参考となるのはカリフォルニア州法
カリフォルニア州ではいわゆる「IoT機器セキュリティ法」(”SB 327 Information privacy: connected devices”)※4 が2018年9月に成立し、2020年1月1日から施行されている。同法では「CA州で販売されるコネクテッド・デバイス※5 又はCA州で販売するために提供されるコネクテッド・デバイスを製造し、又は、他者と契約して委託製造する者」は、下記のすべての要件を満たす「合理的なセキュリティ機能(feature)」を組み込む必要があるとして、IoT機器に一定のセキュリティ機能を装備することを法的義務としている。
①デバイスの性質及び機能に照らして適切であること
②デバイスが収集、保存、送受信する可能性のある情報に照らして適切であること
③デバイス及びデバイスに含まれる情報を、不正なアクセス、破壊、使用、改ざん、開示から保護する設計となっていること
そして、コネクテッド・デバイスがローカルエリアネットワーク(LAN)外との認証機能を有する場合には、下記のいずれかを満たす場合に「合理的なセキュリティ機能(feature)」があるとされる。
a. 各デバイスについて初期パスワードが固有であること(共通の初期パスワード使用の禁止)
b. ユーザーが最初にデバイスにアクセスする際に、新しい認証手段を生成するよう要求するセキュリティ機能を含むこと
同法は2022年に改正されており(施行日2023年1月1日)、下記のすべてを満たす場合には「合理的なセキュリティ機能」がある、とされている。
①NISTによるラベリング白書”Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products”※7(注:表1参照)に適合するラベリングプログラムにおけるベースライン基準(注:NISTIR 8425のこと)を充足すること
②NIST適合ラベリングプログラムに記述される適合性評価(第三者によるテスト、検証、認定を含む)を満たすこと
③デバイスにNIST適合ラベリングプログラムに指定されたマークを付けること
すなわち、今後始動するラベリング制度のもとでマーク(「U.S. Cyber Trust Mark」)を貼付することができれば、同法の求めるセキュリティ機能は満たすこととなる。
以上のように、未だ内容は流動的ではあるものの、2024年下旬ころには米国においてIoTセキュリティラベリング制度が始動する予定である。制度自体は任意参加であるものの、IoT製造事業者としては、競争力確保のために、同プログラムの動向について引き続き注視していくことが重要であろう。
参照リンク
※1 Foundational Cybersecurity Activities for IoT Device Manufacturers
※2 Biden-Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers | The White House
※3 Profile of the IoT Core Baseline for Consumer IoT Products
※4 Senate Bill 327
※5 「コネクテッド・デバイス(Connected device)」は、直接又は間接にインターネット接続が可能なあらゆる機器又は物理的物体であって、IPアドレス又はBluetoothアドレスが割り当てられているもの、と定義される。
※6 Assembly Bill 2392
※7 Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products
