IoTに関するよくある質問

コネクテッドデバイスのセキュリティを実証することは、競合他社との差別化に役立ちます。また、セキュリティやプライバシーを尊重していることを顧客に示すことが出来ます。株主や協業者に対して、自身のビジネスを保護するために必要な措置を講じていることを示します。

GDPRへの準拠は、製品ではなく組織に関連します。製品に対し単独でGDPRへの準拠を宣言することはできませんが、当社のスキームでのテストおよび認証により、組織のGDPR準拠を支援します。

規制の導入にはまだ時間がかかりそうですが、DCMS実施規則および新しいETSI規格に続き、まもなくコンプライアンスレベルでの義務付けはされるでしょう。さらに、テストおよび検証は、GDPR準拠を支援する重要な要素となります。

メリットを挙げると、製品開発中の時間とコストの節約、リスクの低減、差別化による売上および利益の増加があります。最も重要なことは、それが貴組織およびブランドに対する信頼を向上させるということです。

認証(Kitemark)はさまざまな製品やサービスに及んでおり、認証取得された当社のお客様からは次のようなメリットが挙げられています。

• 製品の差別化
• 競争優位性
• 売上増加
• 利益増加（調査では、消費者は認証(Kitemark)製品に対してより高い価格を支払うことが示されています）
• 規制が不十分な市場における信頼
• 消費者、株主、協業者に対するリスク軽減
• 安全およびセキュリティに対し真剣に考えているという証拠を提供する
• ベストプラクティスへの取組みを示す
• 顧客に対する責任を示す
• 品質とマネジメントプロセスを統合し、製品がその寿命を終えるまで安全かつ確実に求められる品質で機能するという宣言を実証するものとなる

すべての製品がターゲットになり得ます。ハッキングは、ますます自動化され、スマートになり、適応性をもって広がっています。マイナー製品のように見えるものは、他のシステムへのアクセスポイントになる可能性があります。5Gなどの新しいテクノロジーは、このような製品のハッキングの影響をさらに高める可能性があります。安全でない製品は、製造業者やユーザーをより深刻なリスクにさらすというIoT（デジタルと物理的なものの出会う場所）の潜在的な安全性の問題により、財政的責任やブランドの評判の低下をもたらし得ます。

製品範囲内に類似の製品が多数ある場合は、第一段階評価を実施し、製品および/またはプロセス、および製品の設計、調達、製造、試験、サポートに関する能力を確認します。この評価を通して、プロセス評価と製品テストの適切な組合せが導き出されます。こうして導き出された評価とテストのバランスの取れたアプローチにより、可能な限り費用対効果の高い方法でお客様の製品範囲に対する認証を実施することができます。

認証されている規格はIoTコンプライアンスに対する完璧な基盤となりますが、

• ISO 9001は品質マネジメントシステムを実証するものです。認証(Kitemark)はこれに基づいて構築されており、そのシステムが評価対象の製品に具体的に適用され、製品がその寿命を終えるまで安全にそして求められる品質で機能することに対する保証を示します。
• ISO 27001は、組織の情報リスクマネジメントプロセスに関与するすべての法的、物理的、技術的コントロールを含む方針および手順に関する枠組みであり、認証(Kitemark)のスキームをサポートすることはできますが、製品のセキュリティ固有のものではありません。

ペネトレーションテストは認証(Kitemark)の１つのプロセスに過ぎません。本格的にヒューリスティックなものであり、予算および/またはリスク選好度によって決まる傾向があります。
認証(Kitemark)プロセスは、ソフトウェア製品のデザインおよびメンテナンスのすべての重要な側面を調べて、その製品がレジリエントで、その寿命が終わるまで安全かつ確実に機能することを保証することができます。
このプロセスには、単なるペントレーションテストよりもはるかに多くの時間がかかります。例えば、ある組織においてメンテナンス手順が適切にスケジュールされていないためにクラッシュし、顧客に中断や阻害を余儀なくさせるアプリを使用しているとします。このような場合、ペネトレーションテストでは検出されませんが、認証(Kitemark)プロセスでは検出可能です。

IoTデバイスおよびアプリケーション用の3つの異なるタイプのBSI認証 (Kitemark)があります。

• レジデンシャル – 住環境で使用される製品
• コマーシャル－商業環境で使用される製品
• エンハンスド －政府や国家のインフラストラクチャのような高価値/高リスク用途向けの住宅または商業用製品　例)医療施設、銀行など

BSIでは認証(Kitemark)に至るまで、次のように多くの事前認証段階をご用意しています。

• ヘルスチェック - 世界的に認識されている主要な脆弱性に対する検証を行い、重大な不足がないか明らかにします。これは既に市場に出ている製品または開発の初期段階のリスク管理に役立ちます。
• テスト - 関連する規格に照らしてテストし、重要な懸念領域に対処します。ハードウェア、ソフトウェア、およびファームウェアに加えて、いくつかの主要なサポートプロセスを対象とします。より詳細なリスク管理プロセスです。
• 検証 - 関連する規格に対する完全なコンプライアンスの実証となります。I/Oポートおよびコネクションの包括的かつ詳細な物理テスト、完全なハードウェア評価、ファームウェア分析、抽出および操作、メモリ操作および異なるネットワークインターフェイスの評価が含まれます。これはコンプライアンスの実証に役立ち、B2B環境で非常に役立つ、独立した検証証明書が発行されます。

BSI 認証(Kitemark)には次のようにさまざまなメリットがあります。

• 売上増加につながる
• より高い価格の設定
• 消費者および他の多くの組織における認識の高さ
• マージンの保護
• サービスの差別化
• リスク低減/リスクの低い製品開発
• 利益増加
• 最終的に顧客や協業者の信頼を獲得

所要時間は、製品および関連プロセスの複雑さ、リスク、成熟度によりますが、一般的には3か月未満となります。

製品および関連するアプリまたはクラウドサービスに関する詳細情報をご用意いただきます。これは、方向書及び製品サンプルや製品に関する文書をご提出いただければ問題ありません。

最初の方法書または製品評価には、テクニカルリード/インプットが必要であり、テストプロセスを完了するには、調査結果に対処する必要があります。これには製品のハードウェア、ファームウェア、およびソフトウェアに関するテクニカルインプットが必要です。

私たちの目的は、できる限り迅速かつ効果的にコンプライアンスをサポートするとともに、独立性を維持し、認証の信頼性を高めることです。どの製品もなんの問題もなくプロセスを通過することはほとんどありません。潜在的な重大問題が発生した場合は、できるだけ早くお知らせし、現実的な範囲でコンプライアンスを達成できるようサポートします。

多くのお客様は、それぞれの要求事項と願望に応じて、さまざまな段階でプロセスを実行しています。

私たちは次のような分野でお客様をサポートしてきました。

• スマートロック
• セキュリティシステム
• スマートホームハブおよび付属品
• スマートサーモスタット
• カメラ
• 照明
• 煙感知器
• ルーター

当社の従来のお客様の多くは当社と連携して、コネクテッド製品のテスト、検証を行い、認証(Kitemark)取得を達成しています。

これは比較的新しい規格であるため、BSIがお手伝いし独自のマーケットリードおよびマーケティング機会を提供することで、お客様が関わる市場で最初になれるかもしれません。

価格設定は、複雑さとリスク、および認証(Kitemark)の使用方法や場所に基づきます。最初のスコーピングの後、すぐに見積もりを提供できます。

認定認証機関でISO 9001認証をされている場合、認証(Kitemark)で必要とする審査のレベルが下がるため、2倍で支払うことはありません。

絶えず変化するリスクの状況および継続的な品質チェックの一環として、すべての認証(Kitemark)スキームにおいて、継続的なサイト評価および製品の審査テストが必要となります。

規制は今後整っていく予定ですが、政府や企業は、IoTおよびデジタル製品のセキュリティを保証する必要性をはっきりと認識しています。セキュリティリスクがどれほど軽減されたかを示す証拠に関する明細を求める要求が増えています。セキュリティに関して、明確かつ信頼できる独立した認証を取得することで特に次の事項に対し役立ちます。

• 政府プロジェクト
• 商業プロジェクト
• 消費者向け製品の流通取引

コンプライアンスが必須になると、周りより有利なスタートを切ることで商業的に優位になり、将来の規制準拠に対しても競合他社より優位に進められ、お客様またはその顧客に対する財務および評判に関するリスクを低減できます。

Brexitの結果による影響は受けません。これは、国際規格に基づいており、ベストプラクティスに関する世界的に認められたコンセンサスです。