【材料】サイバートラスト---第三者機関の国際安全基準レベルのセキュリティ認定を取得

サイバートラスト<4498>は10日、長期利用可能なIoT・組込み用 Linux OS「EMLinux」およびIoT機器のライフサイクルをトラストチェーンで保護する「Secure IoT PlatformR」を実現する「サイバートラスト セキュアIoTプラットフォーム認証局」が、セキュアIoTプラットフォーム協議会が認定する「セキュアIoT認定(Gold)」を取得したことを発表。

「セキュアIoT認定」は、「IoTセキュリティ手引書Ver2.0」に基づいて、第三者検査機関による脆弱性検査ならびにIoTセキュリティ検査を行い、チェック項目の要件を満たすサービスに対してSIOTP協議会が認定するもの。特にIoTシステムのプロダクトライフサイクル管理において必要な、「真正性の担保」、「認証と識別」、「セキュアアップデート」の３点について、国際標準IEC62443-4 への適合性を検査する。

今回の認定取得にあたり、脆弱性検査とIoTセキュリティ検査の要件を満たしており、「サイバートラストセキュアIoTプラットフォーム認証局」は、FIPS140の規格を満たすHSMを実装して暗号鍵を安全に格納しており、認証局運用に必須の多重防御と高い認証強度を有する電子証明書の管理システムであることと、定期的な脆弱性診断を実施していることなどが評価された。「EMLinux」は、「EMLinux」を使用したコンポーネントにおいて産業制御システムセキュリティの国際規格(IEC62443-4-2)の各要件に準拠する上で必要となる事項を示した「EMLinuxにおけるIEC62443-4-2 準拠のためのガイド」と「リファレンス構成」を契約者に提供可能なことが評価された。この認定取得により「EMLinux」と「サイバートラストセキュアIoT プラットフォーム認証局」が、国際安全基準レベルでIoTシステムに求められるセキュリティ対策が適正に実装されていること、さらに安全に運用を支援するため管理体制の整備や各種書類の文書化などセキュリティマネジメントの観点においても適切に実行されていることが認められた。

同社は、国際標準規格に基づいてセキュリティ実装の有効性評価を行う第三者機関の認定を受けることで、国際標準への適合性を確認済の製品・サービスとして、さらなる信頼性の向上に努めていくとしている。

《YI》

　提供：フィスコ