各国のIoT製品セキュリティ確保のための取り組み:シンガポール ―サイバーセキュリティラベリングスキーム(CLS)

近年、IoT製品は爆発的に普及が進み、2030年には500億個を超えるIoT製品が全世界で使用されると推測されています。それに伴い、IoT製品のセキュリティ確保が大きな課題となっています。

シンガポールでは、シンガポールサイバーセキュリティ庁(Cyber Security Agency of Singapore: CSA)がアジア太平洋地域で他国に先駆けてIoT製品のセキュリティレベル向上に取り組み、2020年にサイバーセキュリティラベリングスキーム(Cybersecurity Labelling Scheme: CLS)を導入し、ドイツ、フィンランドの類似制度と相互承認を実施しています。2023年9月にはIoT製品のセキュリティ強化を目的として、CLSの大幅な更新が発表されました。

Cybersecurity Labelling Scheme(CLS)のロゴ出典:Cyber Security Agency of Singapore
https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme

本セキュリティ関連コラムでは、これまでご紹介した米国、欧州、英国、日本に続き、シンガポールの状況についてCSAが推進するCLSの概要、ラベリングや評価基準を中心に解説します。

より詳しく技術や関連製品について知りたい方へ

お気軽相談

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。

1. 概要

CSAが運営するCLSは、IoT製品のセキュリティ性能を評価し、セキュリティ水準を示すラベリング制度です。この取り組みの目的は、IoT製品のセキュリティ対策を促進し、消費者が製品を選択する際にセキュリティ面での比較ができるようにすることです。また、IoT製品メーカーにとっては、より安全な製品を開発することで競合他社に対する優位性をアピールする機会となります。

消費者向けIoT製品の製品設計では機能とコストの最適化が重視されるため、サイバーセキュリティ対策はこれまで後回しにされがちでした。しかし、CLSが導入されたことで、サイバーセキュリティ対策は、あらゆるカテゴリーの消費者向けIoT製品を対象とした取り組みへと広がりつつあります。

2. CLSの対象

下記を含むIoT製品が対象となります。

  • スマートスピーカー
  • スマート照明
  • スマート家電
  • スマートホームハブ
  • セキュリティカメラ
  • スマートドアロック
  • スマートプリンター
  • ウェアラブルデバイス

3. ラベリングと評価基準

ラベリング

適用性評価の結果、製品に対してCLSのラベルが付与されます。CLSのラベルには、IoT製品のセキュリティ性能レベルが明示されるため、消費者は製品選択の際にセキュリティ面での比較が容易になります。また、ラベルにはQRコードも付与されており、スマートフォンからさらに詳細な情報を確認することができます。

レベル4のCLSラベル例
レベル4のCLSラベル例

評価基準

CLSでは、IoT製品のセキュリティ性能を4段階(レベル1~4)で評価しています。この評価基準には、ソフトウェアの更新管理、暗号化の実装、脆弱性管理、認証・アクセス制御、ネットワークセキュリティ、セキュアなデータ処理といった技術的な要素が含まれています。IoT製品メーカーは、これらの基準に基づいて製品のセキュリティ性能を自己評価し、CSAの審査を受けることになります。

4. 各レベルのサイバーセキュリティ規定の内訳

レベル 1セキュリティ ベースライン要件製品は、一意のデフォルト パスワードの確保やソフトウェア更新の提供などの基本的なセキュリティ要件を満たしています。
レベル 2国際規格への準拠製品は、デバイスにおける一連の国際規格 (ETSI EN 303 645 内のすべての必須要件) に基づいて評価され、レベル 1の要件を満たしています。
レベル 3ライフサイクル要件 + ソフトウェアバイナリ分析製品は、脅威リスク評価、重要な設計レビューの実施などのセキュリティバイデザインの原則を使用して開発されており、承認された第三者評価機関によるソフトウェアバイナリの評価を受け、レベル 2を満たしています。
レベル 4侵入テスト製品は、承認された第三者評価機関による構造化された侵入テストを受け、レベル 3 の要件を満たしています。

5. 相互認証

ドイツ

シンガポールとドイツは、2022年にCSAとドイツ連邦情報セキュリティ庁(BSI)が発行するサイバーセキュリティラベルを相互に承認するための相互承認協定に署名しました。この協定により、ドイツのITセキュリティラベルが付与された消費者向けIoT製品は、CLSのレベル2を満たしていると認定され、同様にCLSレベル2以上の製品はドイツの要件を満たしていると認定されます。

フィンランド

シンガポールとフィンランドは、2021年にCSAとフィンランド運輸通信庁(Traficom)が発行するサイバーセキュリティラベルを相互に承認するための覚書に署名しました。この覚書に基づき、フィンランドのサイバーセキュリティラベルの要件を満たした消費者向けIoT製品は、CLSのレベル3の要件を満たしていると認定され、同様にCLSレベル3以上の製品はフィンランドの要件を満たしていると認定されます。

相手国相互承認のレベル
ドイツドイツのITセキュリティラベル → CLSレベル 2
CLSレベル 2以上 → ドイツのITセキュリティラベル
フィンランドフィンランドのサイバーセキュリティラベル → CLSレベル 3
CLSレベル 3以上 → フィンランドのサイバーセキュリティラベル

6. 消費者への影響

CLSは、IoT製品の安全性向上のための重要な取り組みです。ラベリングは、製品のセキュリティレベルを可視化し、消費者が理解しやすい形でセキュリティ情報を提供します。
その結果、消費者は必要な情報を迅速に入手して製品の安全性を簡単に判断し、自身を守るためにより安全な製品を選択することができます。

まずは当社のIoT製品のセキュリティ検証からはじめませんか:IoT機器セキュリティ検証サービス

バイナリファイルに含まれるOSSコンポーネントを検出し、脆弱性をレポートするSCA(Software Composition Analysis)ソリューション:CodeSentry

SBOM(software bill of materials)作成サービス

このコラムの著者
株式会社ユビキタスAI エンベッデッド第3事業部 永井玲奈

株式会社ユビキタスAI

エンベデッド第3事業部

永井 玲奈​(ながい れな)

長年、組込みソフトウェアの営業・製品マーケティングに携わる。現在はユビキタスAIでIoT機器セキュリティ検証サービス事業の営業およびプロダクトマーケティングを担当。医療機器、車載製品、民生品などあらゆる機器を製造する大手製品ベンダーの多岐に渡るセキュリティ課題解決に取り組む。

より詳しく技術や関連製品について知りたい方へ

お気軽相談

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。


製品情報

デバイス脆弱性テスト

IoT機器セキュリティ検証サービス

あらゆる機器のファジングから規格準拠支援までエキスパートが伴走
製品ページを見る
製品情報

OSS管理ツール

CodeSentry

バイナリファイルに含まれるOSSコンポーネントを検出し、脆弱性をレポート
製品ページを見る
製品情報

SBOM作成サービス

SBOM作成サービス

お客様の対象のバイナリファイルからSBOMを作成、ご提供
製品ページを見る

各国のIoT製品セキュリティ確保のための取り組み:欧州

コラムを読む

太陽光発電と蓄電池システムの脆弱性:安全なエネルギーのためのセキュリティ対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:日本

コラムを読む

もう待てない、サイバーレジリエンス法対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み: 英国

コラムを読む

ソフトウェアテストの新常識:ファジング入門

コラムを読む

JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

コラムを読む

各国のIoT製品セキュリティ確保のための取り組み:米国

コラムを読む

サプライチェーン攻撃と脆弱性テスト

コラムを読む

セキュリティ規格について

コラムを読む

ファジングとは?

コラムを読む

脆弱性検証―何をどこまで実施すれば良い?

コラムを読む

HEMS機器の脆弱性検証

コラムを読む

ファジングの限界

コラムを読む