IoT Security Regulations

IoTセキュリティ規制とは、インターネットに接続されるデバイス（IoT機器）の設計・製造・運用において、最低限のセキュリティ水準を確保するために各国・地域が策定した法規制や標準規格の総称です。IoT機器の爆発的な普及に伴い、脆弱なデバイスがサイバー攻撃の踏み台となる事例が急増したことから、各国政府や標準化団体がセキュリティ要件の法制化に踏み切っています。

代表的な規制・標準には、米国のNIST IR 8259（IoTデバイスのサイバーセキュリティ能力コアベースライン）、欧州のETSI EN 303 645（消費者向けIoTサイバーセキュリティ基準）、EU Cyber Resilience Act（CRA）（デジタル製品のサイバーレジリエンス法）、米国のIoT Cybersecurity Improvement Act（連邦政府調達IoT機器のセキュリティ基準法）、そして日本のIoTセキュリティガイドライン（総務省・経済産業省策定）があります。

これらの規制は、デフォルトパスワードの禁止、ソフトウェアアップデート機能の義務化、脆弱性開示ポリシーの策定、通信データの暗号化、個人データの保護など、共通したセキュリティ要件を定めています。特にEU CRAは、CE マーキングの要件としてサイバーセキュリティを組み込み、違反時には最大1,500万ユーロまたは全世界売上高の2.5%の制裁金を科すなど、強い法的拘束力を持つ規制として注目されています。

NIST IR 8259 — IoTデバイスサイバーセキュリティ能力コアベースライン

NIST IR 8259は、米国国立標準技術研究所（NIST）が策定したIoTデバイスメーカー向けのセキュリティ推奨事項です。デバイス識別、デバイス構成、データ保護、論理アクセス制御、ソフトウェア更新、サイバーセキュリティ状態の認識という6つのコア能力を定義しています。

NIST IR 8259Aではデバイスのセキュリティ能力、NIST IR 8259Bでは非技術的なサポート能力（文書化、問い合わせ対応、脆弱性情報の提供等）をそれぞれ定めています。連邦政府調達のIoT機器にはこれらの基準への準拠が求められ、民間セクターにも大きな影響を与えています。

ETSI EN 303 645 — 欧州消費者向けIoTセキュリティ基準

ETSI EN 303 645は、欧州電気通信標準化機構（ETSI）が策定した消費者向けIoT製品のサイバーセキュリティ基準です。13のセキュリティ要件と5つのデータ保護要件で構成されており、スマートホームデバイスやウェアラブル機器など幅広い製品を対象としています。

特に重要な要件として、ユニバーサルデフォルトパスワードの禁止（各デバイスに固有の初期パスワードを設定）、脆弱性開示ポリシーの公開、セキュリティアップデートの提供期間の明示、通信セキュリティの確保などがあります。英国のPSTI法（Product Security and Telecommunications Infrastructure Act 2022）はETSI EN 303 645を法的根拠として採用しています。

EU Cyber Resilience Act（CRA）— サイバーレジリエンス法

EU Cyber Resilience Actは、EU市場で販売されるデジタル要素を含むすべての製品に対してサイバーセキュリティ要件を義務付ける包括的な規制です。IoT機器に限らず、ソフトウェア製品やハードウェア製品を広く対象としています。

製品の設計・開発段階からのセキュリティバイデザインの実践、製品ライフサイクル全体を通じた脆弱性管理、重大な脆弱性の発見時のENISA（欧州ネットワーク・情報セキュリティ機関）への24時間以内の報告義務などが定められています。製品はリスクに応じてデフォルト、クラスI、クラスIIに分類され、高リスク製品には第三者認証が必要です。

IoT Cybersecurity Improvement Act — 米国連邦IoTセキュリティ法

IoT Cybersecurity Improvement Act of 2020は、米国連邦政府が調達・使用するIoT機器にNISTが策定するセキュリティ基準への準拠を義務付ける連邦法です。政府機関に対して、基準を満たさないIoT機器の調達・利用を禁止しています。

この法律はNISTに対して、IoTデバイスの使用・管理に関するガイドラインの策定を指示しており、脆弱性の開示と修正に関するガイドラインも含まれています。連邦政府の調達基準として機能することで、IoT製品全体のセキュリティ水準向上に大きな波及効果をもたらしています。

日本のIoTセキュリティガイドライン

日本では、総務省・経済産業省が策定した「IoTセキュリティガイドライン」が、IoT機器の開発者、サービス提供者、利用者それぞれに向けたセキュリティ対策の指針を示しています。設計・製造段階での対策（セキュリティバイデザイン）、初期設定の安全性確保、アップデート機能の実装、異常検知機能の組み込みなどが推奨されています。

また、CCDS（重要生活機器連携セキュリティ協議会）による認証制度や、技術基準適合認定（技適）におけるセキュリティ要件の追加も進められています。2024年以降は、IoT機器のセキュリティ適合性評価制度の導入が検討されており、欧米の規制動向と歩調を合わせた法制化が進行中です。

• 01
  セキュリティバイデザインの実践：製品の企画・設計段階からセキュリティ要件を組み込み、脅威モデリングを実施してください。NIST IR 8259やETSI EN 303 645が定めるコアセキュリティ能力をチェックリストとして活用し、設計レビューにセキュリティ専門家を参加させることが重要です。
• 02
  デフォルトパスワードの廃止と認証強化：出荷時のユニバーサルデフォルトパスワードを廃止し、デバイスごとに固有の初期パスワードを設定してください。初回セットアップ時にパスワード変更を強制し、可能であれば多要素認証やデバイス証明書による認証を実装しましょう。
• 03
  安全なソフトウェアアップデート機構の実装：OTA（Over-The-Air）アップデート機能を実装し、ファームウェア署名検証によるアップデートの真正性を確保してください。アップデート失敗時のロールバック機構や、サポート期間の明示も各規制で求められる重要な要件です。
• 04
  脆弱性開示ポリシーの策定と運用：セキュリティ研究者や利用者が脆弱性を報告するための窓口と手順を公開してください。ETSI EN 303 645やEU CRAでは、脆弱性の受付・対応・修正プログラム配布のプロセスを文書化し、公開することが義務付けられています。
• 05
  規制コンプライアンスの継続的モニタリング：各国・地域の規制要件を常に追跡し、製品が最新の要件を満たしているか定期的に評価してください。特にEU CRAの段階的施行スケジュールや、各国の技術基準の改定に対応するため、規制対応チームを設置することを推奨します。
• 06
  SBOM（ソフトウェア部品表）の管理と提供：製品に含まれるソフトウェアコンポーネントの一覧（SBOM）を作成・管理し、要求に応じて提供できる体制を整えてください。EU CRAではSBOMの提供が義務化されており、オープンソースコンポーネントの脆弱性追跡にも不可欠な取り組みです。