【IoTセキュリティ】電気通信事業法の改正に関するセミナー
実は仕事で2020年4月から施行される電気通信事業法改正で、技適マーク取得の要件が変わったとの事で参加しました
〇概要
情報セキュリティ事故でIoT脆弱性に関する問題の影響は個人も法人もあるため、組込み機器のセキュリティ要件を厳しくし、対策にしていくと総務省からお達しがあったのは去年の話でした
技適マークは基本的に取らないと製品として成立しないので、政府としても脆弱性に必要な要件を啓もうしたいという事と思います
〇セミナーに参加した経緯
Society5.0(超スマート社会)というお題目の元、トラストサービスの定義をやっていると思って非常に関心を持っていました
実際、製造系ではスマートファクトリーに向けて、様々なセキュリティ対策が必要になってきます
そこから自社商材であるセキュリティ機器を売るきっかけにならないか、と考えました
〇セミナーの内容
細かい所は省きますが、要するに次の3点を守って技適マークを取得する、ということだそうです
・技術基準を追加する対象機器の定義
インターネットプロトコル(IP)を使用する端末機器
電気通信回線設備を介して接続する事により当該設備に備えられた電気通信の送受信に係る機能を操作可能なもの
・具体的な機器
ウェブカメラ
ルータ
・必要な機能
- アクセス制御機能
- アクセス制御の際に使用するID/パスワードの適切な設定を促す等の機能
- ファームウェアの更新機能
※加えて電源をONした直後もアクセス制御が出来ているのも条件です
〇まとめ
結局、納品する取引先のセキュリティポリシーが厳しければ技適マークは形骸化してしまう可能性が高く、現時点でも脆弱性対策としてはゼロデイ攻撃には耐えられません
改正の要件では、近年叫ばれる不正アクセスやマルウェア攻撃前提の対策がされないため、すぐ改正せざるを得ないと考えます
実際トラストサービス等の観点を考えた場合、15年くらい遅れている対策です
ちなみにこの要件の根拠は、どのメーカーも対策可能な内容だったから、というニュアンスのようで、国際的な認証と歩調を合わせていく必要性を感じます