーセキュリティ規格は必要ない、というものです。必要なのは、コンシューマーIoTデバイスのグローバルなポリシーや規格の特に重要な要件を統合することです。これは、IoTデバイスのベンダーが製品のセキュリティ評価を1回だけ行えば、それを世界各地の複数のプログラムに適合していることを示す証拠として使用できるようにするためです。それと平行して、このプログラムでは、CSAが実施するセキュリティ評価で検証されたセキュリティのベスト・プラクティスに従っている製品を消費者が識別できる認証マーク (Verified Mark) を発行します。

約200社のCSAメンバーが協力し、関連するテクノロジ、専門知識、イノベーションを結集して、最近発表された「IoT Device Security Specification」を策定しました。

NXPは、バージョン1.0仕様および付随する認証プログラムであるProduct Security Verified Markの定義に積極的に貢献しました。また、CSA内のリーダーシップの役割への複数のリソースの割り当てに尽力し、理事会では製品セキュリティに関する規制、技術、認証に関するサブグループの議長を務め、さらに製品セキュリティ運営委員会のメンバーでもあります。すべては、バリュー・チェーン全体のメンバーと協力して、業界のこの重要な問題に対処するためです。Verified Markは、IoTのサイバーセキュリティ規格の採用に向けた大きな一歩であり、私たちはその策定に参加できたことを嬉しく思っています。

協力してIoT Device Security Specificationを策定

CSAのIoT Device Security Specification v1.0のリリースが、2024年3月18日にシンガポールで開催されたAlliance Member Meetingで発表されました。この仕様には、ETSI EN 303 645、NIST IR 8425（US Cyber Trust Security Markの基盤）、コンシューマーIoTセキュリティの最も成熟したラベリング・プログラムの1つであるSingapore Cybersecurity Label Scheme (CLS) など、コンシューマーIoTにおけるサイバーセキュリティのベースラインとなる要件をカバーし、広く採用されている複数の国際規格が反映されています。

コンシューマーIoTセキュリティのポリシー導入が進む中、US Cyber Trust Markや施行予定のEU Cyber Resilience Act (CRA) の発表などのプログラムにより、CSA PSWGによる認証統一化の取り組みの重要性がますます高まっています。この目標に向けた最初のステップは、Connectivity Standards Allianceとシンガポールのサイバーセキュリティ庁との間のコンシューマーIoT向けサイバーセキュリティ・ラベルに関する相互承認協定の締結です。

CSAのProduct Security Certification ProgramおよびVerified Mark

電球、スイッチ、サーモスタット、ドアホン・カメラなど幅広いスマートホーム・デバイスを網羅するCSAのProduct Security Certification Programは、IoTデバイスの最小要件を確立しています。このCertification Programは、複数の国際規制を一連の要件に統合することにより、プロセスを合理化し、1回の評価で複数の国や地域の認証基準を満たすことができるようにしています。CSAのProduct Security Verified Markは、製品が仕様のセキュリティ要件を満たしていることを証明するものです。

Verified Markには、デバイスのセキュリティに関する数十の具体的な規定が含まれています。IoTデバイスのメーカーは、すべての規定を遵守し、セキュリティ評価の専門知識と仕様に関連する製品の認証経験を備えた正規試験機関に正当な根拠と証拠を提出する必要があります。

Verified Mark認定の一環である要件の一部を次に示します。

• IoTデバイスごとに一意のID
• ハードコードされたデフォルト・パスワードなし
• プロセスの分離
• デバイスへの機密データのセキュアな格納
• セキュリティ関連情報のセキュアな通信
• サポート期間全体にわたるセキュアなソフトウェア・アップデート
• 脆弱性管理を含むセキュアな開発プロセス
• サポート期間を含むセキュリティに関する公開ドキュメント

NXPはVerified Mark認定対応済み

このプログラムのパイロット段階で、NXPトライラジオ・ワイヤレスMCU RW612（Wi-Fi® 6、Bluetooth® Low Energy 5.3、802.15.4）、NXPsマルチプロトコル・ワイヤレスMCU K32W148、およびコンパニオンEdgeLock® SE051セキュア・エレメントを搭載したi.MX 93アプリケーション・プロセッサは、認証済みスマート民生用製品の製造要件を確実に満たしており、それらの製品にCSAのVerified Markを表示し、セキュアで相互運用可能なマター製品を製造するために必要なすべてのセキュリティ機能を提供できます。

前述のワイヤレスMCUとアプリケーション・プロセッサはすべて、高度なセキュリティを備え、特にEdgeLockセキュア・エンクレーブとNXP EdgeLock 2GO鍵管理サービスのネイティブ・サポートが組み込まれており、絶えず変化するサイバー環境にレジリエンスをもたらします。

CSAはIoTをより使いやすくすることに取り組み、NXPはIoTセキュリティの導入と提供を簡易化することに取り組んでいます。それが、2020年にEdgeLock Assuranceと呼ばれる全社的なプログラムを立ち上げた理由の1つです。これは、セキュリティの技術的な側面と非技術的な側面をカバーし、CSAのVerified Markをサポートする先駆的で包括的なプログラムです。

明るい未来

遠くない将来には、消費者がどこに住んでいても、デバイスがどこに展開されていても、IoTデバイスが安全に機能するかどうかを心配する必要がなくなります。

それは、製品を基本的にセキュアであるように設計する「セキュア・バイ・デザイン」の原則に従った未来です。そして、標準化と統一化の両輪により、コンシューマーIoTが増大するデジタル社会のニーズにセキュアに対応し続けることを保証できます。

著者紹介

Denis NOЁL

Denisは現在、NXP Semiconductorsのセキュア・コネクテッド・エッジ事業部で戦略およびマーケティング担当ディレクターを務めています。この職務では、NXPのエッジ・プロセッシング・ポートフォリオ全体のセキュリティ戦略と、産業分野のNXP MCU製品の市場販売を担当しています。Denisは、複数のグローバル・ハイテク企業で25年以上の経験を培い、コネクティビティ、セキュリティ、半導体の分野に関する豊富な専門知識を持っています。直近では、スマート製品認証の製品マーケティング責任者を務め、IoT分野におけるNFC、ディスクリート・セキュア・エレメント、クラウド・セキュリティ・サービスの導入を推進しました。それ以前は、Thales、Philips、その後NXPで事業開発、マーケティング、研究開発、および管理の役職を歴任しました。無線LAN、超低電力無線ボディ・エリア・ネットワーク (WBAN)、車載ネットワーク、アビオニクス通信、デジタル映像放送システム、セキュアRFIDタグなどの分野で複数の技術革新とテクノロジ開発プロジェクトを率いました。ベルギーのルーヴァン・ラ・ヌーヴ大学 (UCL) でエレクトリカル・エンジニアの修士号とマネジメントの修士号を取得しています。

Carlos Serratos

Carlosは、IoTセキュリティおよび規制コンプライアンスのスペシャリストです。NXPのIoT認定エキスパートとして、業界や地域を越えて政策立案者、規制当局、産業界と協力し、コンプライアンス、リスク管理、説明責任の目的での信頼性向上の問題に取り組んでいます。セキュリティ規制のコンプライアンス、スキームや規格の策定、およびIoT市場での適用可能性に関する専門家です。現在は、Connectivity Standards AllianceのProduct Security Working Groupに参加し、製品セキュリティ認証および規制に関する活動の共同議長を務めています。