IoT機器セキュリティ要件

IoT機器に求められるセキュリティ

2019年3月1日に、「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令（平成31年総務省令第12号）が公布、2020年4月1日に施行され、電気通信事業法の認証が必要なIoT機器は最低限のセキュリティ対策を実装することが必須となりました。
ビューローベリタスジャパン株式会社は、総務省より認められた登録認定機関(*)として技術基準適合証明マークに係る認証番号および認証書を直接発行することにより、迅速かつリーズナブルなサービスを提供します。
また、株式会社セキュアイノベーションとの協業により、お客様の製品の機能に合わせて認証取得に必要な試験を実施し、その結果に基づいて認証を行うほか、書類作成やアドバイザリーなども承ります。

(*) 登録認定機関の区別：022

法的根拠

今回のセキュリティ基準については、端末設備等規則第34条の10に追加されています。

対象機器

上記規則に「電気通信回線設備を介して接続することにより当該専用通信回線設備等端末に備えられた電気通信の機能（送受信に係るものに限る。以下この条において同じ。）に係る設定を変更できるもの」と定義されており、携帯網や無線LAN網などのサービス、いわゆる「電気通信業者のネットワーク」に直接接続する機能を持つIoT機器の場合はセキュリティ基準への対応が必須です。
前述の規則には、「利用者が任意のソフトウェアにより随時かつ容易に変更することができる専用通信回線設備等端末については、この限りでない。」との記述があることから、PCやスマートフォンは任意です。ルータを介してインターネットに接続しているIoT機器もまた電気通信事業者のネットワークに直接接続していないため任意となります。
ただし、セキュリティ基準への対応は総務省がすべてのIoT製品に対し推奨しており、必須とされていない場合でもインターネットに接続する限りこの基準の対象になります。必須とされていない場合でも、この基準で認証を取得することができ、最低限のセキュリティー担保ができている証明として利用できます。

試験の内容

規則には、原則として以下の条件に適合することが求められています。お客様の製品機能を考慮して、認証取得に最適なテストプランの作成から実施まで、責任をもって対応します。

1. 電気通信の機能に係る設定を変更するためのアクセス制御機能を有すること。
2. 初めて当該専用通信回線設備等端末を利用するときにあらかじめ設定されている識別符号の変更を促す機能若しくはこれに準ずるもの。
   又は当該識別符号について当該専用通信回線設備等端末の機器ごとに異なるものが付されていること若しくはこれに準ずる措置が講じられていること。
3. 電気通信の機能に係るソフトウェアを更新できること。
4. 電力の供給が停止した場合であっても、第一号のアクセス制御機能に係る設定及び前号の機能により更新されたソフトウェアを維持できること。

よくある質問

今回の改正について、自社の製品が対象になるのか、そうではないのか、心配な方も多いかと思います。もし、疑問がありましたらお気軽にご相談ください。

ご質問例1)
本省令施行前に認証をとっているモジュールを組み込んだIoT製品をこれから販売予定だが、試験しなくていいのだろうか？

ご質問例 2)
電気通信事業者のネットワークに接続するIoT製品だが、設定変更はインターネットプロトコル（IP）を介して行わない。このような場合、必須となるのだろうか？

ご質問例 3)
販売前のIoT製品では、自社のソフトウェア更新用サーバーに接続できない。このような環境で試験はできるのだろうか？