無線機器のサイバーセキュリティ

テュフ ラインランドは、IoT機器の製品安全、RFおよびEMC規制に対するコンプライアンス、およびサイバーセキュリティなどに関するカスタマイズされたセキュリティ評価と規制要件への適合サービスを提供しています。

無線機器の認証業務とサイバーセキュリティ規制要求事項への適合が極めて重要になる中、テュフ ラインランドは、お客様の無線機器のセキュア確保と国際規格への適合を支援します。

製造業者や製品開発者にとって不可欠なセキュリティサービスを提供し、コネクテッド製品が、改訂を繰り返す国際規格の要求事項に準拠するだけでなく、サイバー脅威に対しても強固な防御を備えることができるようサポートします。

コネクテッド製品に関する規制状況は絶えず変化しており、多くの分野でまだ準備段階にあります。

テュフ ラインランドは、優れた先見性と蓄積した知見に基づいて、現行要求事項についての指針を提供するだけでなく、将来規制への対応に向けてアドバイスも行います。

さらに、コネクテッドデバイスの使用目的に合わせたセキュリティレベル強化の方策も提案します。現在何が必要か、今後何が義務化される可能性があるか、市場優位性を確保するには、国際規格をどのように利用するべきかといった情報やアドバイスを提供します。

テュフ ラインランドのサイバーセキュリティサービスを活用いただければ、自社製品の関連規制への準拠や他社製品に対する優位性を示すことができ、顧客に対して優れたセキュリティと価値を提供することが可能となります。

テュフ ラインランドの包括的なサイバーセキュリティサービスは、さまざまな国際規格や認証制度に対応しており、自社製品の安全性、セキュリティ、品質、性能に関する秀逸性をアピールすることができます。

PSTI法の紹介 - 2024年4月29日から施行した英国のPSTI（Product Security and Telecommunications Infrastructure：製品セキュリティおよび通信インフラストラクチャ）法は、消費者向けコネクテッド製品のサイバーセキュリティに大きな変化をもたらします。テュフ ラインランドは、製造業者に対して新規制への対応や、義務化されたサイバーセキュリティおよび製品セキュリティ基準への適合について支援します。

PSTI法の概要
• 英国・科学・イノベーション・技術省が監督するPSTI法は、幅広い消費者向けコネクテッド製品のセキュリティ強化を目的としています。
• この法律は、日常生活においてこのような機器への依存度が高まっている状況において極めて重要です。

対象製品
•同法は、インターネットに直接接続できるインターネット接続型製品のほか、TCP/IP接続や一度に複数の製品に接続できるネットワーク接続型製品にも適用されます。

準拠の仕組み
• 製造業者は、適合宣言書などを使ってPSTI法への適合を表明し、必要なセキュリティ基準の遵守を確認する事が必要です。
• 同法は、コンプライアンス検証の第三者試験および認証の役割を認可しています。

PSTI法の主な要件
1. デフォルトパスワードの設定禁止 - 製品に普遍的なデフォルトパスワードを設定することは禁止されています。
2. セキュリティ更新の仕組み - 製品はタイムリーにセキュリティ更新される必要があります。
3. 発見されたセキュリティ上の脆弱性を報告する方法 - サイバーセキュリティの脅威に対する効果的な報告手段を明示することが必要です。

テュフ ラインランドのサポート
• テュフ ラインランドは、PSTI法適合のための包括的な試験・認証サービスを提供します。
• ETSI EN 303 645に関する専門知識を生かして、必要なPSTI要件を網羅した包括的なサイバーセキュリティ評価を提供します。

テュフ ラインランドのサービスを利用することで、英国市場への参入や競争力維持を目指す製造業者はPSTI法へのシームレスなコンプライアンス達成や自社製品がこれら重要なセキュリティ基準を満たしていることを確認できます。さらに、安全な消費者向けコネクテッド製品の市場展開を実現できます。

無線機器指令（RED）第3章 3項は、欧州連合（EU）初の無線機器サイバーセキュリティを対象とする規制要件です。この指令は、より広範なRED 2014/53/EUの一部であり、安全、健康、EMC、サイバーセキュリティに関する要件を定めています。この指令は、2022年2月に施行され、2025年8月1日までに義務化されます。対象となるのは、携帯電話、ノートパソコン、ウェアラブル機器など、インターネット通信が可能な幅広い製品群です。

歴史的に、ETSI EN 303 645は、個人データ保護やセキュアな通信といった側面に焦点を当てた、IoT消費者向け製品の業界標準として利用されてきました。しかし、CENELECによる整合規格EN 18031の策定準備に伴い、状況は変化しています。今後、さまざまな種類の無線機器に共通のセキュリティ要件が提供され、EUにおける規制の枠組みが強化されることが想定されます。

第3章 3項の主要な側面
第3章 3項(d)：通信ネットワークへの危害防止、ウェブサイトやサービスの機能停止回避機能のデバイス実装によるネットワーク保護強化。
第3章 3項(e)：個人データとプライバシー保護強化。これには消費者の個人データへの不正アクセスや送信防止措置が含まれます。
第3章 3項(f)：不正リスク軽減を目的とし、電子決済や送金不正を最小限に抑えるための、ユーザー認証管理改善などの義務化。

規制の範囲
この規制は、直接または他の機器を介して、インターネット上での通信が可能なデバイスに適用されます。これには、個人データ、トラフィックデータ、位置情報などの機密データを扱う可能性のあるデバイスも含みます。

対象となる製品の例
• 携帯電話、タブレット、ノートパソコン。
• ワイヤレス玩具、ベビーモニターなどの子供用安全器具。
• スマートウォッチやフィットネストラッカーなどのウェアラブルデバイス。

試験要件
• 製造業者による、ネットワークセキュリティ、データ保護、通信プロトコルの完全性に焦点を当てた試験の実施。
• 不正アクセスや潜在的な悪用シナリオに対するデバイスの耐性評価。

サイバーレジリエンス法への見通し
・近く施行されるサイバーレジリエンス法は、デジタル製品のサイバーセキュリティをEU全体で強化し、製品ライフサイクル全体をカバーする包括的な枠組みの構築を目的としています。これにはハードウェアとソフトウェア製品が含まれ、セキュリティ・バイ・デザイン（安全性を考慮した設計）、脆弱性管理と報告が重視されます。

テュフ ラインランドは、現行RE指令やETSI EN 303 645への適合から、EN 18031やサイバーレジリエンス法への将来的な適合まで、改訂を繰り返す規格への対応をサポートし、製品が最高水準のサイバーセキュリティ要件を満たすことができるように支援します。

TECとサイバーセキュリティ要件 インドの電気通信技術センター（TEC）が、電気通信機器に不可欠なサイバーセキュリティ要件を策定しました。今回導入されたセキュリティ要件は、インド市場における通信技術の安全確保にとって極めて重要です。

TEC サイバーセキュリティ要件の概要
• 通信セキュリティ認証制度の下、電気通信省は電気通信機器のサイバーセキュリティ基準を義務付けています。
• 現在、TEC認証対象品には、IPルーター、モビリティ管理エンティティ（MME）、暗号制御、Wi-Fi CPEなどが含まれています。今後、モバイルデバイスなどが追加される可能性があります。
• ソフトウェアのテストと認証に重点が置かれており、セキュリティに影響するソフトウェアが大幅に更新される場合は再テストと再認証が必要となります。

TEC認証プロセス
• テュフ ラインランドは、インドのTEC認定ラボでの試験を含むTEC認証プロセス全体を通じて製造業者の認証取得をお手伝いします。
• ソフトウェアの変更登録、仮証明書の取得、本証明書への移行をサポートします。
• TECの認証項目増加に対応し、お客様の製品が現行および将来の規格にも適合できるように支援します。

テュフ ラインランドは、製造業者がインド国内の通信規制環境に対応し、急速に変化する電気通信分野における製品のコンプライアンスと競争力を確保できるようにお手伝いします。

FCCサイバートラストマークは現在任意ですが、NIST規格との協調は、欧州連合と同様に、IoT業界におけるサイバーセキュリティ対策強化の動きを示すものです。しかし、現時点（2024年第1四半期）では、FCCが将来的にこれを義務化するという兆候はありません。しかし、IoT市場に大きな影響を与える可能性があり、このプログラムの進展と将来的な変更は、製造業者にとって注視すべき重要なポイントになると思われます。

FCCサイバートラストマーク
• 2023年7月に提案されたFCCの米国サイバートラストマークは、IoTまたはスマートデバイスを対象とする任意のサイバーセキュリティラベリングプログラムで、2024年後半の開始を目指しています。
• このプログラムは、エネルギースターラベルと同様に、インターネット接続機器のサイバーセキュリティに関する明確な情報を提供し、消費者が十分な情報を得た上で購入を決定できるようにするものです。
• ラベルは、IoTデバイスがサイバーセキュリティ基準を満たしているかどうかを示すバイナリコードを使った多層式です。消費者はQRコードやURLを通じてより詳細な情報にアクセスすることができます。
• 米国サイバートラストマークのサイバーセキュリティ基準は、NISTが策定した基準に基づいており、IoT製造業者は、製品構成、インターフェイスアクセス制御、ソフトウェア更新、文書化など、さまざまなサイバーセキュリティ対策を通じて、これら基準を満たすことができます。
• 当該プログラムについては、管理、施行、およびコンプライアンス評価を担当するサイバーラボと呼ばれる団体の役割など、まだ不明な点も多くあります。

NIST規格
• NIST Cybersecurity for IoT Program（IoTのためのサイバーセキュリティプログラム）は、標準、指針、ツールを通じて、IoTにおける信頼とイノベーションをグローバルに促進することを目的としています。
• NIST IR 8425「消費者向け製品のIoTコアベースラインのプロファイル」は、家庭用または個人用製品に焦点を当てた、消費者向けIoT分野で必要とされる重要なサイバーセキュリティ能力を定義しています。

この消費者プロファイルは、行政命令14028に対するNIST対応の一環として開発されたものです。IoT製品全体へのサイバーセキュリティ対策適用を目的としており、データ保護や安全な通信プロトコルなどをカバーしています。

IEC 62443規格の概要 - IEC 62443は、産業用通信ネットワークのサイバーセキュリティとシステムセキュリティを対象とする国際規格です。4つの主要部分から構成され、それぞれが産業オートメーションおよび制御システム（IACS）セキュリティについて異なる角度から要件を定めています。

コンポーネントおよび製品関連規格
• パート 4-1 - セキュアな製品開発ライフサイクル要件 : 本パートでは、IACS製品のセキュアな開発プロセスについて概説しています。開発管理、セキュリティ要件定義、セキュリティソリューション設計、セキュアな開発、セキュリティ機能試験、脆弱性対応、更新の作成と公開などの領域をカバーしています。
• パート 4-2 - IACS コンポーネントの技術的セキュリティ要件 : 本パートは、IACSコンポーネントの技術要件と共通コンポーネントのセキュリティ制約（CCSC）を定義しています。一般的なセキュリティ特性の考慮、システムレベルでの弱点補正策、「最小特権」原則の適用、およびパート4-1で概説した安全な開発プロセスへの準拠基準を含みます。

テュフ ラインランドの専門知識
製造業者がIEC 62443規格に準拠するための、コンポーネントと製品関連の要求事項に重点を置いた包括的なサービスを提供します。テュフ ラインランドは、セキュアな製品開発プロセスの実装支援およびIACSコンポーネントが規格に規定された厳格な技術セキュリティ要件と制約を満たすことができるようにお手伝いします。テュフ ラインランドは、幅広い専門知識に基づき、製品の規格適合だけでなく、産業分野で新たに出現するサイバーセキュリティ脅威に対しても確実な対応策を提案します。

CSA と PSWG の紹介 - CSAは、IoT セキュリティ領域での製造業者のコンプライアンス簡素化に重点を置く、600 を超える加盟団体を擁する業界アライアンスです。PSWGは、製品セキュリティ認証プログラムの開発を通して、CSA活動において極めて重要な役割を果たしています。

PSWGの主要な側面
•PSWG認証プログラムは、ETSI ENやNISTが策定した規格をはじめとして、国際的規制とアライアンスを結び、製造業者のコンプライアンス・プロセス統一化の取り組みを行っています。
•このプログラムによって、製造業者は、検証済み自己宣言スキームの確立、自社製品のセキュリティベストプラクティスと技術的能力基準への適合表明をおこなうことができます。
•PSWGが設定した認証基準は、IoT機器がベースラインのセキュリティ基準を満たすことを保証し、製品に対する消費者の信頼と信用を醸成します。

テュフ ラインランドの専門知識
CSA PSWGが策定した規格と認証プロセスを満たすために、製造業者を支援する専門サービスを提供します。

テュフ ラインランドの支援サービス
•テュフ ラインランドのPSWG認定試験所が検証済み自己宣言プロセスについて製造業者をサポートします。
•製品について、さまざまなグローバル規制項目を対象とする包括的セキュリティ基準への適合を支援します。
•CSAおよびPSWGの要件を満たすだけでなく、国際規格への幅広い適合を支援するエンド・ツー・エンドのソリューションを提供します。

テュフ ラインランドは、さまざまなシステムやインフラのセキュリティ脆弱性特定や対応を支援します。テュフ ラインランドのペネトレーションテストサービスは、接続されたデバイス、システム、管理構造の安全性と完全性の確保に重点を置いて実施されます。

サービスの主な特長
• カスタマイズされたテスト - 製品のソフトウェアとハードウェアに特化した詳細な分析を行い、潜在的な脆弱性を詳細に評価します。
• システム全体の評価 - ネットワークインターフェースや通信プロトコルを含むシステム全体のセキュリティ評価を行います。OTサイバーセキュリティ技術支援サービス
•サイバー攻撃シミュレーション実際のサイバー脅威をシミュレートすることで、製品とそれを支えるシステムの両方のレジリエンスを評価します。詳細については、テュフ ラインランドのサイバーセキュリティ・サービス・ポートフォリオでご覧いただけます。
• 詳細なレポートと軽減策 - 評価後、包括的な脆弱性レポートと、セキュリティ強化および機能安全に関する実行可能な提言を行います。
• 自動車のサイバーセキュリティ認証にかかわる支援サービス