各国のIoT製品セキュリティ確保のための取り組み:米国 ―U.S. Cyber Trust Mark―
2023年8月、FCC(米連邦通信委員会)は、IoT製品のサイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」を2024年後半に運用開始すると公表しました。これは、米国連邦政府の支援と大手小売業者の参入による市場競争を通じて、IoT製品のセキュリティ水準を向上させるための取り組みです。本コラムでは、IoT製品の開発や運用に関わる方のために、ラベリングプログラムの目的と概要について解説します。
1. U.S. Cyber Trust Markプログラムとは
「U.S. Cyber Trust Markプログラム」は、2021年5月12日に公布された「大統領令E.O.14028:国家のサイバーセキュリティ向上」に基づいて、米国連邦政府が推進するIoT製品のセキュリティを強化するためのラベリングプログラムです。プログラムの具体的な基準は検討中ですが、NIST(米国立標準技術研究所)基準で策定されることが予想されます。EU Cyber Resilience Act(欧州サイバーレジリエンス法案)が厳格な罰金制度を設けているのとは異なり、任意の取り組みですが、IoT製品ベンダーにとっては、このラベリングプログラムに大手小売業者や競合他社が参加しているため、必然的に対応を迫られることとなります。適合した製品には以下のようなU.S. Cyber Trust Markがつけられることになります。
出典:Federal Communications Commission https://www.fcc.gov/cybersecurity-certification-mark
より詳しい技術や関連製品について知りたい方へ
本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。
2. ラベル取得の要件
具体的な基準は現在策定中ですが、多様性を持ち急拡大するIoT市場に柔軟に対応すべく、特定の要件等を規定するよりも、NISTのサイバーセキュリティ対策における成果をあげることに重点を置かれています。NISTのIoTサイバーセキュリティ基準は技術的領域だけでなく非技術的領域を含む次のような多岐の要件をカバーしています。
- 資産の特定
- 製品設計
- データの保護
- インターフェースのアクセス制御
- ソフトウェアの更新
- サイバーセキュリティ状況の認識・記録
- ドキュメンテーション
- 案内・問い合わせ受付
- 情報発信
- 製品の教育と啓蒙
3. 想定対象製品
「U.S. Cyber Trust Markプログラム」は一般的なIoT製品を対象としています。
3-1. 対象製品例
- 携帯情報端末
- GPSトラッカー
- スマート照明
- ロボット掃除機
- 家庭用防犯カメラ
- スマート冷蔵庫
- スマートスピーカー
- スマートウォッチ
4. まとめ
この新しいセキュリティラベリングプログラムにおけるラベル取得は今の所は任意となっていますが、米国で日常的に使用されているIoT製品が、より強固なセキュリティ品質を持つことを証明するのに役立ちます。また、IoT製品ベンダーにとっては、米国内でIoT製品のセキュリティ品質が一定の基準を満たしていることを購買者に伝える方法として注目を浴びており、製品の差別化要因として活用できるため、対応が進んでいます。日本国内でも本プログラムの動向は注目されており、IoT製品のセキュリティ対応にも影響を及ぼすことが見込まれるため、現状の製品のセキュリティ品質や今後の開発方法など、まずは対策できる部分から検討してみるのが良いと考えます。
当社ではIoT製品のセキュリティ品質を向上させ、サイバーセキュリティ攻撃に対応でするための様々なツール製品やサービスを提供しています。お客様の課題に沿ったご提案を用意しておりますのでお気軽にお問合せください。
このコラムの著者
株式会社ユビキタスAI
エンベデッド第3事業部
永井 玲奈​(ながい れな)
長年、組込みソフトウェアの営業・製品マーケティングに携わる。現在はユビキタスAIでIoT機器セキュリティ検証サービス事業の営業およびプロダクトマーケティングを担当。医療機器、車載製品、民生品などあらゆる機器を製造する大手製品ベンダーの多岐に渡るセキュリティ課題解決に取り組む。
より詳しく技術や関連製品について知りたい方へ
本コラムに関係する技術や関連する製品について知りたい方は、お気軽にご相談ください。
各国のIoT製品セキュリティ確保のための取り組み:シンガポール ―サイバーセキュリティラベリングスキーム(CLS)
2024.11.11
各国のIoT製品セキュリティ確保のための取り組み:欧州
2024.10.23
太陽光発電と蓄電池システムの脆弱性:安全なエネルギーのためのセキュリティ対策
2024.10.08
各国のIoT製品セキュリティ確保のための取り組み:日本
2024.10.03
もう待てない、サイバーレジリエンス法対策
2024.09.17
各国のIoT製品セキュリティ確保のための取り組み: 英国
2024.04.18
ソフトウェアテストの新常識:ファジング入門
2024.04.17
JIS T 81001-5-1に準拠した医療機器のセキュリティ対策
2023.12.19
サプライチェーン攻撃と脆弱性テスト
2023.12.14
セキュリティ規格について
2023.09.01
ファジングとは?
2023.09.01
脆弱性検証―何をどこまで実施すれば良い?
2023.09.01
HEMS機器の脆弱性検証
2023.07.14
ファジングの限界
2023.07.14