欧州サイバーレジリエンス法案は IoT セキュリティに対してどのような意味を持つのか

欧州サイバーレジリエンス法案は、メーカーにサイバーセキュリティのルールを課す EU 初の規制です。ハードウェアとソフトウェアの両方を対象とし、コネクテッドデバイスのセキュリティに対する責任がメーカーと開発者の双方に適用されます。欧州委員会によれば、この規制は「このような製品の多くはサイバーセキュリティのレベルが低く、さらに重要なことに、多くのメーカーは脆弱性に対処するためのアップデートを提供していない」という 2 つの問題に対処します。

欧州サイバーレジリエンス法案にはどのような要件があるのか

今後の要件の規定およびリリースの過程で、その細部が焦点となるでしょう。他の規制で見られるように、「機密データを暗号化する」、「デバイスのアップデート機能を設ける」、「ソフトウェアやファームウェアの完全性を確保する」など、子細を規定しないアプローチが用いられることが予想されます。しかし、罰則を正当化するためには、何らかの測定可能なアプローチが必要になります。可能性が高いのは、欧州委員会が指摘した問題点の 1 つである定期的な更新に関する要件です。大量のデバイスに対するアップデートの自動送信を実現するには、メーカーによる実行可能性の維持とタスクの自動化を支援するソリューションがなければ困難です。また、欧州委員会は、消費者が十分な情報に基づいて購入の意思決定を行い、機器を安全にセットアップできるようにするため、より多くの情報を提供する必要があると述べています。

欧州サイバーレジリエンス法案は IoT メーカーにどのような影響を与えるか

IoT 機器メーカーは、今回草案が発表された欧州サイバーレジリエンス法に従わない場合、多額の罰金や制裁措置が課せられる可能性があります。これは、コンプライアンス違反に対して金銭的な罰則を要求する最初の法律の一つです。EU は、この法案で、デバイスの経済的負担がメーカーと開発者に課せられることを明確にしています。

また、「必須」のサイバーセキュリティ要件を満たさない製品は、市場に投入できなくなります。したがって、メーカーは、今後数年間に市場投入予定の機器が求められるセキュリティ基準を満たすことができるよう、今から製品の設計にセキュリティを組み込む必要があります。EU 加盟各国の市場監視当局は、違反した企業に対して法律で定められた上限まで罰金を科し、違反した機器の市場投入を禁止する責任を担います。とはいえ、EU 全域でサイバーセキュリティの基準が一元化されることで、効率が向上し、メーカーがコンプライアンスを維持する方法も明確になります。

欧州サイバーレジリエンス法案は消費者にどのような影響を与えるか

欧州サイバーレジリエンス法は、購入前にデバイスのセキュリティに関する情報を提供するようメーカーに義務付けるため、消費者の購買意欲を高め、デバイスへの信頼感を向上させる効果が見込まれます。このルールにより、安全な製品を選ぶ方法や、安全にデバイスを設定する方法など、消費者の側により多くの知識が求められることになります。食品の栄養表示を見て使用されている原材料を知るのと同じように、デバイスのセキュリティ情報を明示することで、より多くの情報に基づいて購入決定を下せるようになります。

デバイスのサイバーセキュリティについてメーカー側に高い透明性が求められることで、消費者の市販のコネクテッドデバイスに対する信頼が高まります。消費者の製品の安全性に対する信頼が高まれば、「デジタル要素を含む製品」の需要が増加する可能性もあると欧州委員会は期待しています。

IoT は設計にセキュリティを組み込むべきである

本来、セキュリティを推進するために規制当局が重い罰金や罰則を課す必要はないはずです。しかし、残念なことに、デバイスの開発でセキュリティが後回しにされることは珍しくありません。本当は、企業が自社の資産、顧客、評判、従業員を守ることの重要性を認識し、そうすることが正しいからという理由で、自ら適切な方法でセキュリティを確保するのが理想です。しかし、そのような世界が現実のものになるまでは、規制当局による罰則を受け入れなければならないでしょう。さらに、各国の監視当局が規制に準拠していない製品の販売を差し止めたり制限したりできるようになることも、セキュリティの向上を後押しする力となるはずです。

欧州サイバーレジリエンス法はいつ施行されるのか

現在、欧州サイバーレジリエンス法案は、欧州議会と欧州理事会の審査と採択に委ねられています。制定後、加盟国は最長 2 年の間に要件を採用する必要があります。したがって、メーカーは今後数年間いつでも、この法律に準拠できるよう準備しておく必要があります。

とはいえ、コネクテッドデバイスに対する規制強化の流れは今後も続くと考えられます。欧州サイバーレジリエンス法はその第一歩に過ぎません。この規制を指針として、他の規制当局も同様の基準を策定することが予想されます。今後、IoT とその設計に関する規制は緩和されていくのではなく、より強化されていくでしょう。したがって、今からサイバーセキュリティを設計によって実装し、将来の IoT 規制に備えることが重要です。

IoT 規制の強化に加え、デバイスのセキュリティ問題の解決に向けて業界が団結する動きが見られます。たとえば、スマートホーム機器の相互運用性、セキュリティ、信頼性を向上するために始動しつつある Matter プロトコルは、IoT デバイスのセキュリティを向上するための業界主導のロードマップとしての役割を果たす可能性があります。EU 規制のすべての詳細はまだ明らかになっていませんが、デバイス認証証明書や製品認証の中間業者を利用して Matter セキュリティに準拠するメーカーであれば、EU 法の要求事項を満たすことができる可能性は高いと思われます。さらに、Matter に準拠したデバイスには Matter の承認マークが付くため、消費者にセキュリティの高さをアピールする機会にもなります。

デジサートとともにサイバーレジリエンスを実現しよう

デジサートでは、欧州サイバーレジリエンス法によってコネクテッド社会におけるデジタルトラストを向上できると考えています。当社は長年にわたり、セキュリティバイデザイン（設計によるセキュリティ）の必要性を唱えており、メーカーがそれを実現するために必要なノウハウとソリューションを持っています。たとえば、DigiCert for Connected Devices は、IoT Device Manager の受賞歴のあるソリューションと Mocana を使用すれば、セキュアなアップデートの送信を含め、デバイスのライフサイクル全体を管理できるようになります。法案の制定に先駆けて IoT セキュリティを強化し、デジタルトラストを向上する方法については、https://www.digicert.com/jp/iot/trust-for-connected-devices をご覧ください。

DigiCert® IoT Device Manager について

IoT Device Manager は、製造中およびエッジにおいて IoT デバイスを証明書ベースのセキュリティで管理するための包括的な自動化ワークフローを提供します。コネクテッドデバイスのネットワークに必要な拡張性、柔軟性、制御性、効率性を提供します。管理者は、証明書ライフサイクル全体を監視し、安全な更新を可能にし、証明書内のデバイスに関するメタデータをカスタマイズし、コンプライアンスを維持できます。IoT Device Manager は、自社管理の PKI を構築して維持する代わりに PKI の実装を自動化し、大規模なデバイスネットワークを簡単に管理できるようにします。管理者は権限やアクセスコントロールをカスタマイズし、ユーザーグループごとに細分化して管理できます。IoT Device Manager は DigiCert ONE™ の一部であるため、厳しい要件、カスタムの統合、エアギャップのニーズに合わせて、オンプレミス、国内、またはクラウドで柔軟に展開できます。