構想されている米国のラベリングのプログラムは、開発事業者のサイバーセキュリティへの意識向上が焦点
2023年7月、連邦通信委員会(FCC)は、ラベリング制度において採用する予定のマーク(「U.S. Cyber Trust Mark」)を発表した。2023年8月には、構想しているラベリング制度の概要及びパブコメを募集する質問事項を記載した規則案を公表している(Notice of Proposed Rulemaking; NPRM)。その概要とは次のようなものである。規則は今後パブコメ期間を経た上で確定させていくことになるため、制度内容についての情報は流動的であることを前提に読み進めていただきたい。
目的は、開発事業者にサイバーセキュリティを意識させ、消費者の信頼を得ること
ラベリング制度の目的は、IoT製品についてサイバーセキュリティに関する情報を提供し、消費者がIoT製品を購入する際の判断に役に立つようにすることである。同時に、IoT製品の透明性を強化することによって、製品開発事業者に当該製品のサイバーセキュリティを意識させ、IoT製品に対する消費者の信頼を醸成する。
対象製品は「IoTデバイス」
FCCは、ラベリング制度の対象製品として、NISTIR 8259 “Foundational Cybersecurity Activities for IoT Device Manufacturers”(「IoTデバイス製造業者向けの基本的サイバーセキュリティ活動」)※1で使用される「IoTデバイス」という概念を採用している。ラベリング制度に関連して策定されたNISTIR 8425 “Profile of the IoT Core Baseline for Consumer IoT Products”(「消費者向けIoT製品のためのIoTコアベースライン概略」)で使用される「消費者向けIoT製品」という概念ではない。
FCCの提案するラベリング制度における「IoTデバイス」とは、(1) 物理世界に直接作用するために少なくとも一つの変換器(センサー又はアクチュエータ)を有し、かつ、(2) デジタル世界とのインターフェイスのために少なくとも一つのネットワーク・インターフェイス(例:Ethernet、Wi-Fi、Bluetooth)を有し、故意に無線周波数(RF)を放射することのできるインターネット接続(Internet-connected)デバイスである。
したがって、この定義にあてはまる製品はラベリング制度の対象となりうる。現時点では、具体的なものとして、スマート冷蔵庫、スマートレンジ、スマートTV、スマートエアコン、スマート・フィットネストラッカーなどが挙がっている※2。
IoT製品に求められる技術的能力と開発事業者に求められる活動
適用ガイドラインは、NISTIR 8425※3 をベースに適合性審査において使用することのできる基準をFCCがこれから策定する、とされている。NISTIR 8425では、IoT製品のサイバーセキュリティ能力(capabilities)とIoT製品開発事業者の活動に分けて、求められる能力等が記載されているところ、主な内容は下表の通りである。
なお、消費者向けルーターについては、NISTが2023年末までにサイバーセキュリティ要求事項に関するガイドラインを作成する予定である。
さらにラベリング制度の詳細については、下記のようにまとめることができる。
〈適用事業者〉
適用事業者は、製造業者と輸入業者となる。
〈審査の方法〉
FCCが第三者審査機関を指定し、その機関が実際に適合性審査、認定を行う方法が有力である。
〈協力企業〉
本プログラムへの協力企業としては、Amazon、Best Buy、Google、LG Electronics U.S.A、Logitech、Samsung Electronicsが挙がっている。
〈登録〉
マークの貼付を認められた製品はFCCの運営する登録(registry)ウェブページに掲載され、マークに付されたQRコードを通じて、当該製品のセキュリティ情報を閲覧できるようにすることが予定されている。
