2030 年までには、IoT デバイスの数が 300 億台に達するという推定があります。では、そのうちで私たちのデータを危険にさらしているデバイスはどれくらいあるでしょうか。現在ほとんどの消費者は、スマートデバイスを購入するときにサイバーセキュリティを詳しく理解していません。新たに発表された「USサイバートラストマーク」は、栄養表示ラベルのようにサイバーセキュリティ情報を消費者に届けることで、消費者の裁量を広げることを目的としています。調査によると、消費者はデバイスのセキュリティが保証されればさらに多くを支払うといい、企業のデジタルセキュリティに対する信頼を失った場合には業者の乗り換えを検討するという回答も 84% に達しました。それだけに、IoT セキュリティラベルは、ユーザーにデジタルトラストを保証する画期的な制度となる可能性を秘めています。

新しいサイバートラストマークは、7 月 18 日にホワイトハウスが発表した「スマートデバイスに関するサイバーセキュリティラベリングプログラム」に関する覚書で発表されました。

このプログラムの目的は以下のとおりです。

• 消費者の選択肢を増やす：サイバートラストマークは、インターネット対応機器のセキュリティに関する明確な情報を提供する制度で、消費者は十分な情報を得たうえで購入を決定できるようになります。
• サイバーセキュリティ標準の引き上げを奨励する：市場で信頼できる製品を差別化することで、メーカーが高いサイバーセキュリティ標準を満たすよう奨励し、全体的なセキュリティ状況を強化します。

このプログラムは、2021 年の「国家のサイバーセキュリティの向上に関する大統領令」を受けて導入されたもので、消費者がより多くの情報を得たうえで購入に関する意思決定を下せるように、デバイスにサイバートラストマークを添付することになります。デバイスには、認証されたデバイスの登録情報にリンクする QR コードも表示され、消費者は追加でセキュリティ情報を得られます。他の多くの国でも IoT ラベルが制度化されているのに続いた動向です。

このプログラムでは、強力なデフォルトパスワード、データ保護、ソフトウェア更新、インシデント検出機能など、特定のサイバーセキュリティ基準を満たした製品に「U.S. Cyber Trust Mark」というロゴが表示されます（提案されているロゴは、https://www.fcc.gov/cybersecurity-certification-mark を参照）。このマークの開発には Amazon、Google、Samsung、エール大学など、官民両方の機関が参加しています。プログラムの発効は 2024 年を予定しており、現在は連邦通信委員会（FCC）がコメントを募集しています。

サイバートラストマークに対するデジサートのサポート

デジサートは、サイバートラストマーク構想を全面的に支持しています。デジサートは、Cloud Security Alliance、Matter、NIST など各種プログラムで IoT のサイバーセキュリティ強化に関わってきました。このように、当社はデバイスのセキュリティを向上させるために、世界有数のコンソーシアムと協力しているのです。そのため、デジサートは今回の発表を、コネクテッドデバイスに対するデジタルトラストを強化するうえで重要な一歩と捉えています。デジサートの専門家は、この新しい構想について以下のように述べています。

「USサイバートラストマーク」は、購入しようとしている機器がテストのうえ一定のサイバーセキュリティ標準を満たしているという保証を消費者に伝えて信頼性を確保するという必要性を反映した制度です。サイバーセキュリティとプライバシーは、デジタルトラストのベストプラクティスを採用する際に決定的に重要です。デジタルトラストを利用した強力なサイバートラストマークの重要な構成要素となるのが、認証、暗号化、暗号による完全性チェックという基本的な対策です」 ―デジサート最高技術責任者、Jason Sabin

「USサイバートラストマークは、私たちの個人的および職業上の生活において、あらゆる場面にデジタルトラストを拡大することを目指してきたデジサートの継続的な取り組みを象徴するものといえます。消費者の ID、データ、プライバシーをメーカーが保護する必要性は、コネクテッドデバイスの役割が拡大するうえできわめて重要です。この制度によるラベリングは、消費者が選択する新しい製品に適切なセキュリティ対策機能が組み込まれていることを保証するよう意図されています」 ―デジサート、IoT 事業開発担当シニアディレクター、Tom Klein

「厳格な認証やコンプライアンスプログラムに裏打ちされたトラストマークは、自分の ID、データ、プライバシーが適切に保護されていることを消費者が知るうえできわめて重要です」 ―デジサート、プロダクトマーケティング担当 VP、Diana Jovin

「これは、デジタルトラストに欠かせない「認証プロセス」の一部に消費者を組み込むための素晴らしい第一歩ですが、そのセキュリティ情報は暗号を処理できなければ理解できないような形で提供される必要があります。たとえば、ブラウザでウェブサイトの横に表示される南京錠があれば暗号化されていると判断できるはずですが、それにもかかわらずフィッシングウェブサイトやマルウェアを含むウェブサイトに誘導されるユーザーがいます。また、ユーザーが南京錠をクリックしたときに（たいていのユーザーはわざわざクリックしませんが）表示される情報は非常に専門的なので、IT 担当者ですら十分には理解できないことがあります。消費者に真の裁量を与えるには、エンジニア的な言葉を減らし、参考情報やガイドになる親しみやすい言葉づかいが必要です。それがプロセスです。VeriSign、Symantec、現在の「Norton powered by DigiCert」、「DigiCert Smart Seal」など、インターネットでも特に認知度の高いトラストマークを運営してきた数十年の経験を動員して、デジサートはトラストマークが単に存在するだけでなく理解されるように、常にテストと学習を実施しています」 ―デジサート、ブランド・クリエイティブ・デジタル担当VP、Ryan Brown

「USサイバートラストマーク構想は、IoT デバイスに対するデジタルトラストの強化に向けた重要な一歩です。消費者は、プライバシーと安全性を優先しながら、十分な情報に基づいてセキュリティ標準に関する判断を下すことができます。採用が広がり、業界が協力すれば、さらに高いサイバーセキュリティ標準が促され、デジタル環境の発展にもつながるでしょう。この構想を通じて、ユーザーは安心して IoT デバイスを受け入れることでき、全体的なデジタルの信頼も向上します」―デジサート、シニアプロダクトマーケティングマネージャー、Alex Deo

「先日、USサイバートラストマークが紹介されたのは、発展しつつある IoT デバイスコミュニティにおけるデジタルトラストの育成に向けた飛躍といえます。サイバーセキュリティ対策の強化を中心に展開し、消費者がプライバシーと安全性を重視しつつ十分な情報に基づいて意思決定を下せるようになるという構想です。今後状況が進展していくなか、厳格なラベリング要件を形成するうえで、業界のステークホルダーと規制機関との協力は特に重要な意味を持ちます。この取り組みによって、ユーザーは安心して、相互接続されたデバイスの可能性を解き放てるようになり、信頼が最優先されるデジタル世界が育まれて、あらゆる人がこれまで以上に安心することができます」―デジサート、デジタルトラスト担当シニアディレクター、Dean Coclin

「スマートデバイスにサイバーセキュリティのラベルを付けて米国の消費者に裁量を与えることは、デジタル時代にプライバシー、セキュリティ、信頼を保護するたゆまぬ取り組みにおいてきわめて重要なステップです。米国政府の先見的なサイバーセキュリティラベリングプログラムは、消費者が選択する製品すべてに、利便性のみならず、サイバー脅威に対する耐性が反映されていることを保証し、テクノロジーと保護が互いに手を取り合う未来を実現します」 ―デジサート、研究開発担当 VP、Avesta Hojjati

デバイスメーカーは今すぐに準備を

現在、製品のセキュリティを強化するためにメーカー各社は、NIST SSDF（Secure Software Development Framework）に準拠するよう推奨されています。

さらに、IoT デバイスの大規模かつ効率的な管理を求める企業に対しては、DigiCert^® IoT Trust Manager が包括的で自動ワークフローを提供します。このソリューションを利用すると、企業は製造プロセス全体でもエッジでも、証明書ベースのセキュリティを備えた IoT デバイスを取り扱うことができます。

DigiCert IoT Trust Manager は、デバイス ID の埋め込みと管理を大規模に行い、幅広い証明書タイプと申請方式をサポートしており、あらゆるセキュリティニーズに応えつつ、コネクテッドデバイスマーケットのフォームファクタに対応しています。DigiCert IoT Trust Manager の詳細は、https://www.digicert.com/jp/iot-trust-manager でご確認ください。