モノのインターネット (IoT) 12-05-2022

2023 年春までに IoT セキュリティラベルの制定を目指す米国  

Mike Nelson
U.S. Efforts Underway for IoT Security Labels by Spring 2023

IoT セキュリティラベルによってデバイスのセキュリティ向上を見込める理由と、メーカー各社が今すぐ準備すべきこと

最近、デジタルトランスフォーメーションが加速し、それとともに IoT(モノのインターネット)の導入も進んでいます。専門家は、2030 年までに IoT デバイスの数がおよそ 300 億台に達すると推定しています。私たちが生活と信頼をデジタルに委ねる度合いが高くなっている今、デジタルインタラクションの安全性を保証する信頼性指標の必要性も高くなっています。

現在、消費者は一般的に所有デバイスのセキュリティについて認識しておらず、メーカーがデバイスセキュリティについて用意する情報も見つけやすいとは限りません。しかし調査によると、消費者はデバイスセキュリティの保証に対して料金を追加で支払ってもよいと考えており、デジタルセキュリティへの信頼を失った場合にはベンダーの乗り換えを検討するという回答も 84% にのぼります。IoT セキュリティラベルが業界を変革する可能性があるのは、そのためです。

IoT セキュリティラベリングとは何か

消費者にそうした情報を提供するために、米国では 2023 年春までにデバイスに IoT セキュリティラベルを付けるよう取り組みが進められています。2021 年の「国家のサイバーセキュリティの向上に関する大統領令」を受けた動きです。Amazon、Comcast、Google、Intel、LG、Samsung、Sony といった大手ブランドを含む民間企業や公的組織の多くが、IoT ラベリング計画に取り組むべく 10 月に会合を開きました。ホワイトハウスは、これを「消費者が十分な情報に基づいてサイバーセキュリティを選択できるようにする分かりやすいラベル」と呼んでおり、サイバーセキュリティの世界における EnergyStar のようなものと説明しています。計画では、このようなラベリングを、早ければ 2023 年春に自主的な制度として開始しようとしていますが、最終的には義務化されることも予想されます。

「ラベリングプログラムでこのようなデバイスを保護できれば、家庭に持ち込まれる技術が安全であるという安心感を国内の消費者に与えることになります。メーカーにとっては、これまでより高いサイバーセキュリティ基準を満たすという動機に、また小売業者にとっては安全なデバイスを販売するという動機になります」と、ホワイトハウスの広報担当者は説明しています。

IoT セキュリティラベリングを実施するのは米国が最初ではなく、最後でもない

シンガポール、ドイツ、フィンランドでは、すでに同様のラベリングプログラムが実施されています。また、EU も最近になって IoT に関する法制化に動いています。多くのメーカーが世界各国でデバイスを販売している以上、国際的な協力が必要になるので、今後は断片化を防ぐための世界標準、少なくとも各国共通の最小要件が定められる可能性がありそうです。

IoT セキュリティラベルはどのようなものになるか

プログラムがどんなものになるかはまだ定かではありませんが、他国の事例と、NISTGoogleその他の研究の提言から手がかりはつかめます。どのようなラベルになるとしても、デジタル製品は短期間で危殆化するおそれがあるため、適応性は必要です。したがって、長期的な対策と考えるなら静的なラベルは最適ではないでしょう。

シンガポールはスター式でラベル制度に臨んでおり、4 つのレベルを割り当てて、セキュリティ上のさまざまなベストプラクティスの導入を進めています(下の図)。ドイツはシンガポールと認証について相互協定を結んだうえで、同じラベルを採用しました。フィンランドも、すでにシンガポールの制度の一部を採用しています。


シンガポールの IoT セキュリティラベリング制度

ただし、リアルタイムでの情報の更新が必要なため、消費者が詳しい情報を得られるように QR コードが記載される可能性は高そうです。また、消費者の混乱を避けるために、専門用語は避けられるでしょう。いずれにしても、消費者が無自覚であたり、製品名や脆弱性を知らないまま個別に検索するよりも効果は期待できます。

NIST が提供しているのが、ラベルに記載する情報を規定した、IoT セキュリティについてのガイドラインと推奨事項です。その中で、ラベルにはデバイスの情報だけでなく、サポートソフトウェアを表示することを推奨しており、スマートフォンやコントローラデバイス上のアプリなどがそれに該当します。さらに NIST は、二者択一でのラベリング、つまりデバイスが要件を満たすか満たさないかを示す方式を提唱します。そして、ソフトウェア面については、業界の基本的なセキュリティ基準としてNIST SSDF(Secure Software Development Framework)を用意しています。

また、IoT セキュリティラベルの要件がどうなるかを考えると、IoT 業界の既存のベストプラクティスや、Matter のような標準も参考になります。Matter は、スマートホーム向けに設計された新しい IoT 相互運用プロトコルであり、ネットワーク越しの通信に対して AES 暗号化、コードサイニング、安全なアップデートを求めています。同様のベストプラクティスが IoT セキュリティラベルの要件にも適用されることが予想され、特に CSA が IoT セキュリティラベルに関するホワイトハウスサミットに関わったことを考えると、その可能性は高そうです。

IoT セキュリティラベルは、前もって消費者に詳細な知識を提供することに向けた、業界の大きな一歩です。栄養表示が食品に関する健康情報を消費者に提供するのと同じように、IoT ラベルも消費者が詳しい情報に基づいて購入を決定できるように、デバイスのセキュリティの健康状態を示すことになります。そして、正しい形で IoT セキュリティラベリングが進むことは大きな前進だとデジサートは考えています。デジタルトラストをさらに推進するステップであり、したがって、コネクテッドな世界でのやり取りで信頼を深めるステップだからです。

IoT デバイスメーカー各社は、IoT セキュリティラベルの要件に今すぐ対応が必要

当面の間、メーカー各社は NIST SSDF に準拠するよう努める必要があります。今すぐ Matter を採用する道もあります。デバイスの相互運用性とセキュリティを向上させることができ、おそらく IoT セキュリティラベリング制度で求められる同様のベストプラクティスにも備えることができるからです。

加えて、IoT デバイスの大規模な管理を検討している企業には、DigiCert IoT Trust Manager を検討することもお勧めします。IoT Trust Manager は、製造中およびエッジにおいて IoT デバイスを証明書ベースのセキュリティで管理するための包括的な自動化ワークフローを提供します。

DigiCert IoT Trust Manager は、コネクテッドデバイスのネットワークに必要な拡張性、柔軟性、制御性、効率性を提供します。管理者は、証明書ライフサイクル全体を監視し、安全な更新を可能にし、証明書内のデバイスに関するメタデータをカスタマイズし、コンプライアンスを維持できます。DigiCert IoT Trust Manager は、自社管理の PKI を構築して維持する代わりに PKI の実装を自動化し、大規模なデバイスネットワークを簡単に管理できるようにします。管理者は権限やアクセスコントロールをカスタマイズし、ユーザーグループごとに細分化して管理できます。IoT Trust Manager は DigiCert ONE™ の一部であるため、厳しい要件、カスタムの統合、エアギャップのニーズに合わせて、オンプレミス、国内、またはクラウドで柔軟に展開できます。詳細は、https://www.digicert.com/jp/iot-trust-manager をご覧ください。

UP NEXT
セキュリティ 101

コンピュータセキュリティデー ― サイバーセキュリティへの取り組み

5 Min