各国のIoT製品セキュリティ確保のための取り組み:シンガポール ―サイバーセキュリティラベリングスキーム(CLS)
近年、IoT製品は爆発的に普及が進み、2030年には500億個を超えるIoT製品が全世界で使用されると推測されています。それに伴い、IoT製品のセキュリティ確保が大きな課題となっています。
シンガポールでは、シンガポールサイバーセキュリティ庁(Cyber Security Agency of Singapore: CSA)がアジア太平洋地域で他国に先駆けてIoT製品のセキュリティレベル向上に取り組み、2020年にサイバーセキュリティラベリングスキーム(Cybersecurity Labelling Scheme: CLS)を導入し、ドイツ、フィンランドの類似制度と相互承認を実施しています。2023年9月にはIoT製品のセキュリティ強化を目的として、CLSの大幅な更新が発表されました。
出典:Cyber Security Agency of Singapore
https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme
本セキュリティ関連コラムでは、これまでご紹介した米国、欧州、英国、日本に続き、シンガポールの状況についてCSAが推進するCLSの概要、ラベリングや評価基準を中心に解説します。
より詳しく技術や関連製品について知りたい方へ
本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。
1. 概要
CSAが運営するCLSは、IoT製品のセキュリティ性能を評価し、セキュリティ水準を示すラベリング制度です。この取り組みの目的は、IoT製品のセキュリティ対策を促進し、消費者が製品を選択する際にセキュリティ面での比較ができるようにすることです。また、IoT製品メーカーにとっては、より安全な製品を開発することで競合他社に対する優位性をアピールする機会となります。
消費者向けIoT製品の製品設計では機能とコストの最適化が重視されるため、サイバーセキュリティ対策はこれまで後回しにされがちでした。しかし、CLSが導入されたことで、サイバーセキュリティ対策は、あらゆるカテゴリーの消費者向けIoT製品を対象とした取り組みへと広がりつつあります。
2. CLSの対象
下記を含むIoT製品が対象となります。
- スマートスピーカー
- スマート照明
- スマート家電
- スマートホームハブ
- セキュリティカメラ
- スマートドアロック
- スマートプリンター
- ウェアラブルデバイス
3. ラベリングと評価基準
ラベリング
適用性評価の結果、製品に対してCLSのラベルが付与されます。CLSのラベルには、IoT製品のセキュリティ性能レベルが明示されるため、消費者は製品選択の際にセキュリティ面での比較が容易になります。また、ラベルにはQRコードも付与されており、スマートフォンからさらに詳細な情報を確認することができます。
レベル4のCLSラベル例
評価基準
CLSでは、IoT製品のセキュリティ性能を4段階(レベル1~4)で評価しています。この評価基準には、ソフトウェアの更新管理、暗号化の実装、脆弱性管理、認証・アクセス制御、ネットワークセキュリティ、セキュアなデータ処理といった技術的な要素が含まれています。IoT製品メーカーは、これらの基準に基づいて製品のセキュリティ性能を自己評価し、CSAの審査を受けることになります。
4. 各レベルのサイバーセキュリティ規定の内訳
レベル 1 | セキュリティ ベースライン要件製品は、一意のデフォルト パスワードの確保やソフトウェア更新の提供などの基本的なセキュリティ要件を満たしています。 |
---|---|
レベル 2 | 国際規格への準拠製品は、デバイスにおける一連の国際規格 (ETSI EN 303 645 内のすべての必須要件) に基づいて評価され、レベル 1の要件を満たしています。 |
レベル 3 | ライフサイクル要件 + ソフトウェアバイナリ分析製品は、脅威リスク評価、重要な設計レビューの実施などのセキュリティバイデザインの原則を使用して開発されており、承認された第三者評価機関によるソフトウェアバイナリの評価を受け、レベル 2を満たしています。 |
レベル 4 | 侵入テスト製品は、承認された第三者評価機関による構造化された侵入テストを受け、レベル 3 の要件を満たしています。 |
5. 相互認証
ドイツ
シンガポールとドイツは、2022年にCSAとドイツ連邦情報セキュリティ庁(BSI)が発行するサイバーセキュリティラベルを相互に承認するための相互承認協定に署名しました。この協定により、ドイツのITセキュリティラベルが付与された消費者向けIoT製品は、CLSのレベル2を満たしていると認定され、同様にCLSレベル2以上の製品はドイツの要件を満たしていると認定されます。
フィンランド
シンガポールとフィンランドは、2021年にCSAとフィンランド運輸通信庁(Traficom)が発行するサイバーセキュリティラベルを相互に承認するための覚書に署名しました。この覚書に基づき、フィンランドのサイバーセキュリティラベルの要件を満たした消費者向けIoT製品は、CLSのレベル3の要件を満たしていると認定され、同様にCLSレベル3以上の製品はフィンランドの要件を満たしていると認定されます。
相手国 | 相互承認のレベル |
---|---|
ドイツ | ドイツのITセキュリティラベル → CLSレベル 2 CLSレベル 2以上 → ドイツのITセキュリティラベル |
フィンランド | フィンランドのサイバーセキュリティラベル → CLSレベル 3 CLSレベル 3以上 → フィンランドのサイバーセキュリティラベル |
6. 消費者への影響
CLSは、IoT製品の安全性向上のための重要な取り組みです。ラベリングは、製品のセキュリティレベルを可視化し、消費者が理解しやすい形でセキュリティ情報を提供します。
その結果、消費者は必要な情報を迅速に入手して製品の安全性を簡単に判断し、自身を守るためにより安全な製品を選択することができます。
まずは当社のIoT製品のセキュリティ検証からはじめませんか:IoT機器セキュリティ検証サービス
バイナリファイルに含まれるOSSコンポーネントを検出し、脆弱性をレポートするSCA(Software Composition Analysis)ソリューション:CodeSentry
SBOM(software bill of materials)作成サービス
このコラムの著者
株式会社ユビキタスAI
エンベデッド第3事業部
永井 玲奈​(ながい れな)
長年、組込みソフトウェアの営業・製品マーケティングに携わる。現在はユビキタスAIでIoT機器セキュリティ検証サービス事業の営業およびプロダクトマーケティングを担当。医療機器、車載製品、民生品などあらゆる機器を製造する大手製品ベンダーの多岐に渡るセキュリティ課題解決に取り組む。
より詳しく技術や関連製品について知りたい方へ
本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。
各国のIoT製品セキュリティ確保のための取り組み:欧州
2024.10.23
太陽光発電と蓄電池システムの脆弱性:安全なエネルギーのためのセキュリティ対策
2024.10.08
各国のIoT製品セキュリティ確保のための取り組み:日本
2024.10.03
もう待てない、サイバーレジリエンス法対策
2024.09.17
各国のIoT製品セキュリティ確保のための取り組み: 英国
2024.04.18
ソフトウェアテストの新常識:ファジング入門
2024.04.17
JIS T 81001-5-1に準拠した医療機器のセキュリティ対策
2023.12.19
各国のIoT製品セキュリティ確保のための取り組み:米国
2023.12.18
サプライチェーン攻撃と脆弱性テスト
2023.12.14
セキュリティ規格について
2023.09.01
ファジングとは?
2023.09.01
脆弱性検証―何をどこまで実施すれば良い?
2023.09.01
HEMS機器の脆弱性検証
2023.07.14
ファジングの限界
2023.07.14