IoTセキュリティに対する政府の動向 ~IoTパートナーコミュニティ開催セミナーレポート(前編)

IoTの普及に対応した通信ネットワークの技術基準等に関する政策動向

IoTNEWS_20190423_uhuru_IoTSecuritySeminar_004
総務省 総合通信基盤局 電気通信事業部 電気通信技術システム課 課長補佐 影井 敬義 氏

次に、総務省 総合通信基盤局 電気通信事業部 電気通信技術システム課 課長補佐 影井 敬義 氏からは、IoT機器の通信ネットワークの技術基準の省令改正やガイドラインの策定に関する政策動向について説明がされた。

IoT機器のセキュリティ対策に関する技術基準の検討経緯は、前述の後藤氏より説明のあったセキュリティ対策への危惧と同じ背景がある。

情報通信審議会では「IoTの普及に対応した電気通信設備に技術的条件」について検討を行い、IoT機器の技術基準にセキュリティ対策を追加することが適当であることを2018年9月に取りまとめた。これに対し、情報通信行政・郵政行政審議会への諮問、意見募集、同審議会からの答申を経て、2019年3月に関係省令の改正を実施した。

まず初めに取りまとめた制度改正のポイントは、「アクセス制御機能」、「アクセス制御の際に使用するID/パスワードの適切な設定を促す等の機能」、「ファームウェアの更新機能などをIoT通信機器に求めること」である。

これを「端末設備等規則(省令)の改正」や、「ガイドラインの策定の必要性」までを求める内容で答申を取りまとめ、これが、「IoT機器のセキュリティ政策に関する技術基準の改正」のベースとなっている。

端末機器の基準認証に関するガイドライン(第1版)を2019年4月22日に公表

まず、セキュリティ基準に関わる認定等の対象機器の範囲は、

(1)専用通信回線設備等端末でデジタルデータ伝送用設備に接続されるものに限る
(2)デジタルデータ伝送用設備との接続においてインターネットプロトコルを使用するもの
(3)電気通信回線設備を介して接続することにより当該専用通信回線設備等端末に備えられた電気通信の機能(送受信に係るものに限る)に係る設定を変更できるもの

としていると解説された。

IoTNEWS_20190423_uhuru_IoTSecuritySeminar_005

その中で、認定の対象外となるネットワーク機器についても解説があった。

上の図にあるように、PCやスマートフォンのように利用者が任意のソフトウェアにより随時かつ容易に変更することができる専用通信回線設備等端末であったり、 既認定機器を介して接続されており、電気通信回線設備に直接接続して使用されない機器、例えば屋外に持ち出して使用されない機器(エアコン、冷蔵庫、洗濯機、照明、テレビ、複合機等)は対象外となる。

セキュリティ基準の内容については、「IDやパスワードなどによるアクセスを制御する機能を有すること」、「IDやパスワードが適切に設定されるよう促す、例えば初期パスワードのまま利用できないよう制御するなどの機能を有すること」、「ネットワーク機器のファームウェア等が更新できる仕組みを有すること」、「ネットワーク機器の電源がON/OFFされたときに前項の設定がリセットされるようなことがないようにすること」などが規定されている。

認定の基準や詳細については、すでに公開をされているガイドラインを参照してほしい。

電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第1版)

ネットワークの仮想化等に対応した技術基準等の在り方

情報通信審議会では前述の「IoTセキュリティ対策の答申」を取りまとめた後、第二次検討として、「ネットワーク仮想化等に対応した技術基準及び資格制度の在り方」について検討を実施してきたたとのことだ。

IoTNEWS_20190423_uhuru_IoTSecuritySeminar_006

審議会では、ハードウェアの仮想化に伴う機能の維持や冗長性をどのように確保するかの在り方、通信設備の管理・制御等を行うソフトウェアの機器ベンダー依存やブラックボックス化が生じていることを問題視し、事業者が導入するソフトウエアの信頼性を確認するために検証や試験等が必要であるなどのソフトウェアの信頼性確保の在り方について課題、論点に挙げている。

その検討の結果、「情報通信ネットワーク安全・信頼性基準」に証明書の有効期限の設定のルールや、バックアップの世代管理の在り方などの対策を盛り込む内容をまとめた。

また、仮想化技術の導入により機能の一部がソフトウェア制御されるようになってきている。そのため、ハードウェア設備の構成等を中心に記載されている「電気通信事業者による技術適合自己確認の届出書類」の改定やマニュアルの整備の必要性、さらにはネットワークの維持・管理・運用に求められる専門知識・能力の変化が起きているため、資格制度の制度改正についてもとりまとめを行ってきた。

この取りまとめが次の制度改正の内容につながることになるようだ。

後編の「IoTセキュリティソリューション最新事例」に続く