セキュリティ要件を満たしたIoT製品を見分けるためのマーク
冷蔵庫、電子レンジ、TV等のスマート家電、フィットネストラッカーなどのウェアラブルデバイス、そしてIoT住宅……。これらのIoT(Internet of Things)製品を既に使用されている方も多いだろう。便利な反面、これらのIoT製品はハッキングされると事故や情報の不正取得などの被害が生じうる。そのため、消費者にとってIoT製品を購入・使用する際にはサイバーセキュリティ機能も重要な要素であるはずだが、取扱説明書などを熟読してセキュリティ機能を理解するのは非現実的だ。
しかしこの問題は、IoT製品のサイバーセキュリティ・ラベリング制度でクリアされている。この制度はすでにシンガポールやドイツなどで実施されており、2024年下旬には米国でも始動する予定だという。
サイバーセキュリティ・ラベリング制度は、国(又は国が指定した審査機関)により一定のセキュリティ要件を満たしていると審査判断されたIoT製品には、国が承認したマークを付することができるというものである。つまり消費者側には、IoT製品にそのマークが付いていれば一定のセキュリティを満たしていることが分かる。JISマークを思い浮かべれば分かりやすいであろう。米国は2023年7月、このラベリング制度で使用するマークとして「U.S. Cyber Trust Mark」を発表した(マークの絵柄についてはこちらをご参照いただきたい)。
制度内容はまだ流動的ではあるものの、ここではその概要についてお伝えしたい。
一般消費者用のIoT製品には、セキュリティ機能を義務付ける法律がなかった
米国ではこれまでに、IoTのサイバーセキュリティに関する法律、大統領令、米国国立標準技術研究所(NIST)によるガイドライン等を発表してきた。しかしいずれも消費者向けIoT製品については推奨にとどまり、一定のセキュリティ機能を搭載するよう法的拘束力をもって義務づける内容ではない。現時点で米国連邦レベルにおいて義務づけられているのは、連邦政府が所有・管理�するIoTデバイスについてNISTの定めるサイバーセキュリティ要求事項を満たすことのみであり、消費者向けIoT製品のサイバーセキュリティ全般についてはソフトローのアプローチを採っていると言える(もっとも、個別法令において各論的に(データ保護など)法的拘束力を伴う規制があるので注意を要する。)
構想されている米国のラベリングのプログラムは、開発事業者のサイバーセキュリティへの意識向上が焦点
2023年7月、連邦通信委員会(FCC)は、ラベリング制度において採用する予定のマーク(「U.S. Cyber Trust Mark」)を発表した。2023年8月には、構想しているラベリング制度の概要及びパブコメを募集する質問事項を記載した規則案を公表している(Notice of Proposed Rulemaking; NPRM)。その概要とは次のようなものである。規則は今後パブコメ期間を経た上で確定させていくことになるため、制度内容についての情報は流動的であることを前提に読み進めていただきたい。
目的は、開発事業者にサイバーセキュリティを意識させ、消費者の信頼を得ること
ラベリング制度の目的は、IoT製品についてサイバーセキュリティに関する情報を提供し、消費者がIoT製品を購入する際の判断に役に立つようにすることである。同時に、IoT製品の透明性を強化することによって、製品開発事業者に当該製品のサイバーセキュリティを意識させ、IoT製品に対する消費者の信頼を醸成する。
対象製品は「IoTデバイス」
FCCは、ラベリング制度の対象製品として、NISTIR 8259 “Foundational Cybersecurity Activities for IoT Device Manufacturers”(「IoTデバイス製造業者��向けの基本的サイバーセキュリティ活動」)※1で使用される「IoTデバイス」という概念を採用している。ラベリング制度に関連して策定されたNISTIR 8425 “Profile of the IoT Core Baseline for Consumer IoT Products”(「消費者向けIoT製品のためのIoTコアベースライン概略」)で使用される「消費者向けIoT製品」という概念ではない。
FCCの提案するラベリング制度における「IoTデバイス」とは、(1) 物理世界に直接作用するために少なくとも一つの変換器(センサー又はアクチュエータ)を有し、かつ、(2) デジタル世界とのインターフェイスのために少なくとも一つのネットワーク・インターフェイス(例:Ethernet、Wi-Fi、Bluetooth)を有し、故意に無線周波数(RF)を放射することのできるインターネット接続(Internet-connected)デバイスである。
したがって、この定義にあてはまる製品はラベリング制度の対象となりうる。現時点では、具体的なものとして、スマート冷蔵庫、スマートレンジ、スマートTV、スマートエアコン、スマート・フィットネストラッカーなどが挙がっている※2。
IoT製品に求められる技術的能力と開発事業者に求められる活動
適用ガイドラインは、NISTIR 8425※3 をベースに適合性審査において使用することのできる基準をFCCがこれから策定する、とされている。NISTIR 8425では、IoT製品のサイバーセキュリティ能力(capabilities)とIoT製品開発事業者の活動に分けて、求められる能力等が記載されているところ、主な内容は下表の通りである。
なお、消費者向けルーターについては、NISTが2023年末までにサイバーセキュリティ要求事項に関するガイドラインを作成する予定である。
さらにラベリング制度の詳細については、下記のようにまとめることができる。
〈適用事業者〉
適用事業者は、製造業者と輸入業者となる。
〈審査の方法〉
FCCが第三者審査機関を指定し、その機関が実際に適合性審査、認定を行う方法が有力である。
〈協力企業〉
本プログラムへの協力企業としては、Amazon、Best Buy、Google、LG Electronics U.S.A、Logitech、Samsung Electronicsが挙がっている。
〈登録〉
マークの貼付を認められた製品はFCCの運営する登録(registry)ウェブページに掲載され、マークに付されたQRコードを通じて、当該製品のセキュリティ情報を閲覧できるようにすることが予定されている。
参考となるのはカリフォルニア州法
カリフォルニア州ではいわゆる「IoT機器セキュリティ法」(”SB 327 Information privacy: connected devices”)※4 が2018年9月に成立し、2020年1�月1日から施行されている。同法では「CA州で販売されるコネクテッド・デバイス※5 又はCA州で販売するために提供されるコネクテッド・デバイスを製造し、又は、他者と契約して委託製造する者」は、下記のすべての要件を満たす「合理的なセキュリティ機能(feature)」を組み込む必要があるとして、IoT機器に一定のセキュリティ機能を装備することを法的義務としている。
①デバイスの性質及び機能に照らして適切であること
②デバイスが収集、保存、送受信する可能性のある情報に照らして適切であること
③デバイス及びデバイスに含まれる情報を、不正なアクセス、破壊、使用、改ざん、開示から保護する設計となっていること
そして、コネクテッド・デバイスがローカルエリアネットワーク(LAN)外との認証機能を有する場合には、下記のいずれかを満たす場合に「合理的なセキュリティ機能(feature)」があるとされる。
a. 各デバイスについて初期パスワードが固有であること(共通の初期パスワード使用の禁止)
b. ユーザーが最初にデバイスにアクセスする際に、新しい認証手段を生成するよう要求するセキュリティ機能を含むこと
同法は2022年に改正されており(施行日2023年1月1日)、下記のすべてを満たす場合には「合理的なセキュリティ機能」がある、とされている。
①NISTによるラベリング白書”Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products”※7(注:表1参照)に適合するラベリングプログラムにおけるベースライン基準(注:NISTIR 8425のこと)を充足すること
②NIST適合ラベリングプログラムに記述される適合性評価��(第三者によるテスト、検証、認定を含む)を満たすこと
③デバイスにNIST適合ラベリングプログラムに指定されたマークを付けること
すなわち、今後始動するラベリング制度のもとでマーク(「U.S. Cyber Trust Mark」)を貼付することができれば、同法の求めるセキュリティ機能は満たすこととなる。
以上のように、未だ内容は流動的ではあるものの、2024年下旬ころには米国においてIoTセキュリティラベリング制度が始動する予定である。制度自体は任意参加であるものの、IoT製造事業者としては、競争力確保のために、同プログラムの動向について引き続き注視していくことが重要であろう。
参照リンク
※1 Foundational Cybersecurity Activities for IoT Device Manufacturers
※2 Biden-Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers | The White House
※3 Profile of the IoT Core Baseline for Consumer IoT Products
※4 Senate Bill 327
※5 「コネクテッド・デバイス(Connected device)」は、直接又は間接にインターネット接続が可能なあらゆる機器又は物理的物体であって、IPアドレス又はBluetoothアドレスが割り当てられているもの、と定義される。
※6 Assembly Bill 2392
※7 Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products
