IoT機器が社会の様々な場面に深く浸透するなか、セキュリティリスクも拡大している。

情報通信研究機構（NICT）の攻撃観測網によれば、不審な通信のうち、IoT機器を狙った攻撃が3分の1以上を占める。

これまでも国は「IoTセキュリティガイドライン」の公表などの取り組みを行ってきたが、経済産業省はセキュリティ水準を満たすIoT機器を容易に選定するための制度を構築する。2022年11月から議論されてきた「IoT製品に対するセキュリティ適合性評価制度」（制度名は仮）だ。

「セキュリティ性能の高い製品を調達できるようになる本制度には、高いニーズがあると考えている」と経済産業省 商務情報政策局 サイバーセキュリティ課 課長の武尾伸隆氏は話す。

（左から）経済産業省 商務情報政策局 サイバーセキュリティ課 課長 武尾伸隆氏、同 課長補佐 木本達也氏

制度開始は2024年度中

IoT製品に対するセキュリティ適合性評価制度は、政府・公的機関、民間企業から一般消費者まで、IoT製品を導入しようとする者が、製品のセキュリティ水準を確認したうえで調達を行えるようにすることを狙う。そのために、制度構築にあたり次の3つの目的を掲げている。

1つめは、IoT製品のセキュリティを評価・可視化する共通の物差しを用意すること。

2つめは、この制度が定める認証やラベルを業界団体が指定できるようにすることで、特定の分野でセキュリティが確保されたIoT製品のみが採用されるようにすること。

そして3つめは、諸外国の制度と相互承認を図ることにより、IoT製品を輸出する際にベンダーに求められる適合性評価の負担を軽減することだ。

例えば、シンガポールでは2020年10月に同様の制度が開始され、英国でも2024年4月に制度が施行された。制度を準備している米国、EUも含め、これらの国・地域とは相互承認に向けた調整を経産省は進めている。相互承認の仕組みがない国・地域の製品を日本に輸入する場合は、輸入業者が国内でラベル取得を申請することができる。

同制度の対象は、ネットワークカメラやセンサーといったいわゆるIoTデバイスに限らず、インターネットプロトコルを用いた通信機能を持つ幅広い製品が対象となる（図表1上）。ただし、ユーザーがソフトウェア等でセキュリティ対策を追加できるPCやスマートフォンなどの汎用機器は含まれない。

制度では、3段階以上の評価レベルが設けられる（図表1下）。

最も基礎的な適合基準「☆1」は、IoT製品に共通して求められる最低限のセキュリティ要件が定められたものだ。この基準による適合性評価の運用を、他のレベルに先行して2024年度中（2025年3月想定）に開始する予定だ。

図表1　制度の対象製品と適合性評価レベル

「☆2」以上は、通信機器、防犯関連機器、スマート家電といった製品類型ごとにセキュリティ要件が定められる。これらの製品類型は現段階のイメージであり、今後優先度の高い製品類型を特定し、具体的な基準について議論するという。

より高度の「☆3」以上では、政府機関や重要インフラ事業者、大企業等が重要なシステムで利用する製品を想定したセキュリティ要件を検討していく。

それぞれの基準に適合した機器には、制度の運用を担う情報処理推進機構（IPA）からラベルが付与される。