トップ > サーティフィケーション > FAQ

FAQ ~よくあるご質問と回答~

お問い合わせについて

サーティフィケーションや申請方法に関するお問い合わせは、FAQの内容をご確認いただいた上で、以下よりお願い致します(Googleフォームへリンク致します)。
※電話やメールでの対応は行っておりませんのでご注意下さい。

ロゴ

FAQ ~よくあるご質問と回答集~



■CCDSサーティフィケーションプログラムについて
No. 内容
1 【ご質問】
申請可能なIoT機器はどのような製品が対象となるのでしょうか。例えば、ネットワークにつながる機器という事でPCのようなものも対象となるのでしょうか。
【回答】
CCDSサーティフィケーションプログラムでは、対象を「インターネットプロトコルを使用可能なハードウェアインタフェース及びソフトウェアインターフェースを実装した機器、及びシステム」と定義しており、広範なIoT機器やシステムを対象としております。ただし、PCやスマートフォン、タブレットなど、実装されるアプリケーションによって、セキュリティの対応状況が大きく変動する機器については、対象から除外しております。
2 【ご質問】
セキュリティ要件は、11要件を定義しているという事ですが、今後あらたなセキュリティ上の問題が報告された場合、更新などは行われていくのでしょうか。
【回答】
セキュリティ要件については、毎年、最新の脆弱性の報告状況や、国内外のセキュリティ基準をもとに見直しを行います。またセキュリティ要件については、有識者による「IoTセキュリティ要件諮問委員会」を定期開催し、ご審議いただく仕組みとしています。
3 【ご質問】
マークを取得した製品のソフトウェアのアップデートについては、どのように考えているのでしょうか。例えば、マークを取得した製品にソフトウェアのアップデートが発生した場合、CCDSのサーティフィケーションは継続されるのでしょうか。
【回答】
マークの取得にかかわる11要件に影響のあるアップデートが行われた場合には、再度、セキュリティ検査と申請が必要となります。上記に影響がないアップデートについては、継続してマークをご利用いただけます。
4 【ご質問】
CCDSの会員企業以外であっても、サーティフィケーションの申請は可能なのでしょうか。
【回答】
まずは、11月より、CCDSの正会員・幹事会員を対象に、試験的に申請の受付を開始いたします。また2020年の4月より、CCDS会員以外からも申請の受付を開始する計画で進めております。
5 【ご質問】
CCDSサーティフィケーションマークは、取得した企業が製品に掲載することができるのでしょうか。また、可能な場合は、どのような対象に掲載することができるのでしょうか。
【回答】
CCDSサーティフィケーションマークの発行された製品の本体へのプリントだけでなく、当該製品の梱包材やカタログなどの印刷物や配布物および展示物、電子媒体等に表示が可能です。
6 【ご質問】
IoT機器共通のセキュリティ要件ということですが、この11要件はどのようにして選定されたのでしょうか。
【回答】
今回の11要件の選定には下記の複数の観点から総合的に検討し、当会にサーティフィケーションWGを設置し、各製品分野WGの主査に集まって頂き各主査の視点で製品対応可能な範囲を持ち寄り、選定いたしました。
1)CVEカテゴリの「クリティカル件数」が多い上位20のCVE(脆弱性)
2)上位20には出てこなくなったが、製造業で指摘されている改めて押さえるべき古くて基本的な問題
3)フリーで有名な脆弱性評価ツールで確認できる基本的な脆弱性
4)その他、IoT機器の攻撃ベクターとなるエントリーポイントの制限
7 【ご質問】
セキュリティ要件に適合しているかを確認する検査は、申請者(メーカーなど)が行うのでしょうか。あるいは、特定の認証機関などが行うのでしょうか。
【回答】
メーカー様などの申請者が自主検査を行う形式と、第三者の検査事業者へ委託して行う形式のどちらでも対応が可能です。
8 【ご質問】
セキュリティ検査の合格基準や、実施手順は情報開示されるのでしょうか。
【回答】
セキュリティ検査の合格基準や実施手順については、以下の2通りの方法で入手可能です。
1)サーティフィケーションマークの申請をお申込みいただいた場合。
2)当会が実施する検査資格を取得するための講習に参加いただいた場合。
9 【ご質問】
システム環境に機器が追加された場合、再申請が必要となるとのことですが、既にCCDSマークを取得している機器が追加される場合にも、再申請が必要でしょうか。
【回答】
セ既にCCDSマークを取得している機器が追加される場合は、再申請の必要はありません。エントリ―ポイントとなり得るようなセキュリティ上の脆弱性について、11要件にもとづく対策が行われているためです。
10 【ご質問】
システムとしてCCDSサーティフィケーションを受ける場合に、全ての構成機器が、11要件の合格基準を満たす必要があるのでしょうか。
【回答】
事前の脅威分析の結果として、構成機器がエントリ―ポイントとなり得ない場合や、システム全体として要件を満たすセキュリティ対策が行なわれている場合には、構成機器の全てが全要件を満たす必要はありません。
■マーク付与機器について                
No. 内容
1 【ご質問】
今回、マークを取得した5製品については、どのように選定されたのでしょうか。
【回答】
CCDSサーティフィケーションプログラムの主旨に賛同いただいた会員企業で構成しているワーキンググループの中で、サーティフィケーションのトライアルにご協力いただける企業の募集を行い、決定いたしました。
2 【ご質問】
今後の展開について教えてください。
【回答】
来月11月よりCCDSの正会員、幹事会員企業からの募集を始めます。2020年の4月より、CCDS会員以外からも申請の受付を開始する計画で進めております。
3 【ご質問】
どんな製品が対象でしょうか?
【回答】
インターネットにつながる機器を対象としています。現在、IoT機器を利用したサービスについても認証スキームを検討しております。
4 【ご質問】
サーティフィケーションプログラムにてサーティフィケーを取得した製品は、どのように消費者が知ることができるのでしょうか?
【回答】
取得企業からのご申請にもとづきCCDSのホームページにて掲載を予定しております。掲載や公表を希望されない場合には、取得企業以外からのお問い合わせについても公表は致しません。
5 【ご質問】
サーティフィケーションの取得費用について教えてください。
【回答】
サーティフィケーションを取得するために、マーク申請手数料(初期費用)を頂きます。申請料としては、3万円を予定しております。また、年額でマーク登録管理料を頂くことを考えております。費用については、サーティフィケーションを取得した製品の年間売上総額に応じて算定することにしております。具体的な費用については個別に算定させて頂く予定です。
5 【ご質問】
検査は誰がするのでしょうか?
【回答】
CCDSの教育プログラムに従った検査資格者講座を受けて頂き検査資格者となった検査者にて実施して頂きます。
■IoTサイバー保険について
No. 内容
1 【ご質問】
サーティフィケーションを取得した際、IoTサイバー保険を付帯させるかどうかはサーティフィケーションを取得した企業が選択できるのでしょうか。
【回答】
IoTサイバー保険は自動付帯されるため、サーティフィケーションを取得した企業側で選択はできません。
2 【ご質問】
IoTサイバー保険の保険料は、誰が費用を支払うのでしょうか。申請者となるのでしょうか。
【回答】
申請者に保険料のご負担はございません。保険契約者はCCDSとなるため、保険料についても全てCCDSが負担致します。
3 【ご質問】
サーティフィケーションに付帯するIoTサイバー保険は、利用者(ユーザー)に対する補償を行うものなのでしょうか。それとも製品提供者(メーカーなど)に対する補償を行うものなのでしょうか。
【回答】
IoTサイバー保険は、サーティフィケーションを取得した企業(メーカーなど)に対する補償を行うものとなっております。
4 【ご質問】
IoTサイバー保険について、内容を教えて欲しい。
【回答】
CCDSのサーティフィケーションを取得した企業を被保険者とするサイバー保険が自動付帯されます。認証を受けたIoT機器の販売に関連して、万が一ユーザーの情報を漏えいさせた、あるいはユーザーの業務を阻害したなどの場合に発生する対応費用や被害者からの損害賠償について補償します。
これにより、IoT機器メーカーは安心してIoT機器の開発・販売が可能となり、安全・安心なIoT機器の普及に貢献します。
5 【ご質問】
この保険の最大の特長は何でしょうか。
【回答】
一般的なサイバー保険と違い、CCDSのサーティフィケーションを取得した企業には自動的にサイバー保険が付帯される点が最大の特長です。一般的に保険加入時には、リスク状況にかかわる詳細な告知や申し込み手続きが必要ですが、当該スキームではサーティフィケーションと組み合わせることにより、これらの手間を排除し、基礎補償を認証に付帯した形で提供します。
6 【ご質問】
事故が発生した際には、CCDSが対応するのか、それとも保険会社が対応するのでしょうか。
【回答】
一義的な事故受付はCCDSが行い、その後の査定や保険金の支払いは保険会社に行っていただきます。IoT機器にかかわる事故についてはCCDS、保険会社、調査会社がそれぞれの専門領域で対応する必要があり、緊密に連携しながら対応します。
7 【ご質問】
エンドユーザーが保険が付帯された認証機器を使用するにあたって、どんなメリットがあるのでしょうか。
【回答】
有事の際に、CCDS、マーク取得企業、保険会社が連携して迅速に事故対応を行います。また、ユーザーのご負担なく事故調査を行うことが可能となり、要件の範囲内においてマーク取得企業に過失が発生する場合は、マーク取得企業の賠償資力を担保します。
8 【ご質問】
エンドユーザーが保険請求できるのでしょうか。
【回答】
保険金請求(=被保険者)はエンドユーザーではなく、認証を取得した企業になります。

PDF PDFファイルをご覧いただくには、Adobe社のAdobe Readerが必要になります。
最新のAdobe Reader(無料)はAdobe社ウェブサイトからダウンロードできます。