欧州法規制セキュリティアセスメント
IoT製品安全性/プライバシー保護基準ETSI EN 303 645
RED-DA IoTセキュリティ法規制
ETSI EN 303 645準拠
セキュリティアセスメント
ETSI EN 303 645は欧州電気通信標準化機構ETSI(European Telecommunications Standards Institute)が2020年に発表したIoT製品安全度/プライバシー保護基準です。
社会的課題の解決を目的とした、ヒト、住宅、自動車、社会インフラ、地球環境などと相互作用して機能拡大・能力を向上させるソーシャルデバイスや、クラウドサービスからなるIoT製品へのハッキングを防ぐために、ETSI EN 303 645基準を合わせることで、IoT製品の安全度を確保し、消費者のプライバシーと個人情報データを守ることができます。
ETSI EN 303 645 ではIoT製品の安全性およびプライバシーに対して13項目が規定されています。
- 共通のデフォルトパスワードは設けないこと
- 脆弱性の管理報告手段を実装すること
- ソフトウェアのアップデートを続けること
- 機密性の高いセキュリティパラメーターは安全に保存すること
- 安全に通信すること
- 外部にさらされる攻撃対象領域を最小限とすること
- 個人データは確実に安全にすること
- ソフトウェアの整合性を確保すること
- 停止から回復力のあるシステムを作ること
- 通信データの検査をすること
- ユーザーが簡単にユーザーのデータ消去を行えること
- 機器へのインストールとメンテナンスが容易であること
- 入力データは検証すること
オンワードセキュリティのIoTセキュリティ/個人情報データ保護対策サポート
製品および関連技術書類によってテスト環境を構築し、詳細な製品テストを行います。そしてETSI EN 303 645の各規定と要求に対応した製品テスト結果をお客様に詳しい説明と専門的アドバイスをご提供します。
RED-DA準拠
セキュリティアセスメント
RED-DA IoTセキュリティ法規制の背景
製造メーカー、輸入業者およびディーラーが欧州連合(EU)で無線機器を含む製品を販売する際、それぞれ異なるネットワークセキュリティに関する制定された要求を満たすことが求められます。無線機器指令委託法令(RED-DA;Radio Equipment Directive - Delegated Act)は、無線機器を含むデバイスにおいて高いレベルのネットワークセキュリティを備え、消費者のプライバシーと個人情報を保護し、クラッカーによるマルウェアなどのリスクを防止するよう定められています。
※Article 3.3.d/Article 3.3.e/Article 3.3.f参照
| Article 3.3.d | 無線機器がネットワークまたはその他の機能を損なったり、ネットワークリソースを濫用することで、許容できないほどのサービスの品質の低下がないこと。 |
|---|---|
| Article 3.3.e | 無線機器に保証対象が含まれており、ユーザー自身とユーザーの個人情報およびプライバシーが保護されること。 |
| Article 3.3.f | 無線機器が何らかの詐欺防止機能に対応していること。 |
RED-DAの影響を受ける無線製品の種類
- GPS装置と衛星放送受信機
- トランシーバーとその他の双方向無線送受信機
- テレビや電波送信器などの放送機器
- RFIDスキャナーやワイヤレス防犯カメラなど無線周波数を使用する設備
- カーラジオや飛行機内ラジオなどの自動車および航空通信システム
- Wi-Fiルーターと無線AP
- ワイヤレスイヤホンやラウンドスピーカーなどのBluetoothデバイス
- 携帯電話やスマートフォン
- ウェアラブルデバイス
- AIoTのおもちゃやベビー用品
モータービークル、ETC、ドローンおよび医療機器には適用しない
RED-DAに準拠するための
セキュリティレベル評価をご提供
欧州委員会(EC)より「サイバーレジリエンスの向上」「個人のプライバシー保護向上」「金融詐欺のリスク低減」の三大目標が示されています。ECは2021年10月に法令が通ったRED-DAの要求に基づき、新しく整合規格を制定することを計画しています。
RED-DAの整合規格のベースとなる可能性があるETSI EN 303 645 および IEC 62443 シリーズなど、既存のネットワークセキュリティ規格に定められている技術要求に基づき、お客様の製品に対するセキュリティレベルの評価をご提供します。
お電話でのお問い合わせ(受付時間:平日9:00-17:45)
