IoTセキュリティの評価制度とは？ 2023年春開始

IoTデバイスの「サイバーセキュリティ消費者ラベリングプログラム」が米国で2023年春までに開始される予定だ。Googleも賛同する取り組みの詳細を解説する。

[David Jones，Cybersecurity Dive]

　ホワイトハウスは、米国でトップクラスのシェアを持つデバイスメーカーや小売業者、業界団体による議論を踏まえ、2023年春までに「モノのインターネット」（IoT）デバイスの「サイバーセキュリティ消費者ラベリングプログラム」を開始すると発表した。

GoogleがIoTのセキュリティ評価制度に賛同する理由

　バイデン政権は、この制度を通じてハッキングされる危険性のあるインターネット接続のスマートデバイスに関する情報を消費者に提供する計画だ。認定制度は省エネデバイスの認定制度「Energy Star」をモデルにしている。

　国家安全保障会議報道官のエイドリアン・ワトソン氏は、ホワイトハウスの公式声明で「これらのデバイスを保護するためのラベリングプログラムは、米国の消費者に、家庭に持ち込まれる技術が安全だという安心感を与える。メーカーがより高いサイバーセキュリティ基準を満たし、小売業者が安全なデバイスを販売するインセンティブになるだろう」と語った（注1）。

　このプログラムは、2020年のSolarWindsに対する国家支援型攻撃や、2021年のColonial Pipelineに対するランサムウェア攻撃のような破壊的な攻撃を避けるために、政府と民間企業のサイバーセキュリティ基準を強化する、バイデン政権による取り組みの一部だ。

　ホワイトハウスは以前、家庭用ルーターとカメラの評価でプログラムを開始する計画を明らかにしており、追加するデバイスを拡大した。

　コネクテッドIoTデバイスは、家庭用ルーターからベビーモニター、セキュリティや照明用のスマートホームコントローラー、スマートテレビまで、数百万人の消費者に利用されている。IoTセキュリティのラベリング制度は、購入しようとするデバイスのセキュリティがどうなっているかを知らない消費者にとって情報を提供するという意味で有益だ。

　Googleはブログ投稿で、「このような動きはコネクテッドデバイスのセキュリティに対する消費者の意識を高める」とし、IoT業界全体のセキュリティ基準を高める取り組みへの支持を表明した（注2）。

　Googleは、同社の「Nest」と「Pixel」デバイスのセキュリティを強化するために以前から取っていた措置に言及し、今回のプログラムを同社のスマートウォッチ「Fitbit」に拡大することを明らかにした。

　カーネギーメロン大学CyLabセキュリティプライバシー研究所の関係者がホワイトハウスの会合で発表した研究結果によると、「消費者はコネクテッドデバイスがセキュリティとプライバシーに与える影響について知らされた上で購入を決定した場合、割増料金を支払う意思がある」という（注3）。

　R Street Instituteは、メーカーが自己認証するのか、第三者機関を必要とするのか、ラベルにデータプライバシー対策をもっと盛り込むべきなのか、などが残された問題の中心になるとしている（注4）。

出典：White House to roll out Energy Star-like ratings for IoT（Cybersecurity Dive）

注1：Statement by NSC Spokesperson Adrienne Watson on the Biden Harris Administration’s Effort to Secure Household Internet-Enabled Devices

注2：How Google is helping to make the Internet of Things more secure

注3：CyLab presents IoT privacy and security label research at White House summit

注4：Is an “energy star label for cyber” the solution to IoT device security and privacy?