221119 第2章　情報セキュリティを支える基盤の動向（抜粋）2.6.1 様々な標準化団体の活動 （4）WG 4（セキュリティコントロールとサービス

221119 第2章　情報セキュリティを支える基盤の動向
（抜粋）
2.6.1 様々な標準化団体の活動
（4）WG 4（セキュリティコントロールとサービス
（イ）ISO/IEC 27402: Cybersecurity – IoT security
and privacy – Device baseline requirements
本規格は、米国が主導して進めており、IoT 機器が
備えるべきセキュリティメカニズムのベースラインとなる要求
条件の規定を目指している。ISO/IEC 27400とは異なる
スコープを掲げ、IoT 機器に特化した要件化を視野に入
れ、NIST 及び ETSI（European Telecommunications
Standards Institute：欧州電気通信標準化機構）の既
存のガイドラインを下敷きに標準化を進めている。2020
年 4 月に WD 1として審議が開始され、一定の完成度
と判断され、2020 年 9 月会議では、CD1 に進むことが

決定したが、内容の重要性や ISO/IEC 27400との整
合性等が議論され、2021 年 10 月会議で CD2 の状態
となっている。本規格の位置付けは、図 2-6-2 にあるよ
うに、本規格の基本要求事項が水平方向の基本ベース
ラインとなり、その上に垂直市場（健康、金融サービス、
産業、家電、輸送等）や様々なセクター（民間／工業、
公共、防衛、国家安全保障等）のアプリケーションで想
定されるIoT デバイスの使用とリスクに対する追加要件
を構築できるというものになっている。
また、本規格は IoT 機器の適合性評価スキームの要
件を提供することができる。具体的には、まず特定のセ
クター及び垂直市場の利害関係者が、この水平規格の
「上」に構築される、それぞれのコンテキスト固有の要件
に関する合意を形成することが期待され、その後、それ
らの特定のセクター及び垂直市場に関する適合性評価
プログラムが開発され、本規格は、共通の基本要件セッ
トを提供しながら、そのようなプログラムに効果的に統合
されるといったイメージとなる。
現在策定されているドキュメント（CD2）の枠組みを以
下に示す。
第 1 章～ 4 章：スコープ、文献、用語定義、概要
第 5 章 要求事項
5.1 IoT 機器製造者のための要求事項
5.1.1 リスクアセスメント
5.1.2 ユーザへのコミュニケーション
5.1.3 脆弱性の開示と処理プロセス
5.2 IoT 機器のための要求事項
5.2.1 一般事項
5.2.2 IoT 機器の識別
5.2.3 構成
5.2.4 リセット
5.2.5 ユーザデータの削除
5.2.6 データの保護
5.2.7 インタフェースアクセス（Interface access）
5.2.8 ソフトウェアとファームウェアのアップデート
なお、インタフェースアクセスは、IoT デバイスにおいて、
秘密鍵やパスワード等の重要なセキュリティパラメータを
共有または再利用するためのインタフェースへのアクセス
を許可された権限者に限定することに言及している。
上記の要求事項に近い内容は、ハイレベルなセキュリ
ティ対策として ISO/IEC 27400 においても触れられてお
り、ISO/IEC 27400 と ISO/IEC 27402 は、ISO/IEC
27400シリーズ規格として一貫性を確保する形で規格策
定が進められている。
（ウ）ISO/IEC 27403: Cybersecurity – IoT security
and privacy –Guidelines for IoT-domotics
本規格は、2019 年 4 月テルアビブ会議において、中
国からNPとして提案され、同年 10 月のパリ会議では、
NP の承認がなされ、2021 年 10 月に CD1 に進んでい
る状況にある。「IoT-domotics」とは、娯楽、機器制御、
監視等の用途として、居住環境で利用するIoT サービ
スをいう。本規格は、ISO/IEC 27400との棲み分けが
難しい部分が多いものの、IoT-domotics の特性を抽出
し、ISO/IEC 27400とは異なる視点でセキュリティとプラ
イバシーに関するガイドラインとして整理している。具体
的には、IoT-domotics のためのリスクアセスメントの実
施を、アプリケーション、ネットワーク、ハードウェアの三
点から評価しており、それらの結果を受ける形で、IoT
domoticsを構成するサブシステムや IoT ゲートウェイの
ためのセキュリティ、及びプライバシーのガイドラインを整
理する方向としている。
（エ）PWI 27404: Cybersecurity Labelling for
Consumer IoT
本 PWI は、2021 年 10 月にシンガポールから提案さ
れたもので、利用者が活用するIoT 機器にセキュリティ
ラベルを付与し、機器にどの程度セキュリティ機能が装
備されているかを、IoT 機器の利用者が把握できるよう
にする目的で検討が開始された。
現在、PWIとして審議を継続しているが、ISO/IEC
27402もIoT 機器に関する基本的な要求事項を規格化
しようとしており、そこでも機器認証に関連した議論を行っ
ていることから、簡単に本 PWI は NPとならない可能性
が高いと考えられている。

所感
アメリカ主導だよな。日本は、ある意味、主導になれんよな。