Electronics Information Service

組込みシステム技術者向け
オンライン・マガジン

MENU

SOLUTION

サイバートラストの「EMLinux」「サイバートラスト セキュアIoTプラットフォーム認証局」が第三者機関の国際安全基準レベルのセキュリティ認定を取得

2023.2.10  7:02 pm

セキュアIoTプラットフォーム協議会の「セキュアIoT認定」により国際標準への適合性を確認済の製品・サービスとして提供

サイバートラスト株式会社(東京都港区)は、長期利用可能な IoT・組込み用 Linux OS「EMLinux」※1および IoT機器のライフサイクルをトラストチェーンで保護する「Secure IoT Platform®」※2 を実現する「サイバートラスト セキュアIoTプラットフォーム認証局」が、一般社団法人セキュア IoT プラットフォーム協議会(東京都港区、以下、SIOTP 協議会)が認定する「セキュアIoT認定 (Gold)」を取得したことを発表いたします。
      
「セキュアIoT認定」は、「IoTセキュリティ手引書Ver2.0」※3 (2022年1月SIOTP協議会発行)に基づいて、第三者検査機関による脆弱性検査ならびにIoTセキュリティ検査を行い、チェック項目の要件を満たすサービスに対してSIOTP協議会が認定するものです。特にIoTシステムのプロダクトライフサイクル管理において必要な、「真正性の担保(鍵管理、ROT:Root Of Trust)」、「認証と識別 (設計・製造、利用、廃棄、リサイクル)」、「セキュアアップデート(OTA:Over The Air)」の3点について、国際標準IEC62443-4への適合性を検査します。
      
このたびの認定取得にあたり、脆弱性検査とIoTセキュリティ検査の要件を満たしており、「サイバートラスト セキュアIoTプラットフォーム認証局」は、FIPS 140 ※4 の規格を満たすHSM(ハードウェアセキュリティモジュール)を実装して暗号鍵を安全に格納しており、認証局運用に必須の多重防御と高い認証強度を有する電子証明書の管理システムであることと、定期的な脆弱性診断を実施していることなどが評価されました。
「EMLinux」は、「EMLinux」を使用したコンポーネントにおいて産業制御システムセキュリティの国際規格(IEC62443-4-2)の各要件に準拠する上で必要となる事項を示した「EMLinuxにおけるIEC62443-4-2準拠のためのガイド」と「リファレンス構成」を契約者に提供可能なことが評価されました。この認定取得により「EMLinux」と「サイバートラスト セキュアIoTプラットフォーム認証局」が、国際安全基準レベルでIoT システムに求められるセキュリティ対策が適正に実装されていること、さらに安全に運用を支援するため管理体制の整備や各種書類の文書化などセキュリティマネジメントの観点においても適切に実行されていることが認められました。
      
昨今、IoTシステムの脆弱性を基点にしたサイバー攻撃が増加し、特に重要インフラが狙われたインシデントも多発しています。そのため我が国の経済安全保障においても「基幹インフラ安全性強化」が議論されている中、サイバートラストもこの動向に対応し、国際標準規格に基づいてセキュリティ実装の有効性評価を行う第三者機関の認定を受けることで、国際標準への適合性を確認済の製品・サービスとしてお客様がより安心して選択できるよう、さらなる信頼性の向上に努めてまいります。
       
・「セキュアIoT認定」について
現在IEC62443をはじめとするさまざまな国際安全基準を取得するためには莫大な費用と長期の検証期間がかかるため、適合できるのが一部の大手企業に限定される現状に対して、SIOTP協議会が2022年2月に提供開始した国際標準への適合性を確認するプログラム。産業用システム、業務システム、コンシューマー機器における最終的なIoT機器だけではなく、IoT機器を構成する部品やソフトウェア、システムも認定対象に、IoTシステムに求められるセキュリティ要件を以下の点に絞り込んで検証されます。
ライフサイクル管理
 ・真正性の担保 (鍵管理、ROT:Root Of Trust)
 ・認証と識別 (設計・製造、利用、廃棄、リサイクル)
 ・セキュアアップデート (OTA:Over The Air)
認定要件に対する適合性により「Gold」、「Silver」、「Bronze」の3段階のグレードで認定されます。

※1 「EMLinux」について:EMLinux はミッションクリティカル分野で確実な動作実績と長期間の運用実績を持つ、Yocto 対応の IoT・組込み用 Linux OS です。
https://www.cybertrust.co.jp/iot/emlinux.html
※2 「Secure IoT Platform®」について:電子署名法と WebTrust に準拠した国内のデーターセンターによる公開鍵暗号基盤 (PKI) により「いつ」「どこで」「何を使って」「誰が」といった多角的な認証による真正性や、暗号化による機密性の確保、電子署名による改ざん防止・完全性を、一括したシステム基盤として提供するサイバートラストのサービスです。
https://www.cybertrust.co.jp/siotp/index.html
※3 「IoT セキュリティ仕様書 Ver2.0」について:
https://www.secureiotplatform.org/release/2022-01-31
※4 FIPS 140とは:米国国立標準技術研究所(National Institute of Standards and Technology:NIST)が策定した暗号モジュールに関するセキュリティ要件の仕様を規定する米国連邦標準規格(Federal Information Processing Standards:FIPS)。

サイバートラスト株式会社
https://www.cybertrust.co.jp/