各国のIoT製品セキュリティ確保のための取り組み：米国 ―U.S. Cyber Trust Mark―

2025年1月7日、ホワイトハウスが18カ月間の公示と意見募集を経て立ち上げた、IoTデバイス向けのサイバーセキュリティラベル「U.S. Cyber Trust Mark」が発表されました。この内容を受け、2023年12月18日公開のコラムを大幅に加筆修正しました。

U.S. Cyber Trust Markプログラムに関し、米連邦通信委員会(FCC）は全会一致をもって承認し、商標登録された独自の盾型ロゴを採用することを決定しました。
出典：White House Launches "U.S. Cyber Trust Mark", Providing American Consumers an Easy Label to See if Connected Devices are Cybersecure | The White House

U.S. Cyber Trust Markは、米国連邦政府の支援と大手小売業者の参入による市場競争を通じて、IoT製品のセキュリティ水準を向上させるための取り組みです。本コラムでは、IoT製品の開発や運用に関わる方のために、ラベリングプログラムの目的と概要について解説します。

1. U.S. Cyber Trust Markプログラムとは

「U.S. Cyber Trust Markプログラム」は、2021年5月12日に公布された「大統領令E.O.14028：国家のサイバーセキュリティ向上」に基づいて、米国連邦政府が推進するIoT製品のセキュリティを強化するためのラベリングプログラムです。欧州サイバーレジリエンス法案（EU Cyber Resilience Act: CRA）が厳格な罰金制度を設けているのとは異なり、任意の取り組みですが、IoT製品ベンダーにとっては、このラベリングプログラムに大手小売業者や競合他社が参加しているため、必然的に対応を迫られることとなります。

より詳しい技術や関連製品について知りたい方へ

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。

お問い合わせはこちらから

2. ラベル取得の要件

U.S. Cyber Trust Markプログラムには、アメリカ国立標準技術研究所 (NIST) のガイドラインに基づいた、インターネット接続デバイスが強固なサイバーセキュリティ基準を満たすための具体的な要件があります。以下がこれら要件に含まれる主要な基準です。

• デバイス認証: デバイスが適切に認証され、不正アクセスを防止すること
• データ暗号化: データが暗号化され、傍受や改ざんから保護されること
• 定期的なソフトウェア更新: 脆弱性に対処し、セキュリティを向上させるために定期的なソフトウェア更新を提供すること
• 脆弱性管理: セキュリティ脆弱性を迅速に特定し、修正すること

製造業者は、これらのサイバーセキュリティ要件を満たしていることを確認するために、FCCに承認された下記11社のサイバーセキュリティラベル管理者のラボで製品をテストする必要があります。

• CSA America Testing & Certification, LLC
• CTIA Certification LLC
• DEKRA Certification Inc.
• Intertek Testing Services NA, Inc.
• ioXt Alliance UL LLC3
• Palindrome Technologies
• SGS North America Inc.
• Telecommunications Industry Association
• TÜV Rheinland of N.A.
• TÜV SÜD America
• UL LLC

適合した製品には以下のようなU.S. Cyber Trust Markがつけられることになり、消費者はQRコードをスキャンしてデバイスの詳細なセキュリティ情報にアクセスできます。

出典：Federal Communications Commission https://www.fcc.gov/cybersecurity-certification-mark

3. 対象製品

本プログラムは消費者向けワイヤレス IoT 製品に適用されます。

3-1. 対象製品例

• 家庭用防犯カメラ
• スマート家電
• 音声起動ショッピングデバイス
• フィットネストラッカー
• ガレージドアオープナー
• ベビーモニター

3-2. 対象外製品例

• 食品医薬品局 (FDA) が規制する医療機器
• 米国道路交通安全局 (NHTSA) によって規制されている自動車および関連機器
• 有線デバイス
• 主に製造、産業用制御、またはエンタープライズアプリケーションに使用される製品
• FCCの対象リストに掲載されている機器およびそのリストに掲載されている組織が製造した機器
• 国家安全保障に関連するリストに掲載されている企業のIoT製品
• 連邦政府の調達が禁止されている組織によって製造されたIoT製品

4. まとめ

この新しいセキュリティラベリングプログラムにおけるラベル取得は今の所は任意となっていますが、米国で日常的に使用されているIoT製品が、より強固なセキュリティ品質を持つことを証明するのに役立ちます。また、IoT製品ベンダーにとっては、米国内でIoT製品のセキュリティ品質が一定の基準を満たしていることを購買者に伝える方法として注目を浴びており、製品の差別化要因として活用できるため、対応が進んでいます。日本国内でも本プログラムの動向は注目されており、IoT製品のセキュリティ対応にも影響を及ぼすことが見込まれるため、現状の製品のセキュリティ品質や今後の開発方法など、まずは対策できる部分から検討してみるのが良いと考えます。

当社ではIoT製品のセキュリティ品質を向上させ、サイバーセキュリティ攻撃に対応するための様々なツール製品やサービスを提供しています。お客様の課題に沿ったご提案を用意しておりますのでお気軽にお問合せください。

• デバイス脆弱性テストをお探しなら：IoT機器セキュリティ検証サービス 詳細ページ
• SBOM生成（SCA）ツール・サービスをお探しなら：高精度バイナリSCAソリューション CodeSentry 詳細ページ
  OSSソースコードライセンス管理ツール・スキャンサービス FOSSID 詳細ページ（当社グループ会社製品）
• セキュアなコーディングのための静的コード解析ツールをお探しなら：高精度解析ツール CodeSonar 詳細ページ

このコラムの著者

株式会社ユビキタスAI

エンベデッド第3事業部

永井 玲奈​（ながい れな）

長年、組込みソフトウェアの営業・製品マーケティングに携わる。現在はユビキタスAIでIoT機器セキュリティ検証サービス事業の営業およびプロダクトマーケティングを担当。医療機器、車載製品、民生品などあらゆる機器を製造する大手製品ベンダーの多岐に渡るセキュリティ課題解決に取り組む。

より詳しく技術や関連製品について知りたい方へ

本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。

お問い合わせはこちらから