★☆★JNSAメールマガジン 第301号 2024.11.29☆★☆
2024/11/29 (Fri) 15:30
★☆★JNSAメールマガジン 第301号 2024.11.29☆★☆
こんにちは
JNSAメールマガジン 第301号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
経済産業省 商務情報政策局 サイバーセキュリティ課
木本 達也様にご執筆いただきました。
【連載リレーコラム】
IoTセキュリティ適合性評価制度(JC-STAR)の普及と浸透に向けて
経済産業省 商務情報政策局 サイバーセキュリティ課
課長補佐 木本 達也
利用されるIoT機器の数やそれを狙った攻撃が増加しており、IoT機器の脆弱性
を突いたサイバー攻撃から大きな被害も出ています。
流通するIoT機器のセキュリティ向上に係る施策が諸外国で検討される中、
経済産業省でも2022年11月より、IoT機器(ルータ、ネットワークカメラ、
ドローン、スマート家電、センサー、PLC等)のセキュリティを評価し、
ラベルを付与することで可視化する制度の有識者検討会[1]を開始しました。
検討会での議論を経て、2024年3月に制度構築方針案の公開とパブリック・
コメントの実施、2024年9月にIPAからJC-STARという名称で制度を開始すること
の案内[2]を実施しました。
2025年3月予定の★1からの制度開始に向けて、IPAと経済産業省にて準備を進め
ています。
制度の概要は、公開済みの資料やホームページ[3]、各種セミナー、IPAが開催
する説明会[4]等で確認いただけますので、本稿では、JC-STAR制度の開始後、
いかに制度を普及させ浸透させていきたいのか、その考えについて紹介します。
ラベルや認証は、多くの人が漠然とでもそれを認知し、「何かいいものだ」と
感じ、優先的に選択されるようになって、はじめて価値を発揮するものと
考えています。
価値がないものに企業はコストをかけません。
一方で、多くの企業がラベルや認証を取得し、その製品が広まらないと世間に
認知されません。
JC-STAR制度では、企業・組織が購入するビジネス用途のIoT機器から、一般
消費者が購入・利用するIoT機器まで対象としています。
一般消費者が「値段が高くても高いセキュリティを示すラベルを取得したIoT
機器を購入する」という世の中になることが理想ですが、残念ながら現状を
考えると、それを前提にメーカーにラベルの取得に動いていただくのは難しい
と考えています。
そこで、まずは企業・組織をターゲットとし、ビジネス用途のIoT機器のラベル
取得を推進し、ラベル取得製品の普及とラベルの認知度向上を図りつつ、一般
消費者へ展開することを考えています。
一定規模以上の企業・組織では、IoT機器のセキュリティの重要度は理解して
いるものの、IT部門ではなく業務部門が調達する場合もあり、現実問題として
調達時にそのセキュリティを確認するのは困難な状況です。
そこで、その問題の解決策として、IoT機器に関する調達ルールに、JC-STAR
制度のラベル取得を原則とすることで、IT・セキュリティ部門が示す水準
(★1~★4)以上のIoT製品が調達されることの実現が可能となります。
まずは政府調達のルールに含めるべく、2024年7月に一部改定された政府統一
基準群のガイドライン[5]にIoT機器調達時のセキュリティ確認の必要性と
2025 年度中に同制度のラベル取得を機器等の選定基準に含める方針を追加
しました。
来年度は、JC-STAR制度の開始に合わせた同ガイドラインの改定に加え、
地方公共団体向けのセキュリティポリシーガイドラインや重要インフラ事業者
向けのサイバーセキュリティに関する指針等に同様の方針を反映することで
検討を進めています。
これらの改定とビジネス用途のIoT機器のラベル取得が進むことで、
民間企業の調達ルールにも徐々にJC-STARのラベルの活用が盛り込まれていく
ものと期待しています。
一方で、中小企業や一般消費者に向けては、上記のアプローチでの普及・浸透
は難しいと考えています。
しかしながら、中小企業や一般消費者であってもサイバー攻撃を受けるリスク
から逃げられるわけではなく、脆弱なIoT機器を使用することで、ウイルス感染
や情報漏えいなど自らが被害にあうことに加え、機器が乗っ取られることで
他者を攻撃する踏み台に悪用され、自らが加害者になる可能性があることを
伝えていく必要があると考えています。
そのうえで、JC-STARのロゴやラベル(★)の意味を、パンフレットやポスター
等でシンプルに分かりやすく伝え、IoT機器を購入する際は、少なくとも★1を
取得した製品を購入するように促していきます。
ただし、ラベルを取得したIoT機器の購入だけでは十分ではありません。
適切なパスワードの設定・管理やセキュリティアップデートの実施など、
総務省のNOTICE[6]の取組と連携しながら、購入後のセキュリティ管理の必要性
や重要性も伝えていきます。
JC-STAR制度の立ち上げと普及・浸透に向けて、皆さんのご理解とご協力を
いただけますと幸いです。
[1] IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会(経済産業省)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/index.html
[2] IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します(IPA)
https://www.ipa.go.jp/pressrelease/2024/press20240930.html
[3] セキュリティ要件適合評価及びラベリング制度(JC-STAR)(IPA)
https://www.ipa.go.jp/security/jc-star/index.html
[4] JC-STAR説明会の開催要領(IPA)
https://www.ipa.go.jp/security/jc-star/seminar/index.html
[5] 政府機関等の対策基準策定のためのガイドライン(令和5年度版)の一部改定(令和6年7月)(NISC)
https://www.nisc.go.jp/policy/group/general/kijun.html
[6]NOTICE(総務省)
https://notice.go.jp/
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/njzpzy3v
※googleアンケートフォームを利用しています。
【JNSAイベントのお知らせ】
★12月6日開催 標準化部会日本ISMSユーザグループ主催セミナー
「情報セキュリティマネジメント・セミナー2024」参加登録(オンライン)を受付中です。
https://www.jnsa.org/seminar/std/isms/2024/index.html
★JNSAインターンシップ「サイバーセキュリティ企業合同会社説明」(学生向けイベント)
JNSAインターンシップ参加企業9社による企業紹介。サイバーセキュリティに関連する企業の
採用担当者、サイバーセキュリティ職種に就く先輩と直接お話しできるチャンス!!
参加登録受付中です。
https://www.jnsa.org/internship/index.html
【部会・WGからのお知らせ】
★日本セキュリティオペレーション事業者協議会(ISOG-J)の脆弱性診断士スキルマップ
プロジェクトが「脆弱性トリアージガイドライン作成の手引き」第2章以降を公開しました。
https://isog-j.org/output/2024/asmguidance.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第301号
発信日:2024年11月29日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第301号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
経済産業省 商務情報政策局 サイバーセキュリティ課
木本 達也様にご執筆いただきました。
【連載リレーコラム】
IoTセキュリティ適合性評価制度(JC-STAR)の普及と浸透に向けて
経済産業省 商務情報政策局 サイバーセキュリティ課
課長補佐 木本 達也
利用されるIoT機器の数やそれを狙った攻撃が増加しており、IoT機器の脆弱性
を突いたサイバー攻撃から大きな被害も出ています。
流通するIoT機器のセキュリティ向上に係る施策が諸外国で検討される中、
経済産業省でも2022年11月より、IoT機器(ルータ、ネットワークカメラ、
ドローン、スマート家電、センサー、PLC等)のセキュリティを評価し、
ラベルを付与することで可視化する制度の有識者検討会[1]を開始しました。
検討会での議論を経て、2024年3月に制度構築方針案の公開とパブリック・
コメントの実施、2024年9月にIPAからJC-STARという名称で制度を開始すること
の案内[2]を実施しました。
2025年3月予定の★1からの制度開始に向けて、IPAと経済産業省にて準備を進め
ています。
制度の概要は、公開済みの資料やホームページ[3]、各種セミナー、IPAが開催
する説明会[4]等で確認いただけますので、本稿では、JC-STAR制度の開始後、
いかに制度を普及させ浸透させていきたいのか、その考えについて紹介します。
ラベルや認証は、多くの人が漠然とでもそれを認知し、「何かいいものだ」と
感じ、優先的に選択されるようになって、はじめて価値を発揮するものと
考えています。
価値がないものに企業はコストをかけません。
一方で、多くの企業がラベルや認証を取得し、その製品が広まらないと世間に
認知されません。
JC-STAR制度では、企業・組織が購入するビジネス用途のIoT機器から、一般
消費者が購入・利用するIoT機器まで対象としています。
一般消費者が「値段が高くても高いセキュリティを示すラベルを取得したIoT
機器を購入する」という世の中になることが理想ですが、残念ながら現状を
考えると、それを前提にメーカーにラベルの取得に動いていただくのは難しい
と考えています。
そこで、まずは企業・組織をターゲットとし、ビジネス用途のIoT機器のラベル
取得を推進し、ラベル取得製品の普及とラベルの認知度向上を図りつつ、一般
消費者へ展開することを考えています。
一定規模以上の企業・組織では、IoT機器のセキュリティの重要度は理解して
いるものの、IT部門ではなく業務部門が調達する場合もあり、現実問題として
調達時にそのセキュリティを確認するのは困難な状況です。
そこで、その問題の解決策として、IoT機器に関する調達ルールに、JC-STAR
制度のラベル取得を原則とすることで、IT・セキュリティ部門が示す水準
(★1~★4)以上のIoT製品が調達されることの実現が可能となります。
まずは政府調達のルールに含めるべく、2024年7月に一部改定された政府統一
基準群のガイドライン[5]にIoT機器調達時のセキュリティ確認の必要性と
2025 年度中に同制度のラベル取得を機器等の選定基準に含める方針を追加
しました。
来年度は、JC-STAR制度の開始に合わせた同ガイドラインの改定に加え、
地方公共団体向けのセキュリティポリシーガイドラインや重要インフラ事業者
向けのサイバーセキュリティに関する指針等に同様の方針を反映することで
検討を進めています。
これらの改定とビジネス用途のIoT機器のラベル取得が進むことで、
民間企業の調達ルールにも徐々にJC-STARのラベルの活用が盛り込まれていく
ものと期待しています。
一方で、中小企業や一般消費者に向けては、上記のアプローチでの普及・浸透
は難しいと考えています。
しかしながら、中小企業や一般消費者であってもサイバー攻撃を受けるリスク
から逃げられるわけではなく、脆弱なIoT機器を使用することで、ウイルス感染
や情報漏えいなど自らが被害にあうことに加え、機器が乗っ取られることで
他者を攻撃する踏み台に悪用され、自らが加害者になる可能性があることを
伝えていく必要があると考えています。
そのうえで、JC-STARのロゴやラベル(★)の意味を、パンフレットやポスター
等でシンプルに分かりやすく伝え、IoT機器を購入する際は、少なくとも★1を
取得した製品を購入するように促していきます。
ただし、ラベルを取得したIoT機器の購入だけでは十分ではありません。
適切なパスワードの設定・管理やセキュリティアップデートの実施など、
総務省のNOTICE[6]の取組と連携しながら、購入後のセキュリティ管理の必要性
や重要性も伝えていきます。
JC-STAR制度の立ち上げと普及・浸透に向けて、皆さんのご理解とご協力を
いただけますと幸いです。
[1] IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会(経済産業省)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/index.html
[2] IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します(IPA)
https://www.ipa.go.jp/pressrelease/2024/press20240930.html
[3] セキュリティ要件適合評価及びラベリング制度(JC-STAR)(IPA)
https://www.ipa.go.jp/security/jc-star/index.html
[4] JC-STAR説明会の開催要領(IPA)
https://www.ipa.go.jp/security/jc-star/seminar/index.html
[5] 政府機関等の対策基準策定のためのガイドライン(令和5年度版)の一部改定(令和6年7月)(NISC)
https://www.nisc.go.jp/policy/group/general/kijun.html
[6]NOTICE(総務省)
https://notice.go.jp/
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/njzpzy3v
※googleアンケートフォームを利用しています。
【JNSAイベントのお知らせ】
★12月6日開催 標準化部会日本ISMSユーザグループ主催セミナー
「情報セキュリティマネジメント・セミナー2024」参加登録(オンライン)を受付中です。
https://www.jnsa.org/seminar/std/isms/2024/index.html
★JNSAインターンシップ「サイバーセキュリティ企業合同会社説明」(学生向けイベント)
JNSAインターンシップ参加企業9社による企業紹介。サイバーセキュリティに関連する企業の
採用担当者、サイバーセキュリティ職種に就く先輩と直接お話しできるチャンス!!
参加登録受付中です。
https://www.jnsa.org/internship/index.html
【部会・WGからのお知らせ】
★日本セキュリティオペレーション事業者協議会(ISOG-J)の脆弱性診断士スキルマップ
プロジェクトが「脆弱性トリアージガイドライン作成の手引き」第2章以降を公開しました。
https://isog-j.org/output/2024/asmguidance.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第301号
発信日:2024年11月29日
発 行:JNSA事務局 sec@jnsa.org
*************************************