US Cyber Trust Mark と呼ばれる新しいサイバーセキュリティ認証およびラベル付けプログラムは、米国の消費者がより安全でハッカー攻撃に対する耐性が高い接続デバイスを選択できるように策定されています。
このプログラムは連邦通信委員会からの提案で、スマートデバイスベンダーが自発的に参加する形で来年展開される予定だ。
すでに米国の大手ベンダーやメーカーが参加を表明している。その中には、Amazon、Google、Best Buy、LG Electronics USA、Logicool、Samsung Electronicsなどが含まれます。
IoT向けのNISTレベルのセキュリティ
米国サイバー トラスト マーク プログラムは、米国国立標準技術研究所 (NIST) のサイバーセキュリティ基準を満たすスマート製品を認定することを目的としています。基準には、独自の強力なデフォルト パスワードの使用、データ保護、ソフトウェア アップデート、インシデント検出機能が含まれます。
参加メーカーは自社製品に、NIST が承認した一連のセキュリティ機能を示す「独特のシールド ロゴ」のラベルを付けることになります。
バイデン・ハリス政権の発表によれば、このラベルは、冷蔵庫、電子レンジ、テレビ、空調システムからフィットネストラッカーに至るまで、消費者向けの一般的なスマートデバイスを対象としているという。
「FCCは無線通信機器を規制する当局の下で活動しており、提案されている自主的なサイバーセキュリティラベル表示プログラムの展開についてパブリックコメントを求める予定であり、2024年に開始される予定である」 – ホワイトハウス
このプログラムが開始されるまで、バイデン・ハリス政権とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、購入を決めた製品についているサイバートラストマークを探すよう消費者を教育するFCCの取り組みを支援する予定だ。
透明性を高め、競争を刺激するために、認証されたデバイスは国家登録簿に登録され、消費者は QR コードを介して参照して、複数の製品に存在するセキュリティ情報を比較できるようになります。
「他の規制当局や米国司法省と協力して、委員会はプログラムに対する信頼と自信を維持するための監視と執行の安全措置を確立することを計画しています。」
もう 1 つの重要なステップは、NIST が消費者向けルーターに対する一連のセキュリティ要件を年末までに定義することです。ルーターはローカル ネットワーク上の他のデバイスへの入り口となり、攻撃者に利用される可能性があるため、サイバー犯罪者の典型的な標的となります。
このプログラムには、将来のクリーンなスマート グリッドの基礎となるスマート メーターとパワー インバーターも含めることを目指しています。ただし、これらのデバイスに適切なサイバーセキュリティラベルを作成するには研究が必要です。
IoT デバイスのベースライン セキュリティを定義する取り組みは 5 年以上前から存在しており、サイバーセキュリティの専門家からの最初の推奨事項の 1 つとして、標準のファームウェア更新メカニズムに関する提案があり、インターネット技術特別調査委員会 (IETF) によって公開されています。
同様の取り組みは 2017 年に米国商務省から国家電気通信情報局 (NTIA) を通じて行われ、IoT メーカーが製品のアップデート オプションについて顧客に説明するためのガイダンスを開発することを目的としていました。
同年、欧州連合ネットワーク情報セキュリティ庁 (ENISA) は、 「IoT のベースライン セキュリティ推奨事項」というレポートを発行しました。明確な概要はここから入手できます。
2020年にカリフォルニア州IoT法が発効し、デバイスメーカーに対し「合理的なセキュリティ機能」を製品に組み込むことが義務付けられたが、明確な基準は定められていなかった。
Comments