家庭内にある機器がインターネットにつながるようになり、便利になった反面、IoT機器のサイバー攻撃も多くなりつつあります。
早いスピードで、IoTのセキュリティにおいて各国ともに法制度や、ガイドラインが整えられつつあります。
日本では総務省の2020年4月施行省令改正により、IoT機器の電気通信事業法認証取得にセキュリティ基準要件が新たに追加されました。
アメリカでは、NICTのThe IoT Cybersecurity Improvement Act も、2020年12月 法制度として成立し、欧州では、RE指令などがあります。
ここでは「EN303 645」について、少し掘り下げたいと思います。

EN303 645ってなに？

この規格って、ざっくりなんですか。

消費者向け IoT デバイスを保護するための規格。
家庭内ネットワークと公衆ネットワーク間の物理デバイスと、これらのネットワーク間のトラフィックを保護する位置づけとなっています。
ざっくりいうと、IoT機器のセキュリティ規格です。

誰が作ったものですか。

ETSI（エッツィ）：European Telecommunications Standards Institute
欧州の非営利団の標準化機構

どこの規格ですか。

国際規格ではなく、欧州の規格になります。

対象の機器は何になりますか。

対象は、消費者向けIoTデバイスとなっています。
例として、子供のおもちゃ、ドアロック、IoTゲートウェイ、Hub、スマートカメラ等があげられています。
対象外としては、製造、ヘルスケア、その他の産業アプリケーションでの使用を主な目的としてデバイスがあげられています。
イメージとしては、家庭内にあるIoT機器と思われます。

求められる要求内容は、どんなものがありますか。

5章の消費者向けIoTのサイバーセキュリティ規定には、下記の内容の記載あります。

　5.1 共通のデフォルト パスワードは利用しない。
　5.2 脆弱性のレポートを管理する⼿段を実装する
　5.3 ソフトウェアを最新の状態に保つ
　5.4 機密性の⾼いセキュリティ パラメータを安全に保存する
　5.5 安全に通信する
　5.6 露出する攻撃⾯を最⼩限に抑える
　5.7 ソフトウェアの整合性を確保する
　5.8 個⼈データの安全を確保する
　5.9 停⽌に対するシステムの回復⼒を⾼める
　5.10 使⽤状況および測定データなど取集する場合、 セキュリティの異常について調査する
　5.11 ユーザーがユーザーデータを簡単に削除できるようにする
　5.12 デバイスの設置と保守を容易にする
　5.13 ⼊⼒データの検証

何か、すごく難しい事というよりセキュリティを考慮しないといけないところをカバーしていうイメージになります。

ETSI TS 103 701もありますが、どのような位置づけですか。

ETSI EN 303 645に紐づく、評価および保証する⽅法に関する
技術仕様(TECHNICAL SPECIFICATION)で、判定の基準になるものになります。

ETSI EN 303 645は、法的に要求されていますか。

ETSI EN 303 645が、何か法的に要求されているものには、まだなっておりません。
しかし、EU市場で無線製品を販売する場合は、RE指令（2014/53/EU）が準拠必須になっています。
その中でもサイバーセキュリティに関連する補足の要求事項：DR (EU) 2022/30が2024年8月1日から適用される予定となります。
また、armonized Standardsは、2023年10月までに準備される予定のため、将来的にDR (EU) 2022/30とHarmonized standardsに準拠が必要なります。
その中で、現時点で一番有効な方法は、ETSI EN 303 645を用いて試験を行なうことではないか、と言われています。

実施するメリットはありますか。

ETSI EN 303 645の規格に沿った対応を行うことにより、標準化されたサイバーセキュリティ対策が可能となります。
また、これから欧州の法令の動きをみると、ETSI 303 645に準じておいて、法令が制定されたあとに差分を対応するというのも良いと考えられます。

終わりに。

なんとなくEN303 645の概要がわかったかと思いますが、実際に検討の際は必ず規格をご参照ください。
日本だけでなくIoT機器を海外へ市場も視野にいれて販売をする場合は、各国サイバーセキュリティ法令の動きも、把握もしなければなりません。

また、IoT機器のサイバーセキュリティ対応となると敷居が高く、リソース不足や技術者の育成コストも課題として挙げられるかと思います。
弊社では、IoTセキュリティ診断も行っております。
何か、お困り事項がございましたら、当社窓口までお問い合わせください。

サービス紹介：ETSI EN 303 645に沿ったIoTセキュリティ診断サービス

3分解説ブログシリーズ:　
　【3分解説】UTMの導入検討ポイント
　【3分解説】IoT機器の更新チェック
　【3分解説】SMS利用のフィッシング詐欺、スミッシング
　【3分解説】MITRE ATT&CKフレームワーク
　【3分解説】アンチウイルスソフトの種類
　【3分解説】危険すぎるLog4jの脆弱性(Log4Shell)