なぜ今、ETSI EN 303 645なのか
近年のIoTデバイスは、サプライチェーンの複雑化により、セキュリティ強度がメーカーの担当者任せになっているケースが散見されます。そこで、欧州電気通信標準化機構(ETSI)が策定した「ETSI EN 303 645」が、実務上の「グローバル・デファクトスタンダード」として急速に重要度を増しています。この規格は、単なる概念論ではなく、「コンシューマー向けIoT機器に実装すべき13のセキュリティ要件」を具体的に規定している点が最大の特徴です。
実務者が押さえるべき「脆弱性管理」の要点
多くの技術者が誤解しがちなのは、本規格が「完璧なセキュリティ」を求めているわけではないという点です。むしろ、「基本的な衛生管理(Cyber Hygiene)」の欠如を埋めることに主眼が置かれています。
特に注目すべきは、要件5.1-1「パスワードの初期設定禁止」です。これは、製品出荷時に「admin/admin」のような共通パスワードを許容せず、デバイスごとにユニークな初期パスワードを設定するか、初回起動時に強制的なパスワード変更を求めることを義務付けています。実務現場では、この要件を満たすために、製造プロセスの段階で個別の認証情報を埋め込む「セキュア・プロビジョニング」の導入が不可欠となります。
OTAアップデートの運用が最大の難所
もう一つの大きな壁は、要件5.3-1「ソフトウェアのアップデート性」です。単にアップデート機能があるだけでは不十分であり、「セキュアな配信経路」と「署名検証」が必須とされています。
具体的には、パッチが改ざんされていないことを検証する仕組みを実装しなければなりません。現場のエンジニアが陥りやすい罠として、OTA(Over-the-Air)の配信サーバーが侵害された際、攻撃者が不正なファームウェアを配信できてしまうリスクを考慮しきれていないケースが挙げられます。規格では、サーバー側のセキュリティだけでなく、デバイス側で「信頼された署名」のみを受け入れるアーキテクチャを要求しています。
「コンプライアンス」から「リスク低減」へのシフトを
ETSI EN 303 645を翻訳・解釈する際、単なるチェックリストとして扱うと、現場は疲弊します。重要なのは、この規格を「攻撃者に対するコストを最大化させるための最小構成」と捉えることです。
例えば、脆弱性公開の連絡窓口(VDP)を設けることは、単なる事務作業ではなく、「発見された脆弱性を市場から排除するエコシステムの構築」を意味します。日本企業が欧州市場へ参入する際、この規格への準拠を自己宣言するだけで、製品の信頼性は格段に向上します。
今後は、設計段階(Secure by Design)でこの規格の要件を組み込み、リリース後の運用負荷をいかに自動化できるかが、製品の競争力を左右する鍵となるでしょう。まずは、自社の製品が「共通パスワードの排除」と「ファームウェアの署名検証」という、最も基本的な二つの砦を突破できているかを確認することから始めてみてください。
コメント