top of page

IoTサイバーセキュリティ関連法規の動向

更新日:2023年11月14日



2010年代以降、IoT機器の市場普及、産業機器のネットワーク化・IoT対応が進んでいます。例えば、FA機器はスタンドアロンの閉じたネットワークでの運用から、ネットワーク化したIoT対応へと変化しており、“Industry 4.0”を成立させる重要な要素です。今後は、IoTを基礎に、ロボティクス・AI・5G等他の技術を組み込んだ高度化が加速する見込みです。


様々な業界でIoT機器が普及する中、各業界でIoT機器のサイバーセキュリティに関する法規・規格が制定されています。以下の図は、関連する主要な法規・規格の例を示しています。

医療機器業界においては、米食品医薬品局(FDA)が医療機器の上市前申請・上市後のサイバーセキュリティ対応に関する推奨事項を整理したガイドラインを公表し、その一部の要件は、FD&C Actとして法令化されました。

IoT機器に関するサイバーセキュリティ法規・規格の議論が進んでいるのは欧州です。現在策定中の無線機器指令(RED)やサイバーレジリエンス法(CRA)は、IoT機器(を含むデジタル機器)やその開発プロセスにおけるサイバーセキュリティ対応を義務化する条項を含む予定です。

これらの法規には、既に公開されているETSI 303 645が定めるIoT機器のサイバーセキュリティ関連要件が反映されると予想されています。

FA機器業界においては、ISA/IEC 62443が、産業用オートメーション・制御システムのサイバーセキュリティ担保のための要件を示しています。

日本国内においても、海外のガイドライン・規格に則る形でサイバーセキュリティガイドライン・法令が整備されつつあります。


このように、IoTサイバーセキュリティに関する法規・規格が今後登場し施行され、多くの企業で適合が求められると予想されます。

これらの法規・規格へ適合するため、企業は法規・規格を正しく理解し、基本方針、業務プロセス・ルール、ツール、運用体制、およびサプライヤの管理等、多岐に渡る観点でサイバーセキュリティを実現するための手段を考えることが重要です。

観点

主要な要件

法規における規定例

基本方針

  • サイバーセキュリティ対策のプロセス・ 体制等が定義され、文書化されている

  • CS関連活動の文書化(IMDRF)

  • セキュリティマネジメント体系の策定・文書化(ISA/IEC 62443)

業務プロセスと役割分担

  • サイバーセキュリティリスクの設計時評価、対策実装、検証(Penetration/Fuzz test等)

  • 上市後の脆弱性監視・対応プロセス定義

  • 脅威モデリング・リスク評価実施(例多数)

  • Fuzz testing、バイナリ解析による構成解析(FDA)

SW開発/管理ルール

  • セキュアコーディング規則、攻撃への対策 機能の実装等、各種対策手法の適用

  • 開発文書や脆弱性等の整備・顧客等への提供

  • ​セキュアコーディングの実践、規則の採用 (ISA/IEC 62443、NISTIR 8259)

ツールの導入と運用

  • SBOMによるSW部品および脆弱性の管理

  • サードパーティ部品をSBOMで報告(FDA)

  • SBOMによるソフトウェア管理(IMDRF)

  • 製品に含まれるコンポーネントを特定して 文書化(EU)

運用体制

  • サイバーセキュリティ対応のための組織、 責任、教育、評価・監査体系を整備

  • 独立した組織によるテスト実施

  • 体制、責任の所在、適用対象、教育・評価体系を策定、文書化(ISA/IEC 62443)

  • 開発から独立した体制でのPenetration test 実施(FDA、ISA/IEC 62443)

サプライヤの管理・契約体系

  • サードパーティ部品選定・採用時の要件定義

  • SBOMによるサードパーティ部品の管理

  • サードパーティ部品への要件策定、文書化 (ISA/IEC 62443)

  • SBOMによるサードパーティ部品の管理(例多数)

Covalent株式会社について

Covalent株式会社は、高度な技術知見と深い業界知見を組み合わせて「実態のあるソリューション」をご提供しています。クライアントと真のパートナーシップ(Covalent bond)を築き、難解な課題へと一緒に挑んでいくこと、テクノロジーとクロスボーダーのノウハウ及びツールをご提供することが我々のミッションです。

近年ではサイバーセキュリティ関連サービスの提供を開始し、主に製造業向けにサイバーセキュリティ対策検討に向けたリサーチ、プロセス・ルール・体制整備に関するコンサルティング、SBOMはじめとするツール導入を進めております。当該活動を進める傍ら、経済産業省の実証にも参画し、そのエクスパティを広く産業界に還元する取り組みも積極的に進めております。

ご興味ある方はお問合せ下さい

車載ソフトウェア等IoT機器のサイバーセキュリティ対策や、関連法規対応、SBOM対応等で課題を感じていらっしゃる場合、ぜひ気軽に弊社サービスに関するお問合せを頂戴できれば幸いです。


免責事項

本資料は当社のサービスに関して情報提供を行うことを目的として作成されたものです。

当社は、できる限り正確な情報に基づいて本資料を作成しておりますが、その正確性、適切性、網羅性等を保証するものではありません。

本資料はあくまでも概括的な当社のサービスの説明を行うに留まり、これを閲覧された方および特定企業の個別事情を踏まえたものではありません。

当社は、本資料の作成日(2023年11月13日)現在の各種法令、政省令等を基礎として本資料を作成しておりますが、個々の法令等の解釈は必ずしも常に一様と言う訳ではありません。また、各種法令等は将来改正される可能性があります。

本資料に掲載されている情報を利用することで発生した紛争や損害に対し、当社は一切の責任を負いません。

当社は、本資料の著作権を有しており、本資料の全部又は一部の複製、及び再配布については当社の書面による許可を必要とします。


閲覧数:318回

Comments


bottom of page