製品のセキュリティ よくある質問

製品セキュリティ IoT デバイス セキュリティ仕様とその認定プログラムに関するよくある質問。

製品セキュリティ ワーキング グループの目的は何ですか?

製品セキュリティ ワーキング グループの目的は、IoT デバイスのセキュリティを保証するために使用されるセキュリティのベスト プラクティス、技術的能力、および既存の製品セキュリティ規制に基づいた製品セキュリティ認証プログラムを開発し、最終的には製品がその製品であることを消費者に認識されるマークを付与することです。ベースラインのセキュリティしきい値を満たしており、該当するセキュリティ要件を満たしているものとして規制当局によって承認される可能性があります。このマークを大規模に提供するために、認可されたテストラボが採用されています。

製品セキュリティとは何ですか?また、プロトコル セキュリティとどう違うのですか?

などの規格 Zigbee と Matter ネットワークプロトコルのセキュリティ要件を定義します。製品セキュリティ ワーキング グループは、製品に固有ではあるがネットワーク プロトコルの一部ではないセキュア ブートなどのセキュリティ機能を含む、製品全体のセキュリティのための認証プログラムを作成することでこれらを補完します。さらに、このプログラムは、標準化されたプロトコルを実装していない製品でも利用できます。 Alliance.

製品セキュリティ ワーキング グループが必要なのはなぜですか。 Alliance テクノロジーには認証のためのセキュリティ要件がすでにありますか?

製品セキュリティ認証は、当社の他の作業グループが採用している機能テストや相互運用性テストとは大きく異なります。製品のセキュリティに関して、テスターは製品が適切に機能し、相互運用できることだけでなく、特定の敵対的な攻撃に耐えられることも検証する必要があります。したがって、製品セキュリティ認証にはさまざまなスキルと方法が必要です。

たとえば、既知の管理者パスワードやバックドアを備えた製品は、機能テストや相互運用性テストには合格する可能性がありますが、製品セキュリティ テストには合格しない可能性があります。

なぜ Alliance 製品セキュリティ証明書を作成する必要がありますか?

IoT システムに対する攻撃は、その数、巧妙さ、影響力において増加を続けています。これらの攻撃は、通常は試運転と転送中のデータの保護に限定されている接続プロトコルの従来の範囲を超えて、あらゆる潜在的な脆弱性を悪用します。

国家的なサイバーセキュリティ認証/ラベリングプログラムが登場し始めており(シンガポールやフィンランドなど)、各国政府が基準と規制で対応しています。すでに存在しているもの、または作成中のものをいくつかリストします。

  • 米国 – NIST IR 8259、NIST IR 8425、NIST SP 800-213、およびさまざまな法律
  • EU – サイバーセキュリティ法、改正無線機器指令 (RED)、およびサイバーレジリエンス法
  • IEC 62443 および ETSI EN 303 645 などの参照規格
  • 英国 – 製品セキュリティおよび通信インフラ法 2022
  • シンガポール、フィンランド、中国など

要件の継続的な発散とさまざまな認証プログラムの急増は、特に世界的な企業にとって、市場投入前に製品のセキュリティを証明するコストと複雑さにつながります。 

この Allianceの目標は、その強みと専門知識を活用してこの状況を改善することです。つまり、セキュリティのベスト プラクティス、技術的能力、および既存の製品セキュリティ規制に基づいた、コンセンサス主導の標準化プロセスで開発された市場価値のある認証プログラムを提供することです。

どのように Connectivity Standards Alliance 製品セキュリティ認証は、この分野における国内、地域、および国際標準に関連していますか?

製品セキュリティ認証は、IoT 製品のセキュリティに関連する国、地域、および国際標準に含まれる要件に基づいています。を受け取る製品を期待しています。 Alliance 製品セキュリティ認証はこれらの他の規格にも準拠し、製品メーカーと消費者の両方にとって認証プロセスが簡素化されます。

幾つ Alliance メンバー企業は製品セキュリティワーキンググループに参加していますか?

Product Security 1.0 IoT デバイス セキュリティ仕様のリリース時点では、200 近くのセキュリティ仕様がありました。 Connectivity Standards Alliance 製品セキュリティ ワーキング グループの代表となるプロモーターおよび参加メンバー企業。

仕様に含まれており、認証される必要があるセキュリティ機能と要件は何ですか? Alliance?このマークが付いた安全な製品は何を意味しますか?

製品セキュリティの IoT デバイス セキュリティ仕様には、多数の特定の製品セキュリティ規定が含まれています。 IoT デバイスの製造元は、セキュリティ評価の専門知識とこの仕様に関連した製品の認証経験を持つ認定試験機関に正当な理由と証拠を提供して、これらの規定への準拠を証明する必要があります。

  • 具体的な要件には以下が含まれます:
  • 各IoTデバイスの一意のID
  • ハードコードされたデフォルトのパスワードはありません
  • 機密データをデバイス上に安全に保管
  • セキュリティ関連情報の安全な通信
  • サポート期間を通じて安全なソフトウェア更新
  • 脆弱性管理を含む安全な開発プロセス
  • サポート期間を含むセキュリティに関する公開ドキュメント

これらの要件を組み合わせることで、基本的なセキュリティ要件が満たされていることを保証できます。

認証された場合、製品セキュリティの認証マークをデバイスまたはパッケージに付ける必要がありますか?

いいえ、Verified Mark はデバイス メーカーがデバイスまたはパッケージに付けるかどうかは任意です。彼らは、マークを表示せずに認証プログラムを通過し、認証を主張することができます。