トップ > サーティフィケーション > セキュリティ要件
サーティフィケーションプログラムにおけるセキュリティ要件
■INDEX
■セキュリティ要件 -レベル1(★) 2023年-
CCDS-GR01-2023
CCDSサーティフィケーションプログラムにおける、2023版のIoT機器セキュリティ要件を公開致します。内容については下記の文書群をご参照下さい。
| 分類 | 要件ID | セキュリティ要件 (サブセットのID、要件) |
要件の対象・目的 |
| 1)IoT機器の機能要件 | 1-1 | アクセス制御及び認証 | 識別、アクセス制御、構成変更、権限管理、認証 |
| 1-1-1 TCP/UDPポートの無効化 | |||
| 1-1-2 認証情報の変更 | 1-2 | データ保護 | データ保護、認証情報・鍵情報保護 |
| 1-2-1 データ消去 | |||
| 1-3 | ソフトウェア更新 | 運用中インシデント対応 | |
| 1-4 | 特にインシデントが多く影響度が大きい要件 | ||
| 1-4-1 Wi-Fiの認証方式 | |||
| 1-4-2 Bluetoothの対策 | |||
| 1-4-3 USBのアクセス制御 | |||
| 1-4-4 インジェクション対策 | |||
| 2)IoT機器の運用における要件 | 2-1 | 連絡窓口・セキュリティサポート体制 | 運用中インシデント対応 |
| 2-2 | 製品に関する文書管理 | セキュリティ対応状況の明文化 | |
| 2-3 | 利用者への情報提供 | 運用サポート | |
| 3)IoT機器の監査に関する要件 | 3-1 | ログの記録 | 運用中インシデント管理 |
| 3-1-1 時間管理機能 |
■セキュリティ要件 -レベル1(★) 2021年-
CCDS-GR01-2021
CCDSサーティフィケーションプログラムにおける、2021版のIoT機器セキュリティ要件は以下の12項目を定義しております。詳細については公開している下記の文書群をご参照下さい。
| ガイドライン文書 2021年版(CCDS-GR01-2021) |
| IoT機器セキュリティ要件ガイドライン2021年版_ver2.0 |
|
CCDS_IoT機器セキュリティ要件ガイドライン2021年版_別冊_v2.0 ~12要件における解説編 |
| IoT機器セキュリティ要件_2021年版_対策方針チェックリスト_v1.0 |
| 分類 | No. | サーティフィケーション要件 |
| 1.IoT機器の機能要件 | 1-1 | 未使用なTCP/UDPポートを外部より使用されないこと |
| 1.IoT機器の機能要件 | 1-2 | システム運用上、必要なTCP/UDPセッションにおいて、適切な認証(機器毎にユニークなIDとパスワード)や通信アクセス制御が行われていること |
| 1.IoT機器の機能要件 | 1-3 | ・認証情報の設定変更が可能なこと(ハードコーディングされていないこと) |
| 1.IoT機器の機能要件 | 1-4 | ・利用者の設定した情報、および機器が利用中に取得した情報は、容易に消去できる機能を有すること ・情報消去後も、更新されたシステムソフトウェアは維持されること |
| 1.IoT機器の機能要件 | 1-5 | ・ソフトウェア更新が可能なこと ・ソフトウェア更新された状態が電源OFF後も維持できること |
| 2.IoT機器特有のインタフェースにおける基準 | 2-1 | Wi-Fi Alliance ®(ワイファイ アライアンス)推奨の最新の認証方式が装備されていること |
| 2.IoT機器特有のインタフェースにおける基準 | 2-2 | 1)Bluetooth SIG推奨の最新のペアリング方式が装備されていること 2)Bluetoothにおける不要なプロファイルを認識しないこと 3)BluetoothのBlueborneの脆弱性がないこと |
| 2.IoT機器特有のインタフェースにおける基準 | 2-3 | システム運用上、不要なクラスを認識できないこと |
| 3.管理者画面における具体的な対策基準 | 3-1 | Web入力経由によるSQLインジェクションの不具合がないこと |
| 3.管理者画面における具体的な対策基準 | 3-2 | Web入力経由によるクロスサイトリクエストフォージェリの不具合がないこと |
| 3.管理者画面における具体的な対策基準 | 3-3 | Web入力経由によるパストラバーサルの不具合がないこと |
| 4.IoT機器の運用における要件 | 4-1 | 1)製品の脆弱性に関する連絡窓口があり、公開していること 2)製品のセキュリティアップデートサポートサイトがあること |
■セキュリティ要件 -レベル1(★) 2019年-
CCDS-GR01-2019(旧番号 CCDS CR01-2019)
CCDSサーティフィケーションプログラムにおける、2019年版のIoT機器セキュリティ要件は以下の11項目を定義しております。詳細については、別途公開している下記文書群をご参照下さい。
| ガイドライン文書 2019年版(CCDS-GR01-2019) |
| IoT分野共通セキュリティ要件ガイドライン2019年版_ver2.0 |
|
CCDS_IoT分野共通要件ガイドライン2019年_別冊_v1.0 ~11要件における解説編 |
| No. | サーティフィケーション要件 |
| 1 | Web入力経由によるSQLインジェクションの不具合がないこと |
| 2 | Web入力経由によるクロスサイトリクエストフォージェリの不具合がないこと |
| 3 | Web入力経由によるパストラバーサルの不具合がないこと |
| 4 | 未使用のTCP/UDPポートを外部より使用されないこと |
| 5 | システム運用上、必要なTCP/UDPポートには、適切なアクセス認証方法(機器毎にユニークなIDとパスワード、もしくは外部公開の恐れのない管理されたIDとパスワード)で管理されていること |
| 6 | ・認証情報の設定変更が可能なこと ・初めて利用する際、設定変更を促す機能を有すること ・IDとパスワードはハードコーディングをしないこと (初期パスワードは共通でも可とする) |
| 7 | ・利用者の設定した情報、および機器が利用中に取得した情報は、容易に消去できる機能を有すること ・情報消去後も、更新されたシステムソフトウェアは維持されること |
| 8 | Wi-Fiアライアンス推奨の最新の認証方式が装備されていること |
| 9 | Bluetooth SIG推奨の最新のペアリング方式が装備されていること |
| 10 | システム運用上、不要なクラスを認識できないこと |
| 11 | ・ソフトウェア更新が可能なこと ・ソフトウェア更新された状態が電源OFF後も維持できること |
■セキュリティ要件 -レベル2(★★)・3(★★★) 2021年-
CCDSサーティフィケーションプログラムにおけるレベル2(★★)・3(★★★)の要件は、以下の製品分野別ガイドラインにて定義しています。詳細については公開している下記の文書群をご参照下さい。
| 分野 | レベル | 番号 | ガイドライン文書名 |
| スマートホーム | ★★ | CCDS-SH02-2021 | CCDS製品分野別セキュリティガイドライン-概要説明資料_スマートホーム編_Ver.1.0_2 |
| ★★★ | CCDS-SH03-2021 | ||
| スマートホーム | ★★ | CCDS-SH02-2021 | CCDS製品分野別セキュリティガイドライン_スマートホーム編_Ver.1.0_2 |
| ★★★ | CCDS-SH03-2021 | ||
| 金融(ATM) | ★★ | CCDS-ATM02-2021 |
金融機関における自動預け払い機関連システムの物理・サイバー攻撃対策ガイドライン無人端末(ATM)編_Ver.1.0 ※本文書は、対象となるサーティフィケーションの取得申請者に限り、提供可能です。取得をご希望される方は、事務局までお問い合わせください。 |
| ★★★ | CCDS-ATM03-2021 |
PDFファイルをご覧いただくには、Adobe社のAdobe Readerが必要になります。
最新のAdobe Reader(無料)はAdobe社ウェブサイトからダウンロードできます。