IoTデバイスのセキュリティを高める「UL CAP」とは：米シノプシスに聞く（2/2 ページ）

[田尻浩規，＠IT]

UL CAP取得のメリットとは？

編集部　現在、グローバルでUL CAP認証を取得している企業は何社程度あるのでしょうか。本制度の普及に向けて行っていく取り組みについても教えてください。

Jarzombek氏　現時点ではまだパイロット段階の制度ですので、認証を取得している企業は限定的です。もちろん、今後ともシノプシスやULで啓蒙活動を続けていきますが、最終的にはユーザーとなる企業や個人自身が声を上げ、IoT製品の「受け入れ条件」の中に「UL CAPの取得」を明記するような状況が生まれる必要があるでしょう。ユーザーには買い手責任がありますから、こうした第三者認証を活用して製品の安全を確認してほしいと思います。

　IoTシステムは多数のコンポーネントを組み合わせて構築されますので、1つ1つのコンポーネントの開発プロセスから、上位のサプライチェーン、そして最終製品に至るまでの全ての段階において、しっかりと「サインオフ」が行われることが最終製品の品質レベルを向上させるはずです。これが、IoT時代にはベストプラクティスになるでしょう。

編集部　日本企業がUL CAPを取得することで、どのようなメリットを得られるのでしょうか。

Jarzombek氏　世界に先駆けてこの認証を取得すれば、グローバルでも先駆的な立場を確保することができ、差別化の要因となるでしょう。それから、これはぜひお伝えしておきたいのですが、認証の要件である「UL 2900」シリーズは「オープンスタンダード」ですので、各企業が独自にこの規格をテストに役立てて、製品のセキュリティを高めることができます。その上で第三者の証明が必要なときに、ULによる試験・認証を受けることが可能です。

　ゆくゆくは「サイバー保険」においてもこうした認証の取得が条件として求められるようになると考えています。民間企業の限られた予算の中では、UL CAPのような認証を取得することによって、サイバー保険に掛かるコストを抑えていくのが望ましい施策になっていくのではないでしょうか？

編集部　現場のソフトウェア開発者の視点から見たときのメリットについてはどうですか？

Jarzombek氏　品質を重視することのメリットを、多くの開発者は理解していると思います。もし仮に、こうしたテストのプロセスに抵抗を示す開発者がいたとすれば、それは「製品の品質はどうでもいい」と言っているのと同じことです。そのような開発者はまずいないでしょう。開発プロセスの各ステップで品質テストを実施することで、手戻りを少なくすることができ、スピードを実現できます。

　多くの脆弱性は「コンパイラの警告フラグを無効にしておく」といったようなソフトウェアの製造慣行に起因しているのです。これでは、意図的にセキュリティを無視したと非難されても仕方がありません。各開発者が品質、そしてセキュリティへの意識を持ち、日々の作業に取り込む必要があります。現在はそのための便利なツールがたくさんありますから、そうしたツールを活用するのもよいでしょう。「品質の延長線上にセキュリティがある」ということを開発者の方にはぜひ認識してほしいと思います。

---

　IoT時代が現実のものとして立ち現れつつある今、UL CAPのようなIoTデバイスに対する第三者認証プログラムも登場し始めた。このプログラムが今後どれだけグローバルで、あるいは日本国内において普及していくのかは未知数だが、UL規格は、米国などでのビジネス展開を考える各種製造業者の間では既に無視できない存在になっている。IoTデバイスの開発／利用者も、今後はこうしたIoT関連デバイス／ソフトウェアの第三者認証をめぐる動きに注目していく必要がありそうだ。