各国のIoT製品セキュリティ確保のための取り組み:英国―PSTI法(Product Security and Telecommunication Infrastructure Bill)―
PSTI法とは
PSTI法(Product Security and Telecommunications Infrastructure bill:製品セキュリティおよび電気通信インフラストラクチャ)とは、英国におけるIoT製品のセキュリティ制度で、2023年9月14日に法律として成立し、2024年4月29日に発行が予定されている、製品のセキュリティと通信インフラを強化するための法案です。消費者向けのデジタル製品やサービスのサイバーセキュリティを向上させることを目的としており、特にインターネットに接続されるIoT機器の安全性に焦点を当てています。本コラムでは、PSTI法の概要、目的と消費者や企業に与える影響について詳しく解説します。
目次
1. イノベーションの影に潜むリスク
2. 英国におけるIoT機器セキュリティ対策の動向
3. PSTI法対象製品
4. PSTI法の対象者
5. セキュリティ要件
5-1. 出荷時簡易パスワード設定の禁止
5-2. 脆弱性情報の報告方法の提供
5-3. 製品のセキュリティサポート期間の明示
6. 英国PSTIに学ぶIoTセキュリティの未来
1. イノベーションの影に潜むリスク
私たちの生活は、IoTの進化によってかつてないほど便利になりました。自宅の照明をスマートフォンから操作したり、ウェアラブルデバイスで健康状態をモニタリングしたりするのは、もはや珍しいことではありません。この便利さの裏では、セキュリティの脅威が静かに、しかし確実に高まっています。例えば、2023年には、英国の組織ごとのIoT機器に対するサイバーセキュリティ攻撃の発生数は、前年度から41%増加しています。これは、英国内の消費者が直面しているリスクを物語っているといえます。
2. 英国におけるIoT機器セキュリティ対策の動向
英国政府は、2018年にIoT製品のセキュリティに関する行動規範であるCode of Practice for Consumer IoT Securityを公開しました。2019年にはこの規範をEU全体に普及させるため、技術仕様の国際標準化を欧州電気通信標準協会(ETSI)に提案し、同規範に基づく欧州規格EN 303 645が発表されました。2024年4月施行のPSTI法は、以下の二つの法律により構成されています。
1. 2022年に適用された製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法パート1
2. 2023年に適用された製品セキュリティおよび電気通信インフラストラクチャ(関連する接続可能な製品のセキュリティ要件)規制
より詳しい技術や関連製品について知りたい方へ
本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。
3. PSTI法対象製品
PSTI法はさまざまなIoT製品に適用され、以下の製品が含まれますがこれらに限定されません。
- スマートフォン
- ゲーム機
- スマートカメラ
- スマートTV
- スマート家電
- スマートホーム支援機器
- ドアロック、火災検知器、煙探知機
- ウェアラブルデバイス
- IoTのベースとなる複数デバイスが接続する基地局、ハブ
4. PSTI法の対象者
PSTI法の制度上の義務が適用されるのは、対象製品の製造業者、輸入業者、および販売業者です。
5. セキュリティ要件
対象製品のサプライチェーン内の関係会社が対策を講じる必要のある、接続可能な関連製品が準拠すべき具体的な基準については、2023年に適用された規制スケジュール1で設定されています。
5-1. 出荷時簡易パスワード設定の禁止
対象製品には、それぞれ異なる固有のパスワードが設定されるか、あるいはユーザーによって設定可能であることが求められます。これらは増分カウンターや公開情報、またはそれに由来する情報に基づいたものであってはならず、業界で認められた暗号化手法やキー付きハッシュアルゴリズムを用いなければなりません。製品の一意識別子に基づいたもの、そこから派生したもの、簡単に推測されるものは禁止されています。
5-2. 脆弱性情報の報告方法の提供
対象製品の製造者は、セキュリティ問題の報告手段に関する情報を提供する義務があります。また製造者は、報告されたセキュリティ問題の受け付け確認と、解決までの進捗状況の更新情報を提供することが求められます。
5-3. 製品のセキュリティサポート期間の明示
対象製品の製造者は、セキュリティサポートの最短期間を公開し、消費者がアクセス可能な状態にすることが求められます。この期間は、セキュリティ更新プログラムの終了日を含む最短期間である必要があります。
6. 英国PSTIに学ぶIoTセキュリティの未来
2024年4月29日に英国の消費者向けIoT製品のセキュリティ制度であるPSTI法の施行に伴い、対象製品のサプライチェーン内の企業は本法案への準拠が求められます。つまりこの法案により、IoT製品の製造業者は、より高いセキュリティ基準を満たすことが要求されます。PSTI法に違反した場合、OPSSにより最大1,000万ポンドまたは世界売上高の4%の罰金が科される見込みです。PSTI法は、英国がテクノロジーの進展と市場の需要の増大に適応するための取り組みの一環であり、国内の通信インフラの強化とサイバーセキュリティの向上を目指しています。これは、サイバーセキュリティを国家レベルで重視する動きの一例と言えるでしょう。
このコラムの著者
株式会社ユビキタスAI
エンベデッド第3事業部
永井 玲奈​(ながい れな)
長年、組込みソフトウェアの営業・製品マーケティングに携わる。現在はユビキタスAIでIoT機器セキュリティ検証サービス事業の営業およびプロダクトマーケティングを担当。医療機器、車載製品、民生品などあらゆる機器を製造する大手製品ベンダーの多岐に渡るセキュリティ課題解決に取り組む。
より詳しく技術や関連製品について知りたい方へ
本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。
各国のIoT製品セキュリティ確保のための取り組み:シンガポール ―サイバーセキュリティラベリングスキーム(CLS)
2024.11.11
各国のIoT製品セキュリティ確保のための取り組み:欧州
2024.10.23
太陽光発電と蓄電池システムの脆弱性:安全なエネルギーのためのセキュリティ対策
2024.10.08
各国のIoT製品セキュリティ確保のための取り組み:日本
2024.10.03
もう待てない、サイバーレジリエンス法対策
2024.09.17
ソフトウェアテストの新常識:ファジング入門
2024.04.17
JIS T 81001-5-1に準拠した医療機器のセキュリティ対策
2023.12.19
各国のIoT製品セキュリティ確保のための取り組み:米国
2023.12.18
サプライチェーン攻撃と脆弱性テスト
2023.12.14
セキュリティ規格について
2023.09.01
ファジングとは?
2023.09.01
脆弱性検証―何をどこまで実施すれば良い?
2023.09.01
HEMS機器の脆弱性検証
2023.07.14
ファジングの限界
2023.07.14