FCCが外国製ルーターへの禁止を緩和

出典：Casezy idea via Shutterstock

米国連邦通信委員会（FCC）は、外国製コンシューマールーターへの最近の規制を緩和し、これらの製品ベンダーが少なくとも2029年1月まで米国にすでに配置されているデバイスのソフトウェアおよびファームウェアの更新を引き続き発行することを許可するようになりました。

この決定は、2026年3月のFCC規則を修正し、その規則は外国メーカーが新しいコンシューマールーターモデルを米国で販売することを禁止しています。ただし、同庁がすでに承認したものは除きます。FCCは国家セキュリティ上の懸念を主な理由として挙げており、外国製スモールオフィス・ホームオフィスルーターを禁止機器リストに追加し、国家などの敵対勢力がルーターを利用して米国組織への攻撃を実施している方法について言及しました。

ルーターユーザーにとって大きな救済か？

元のFCC規則では、外国メーカーは2027年3月までに米国顧客に限定的なメンテナンスとセキュリティパッチのみを提供することが許可されていました。

5月8日の公開声明では、FCCはその期限を少なくとも2029年1月まで延長し、許可される更新の範囲も拡大しました。FCCは現在、外国メーカーに軽微なセキュリティ修正と変更だけでなく、以前は追加のFCC審査が必要だったルーター機能に影響を与える可能性のあるより大規模なソフトウェアおよびファームウェア更新の提供を許可するようになりました。同庁は、改訂は米国にすでに配置されている外国製コンシューマールーターの継続的な安全性を確保することを目的としていると述べています。

同庁の決定は、現在影響を受けているクラスのデバイスを使用している米国の何百万ものコンシューマーおよび中小企業にとって大きな救済です。これにより、彼らは代替品を見つけるためにより多くの時間を得られるためです。アナリストは、現在米国で利用可能なほぼすべてのコンシューマーグレードのルーターが外国メーカーによって製造されていることに注目しています。

情報セキュリティの専門家は、FCCの禁止がユーザーにこれらのデバイスの古いサポートされていないデバイスを継続して使用する以外の選択肢を本質的に残さないようにしなければならず、皮肉にも攻撃や危険にさらされやすくなるのではなく安全になることに懸念を表明しています。多くの人は、ルーターセキュリティの実際の問題は、デバイスの製造場所に関することではなく、むしろデフォルトパスワードの使用や設定、セキュリティパッチの更新を怠ることなどの運用上のリスクに関するものであることにも言及しています。

「FCCはネットワークセキュリティの運用上の現実と機器交換のペースが遅いことに応じてこの改訂を発行した可能性が高いです」とSectigoのシニアフェローであるJason Sorokoは述べています。「国家インフラ全体に何百万ものエンベデッドデバイスを交換するには膨大な時間と資本が必要であり、既存システムを完全なパッチなし状態に放棄すると、すぐに脆弱性が生じます。」

FCC禁止令に対する実用的な妥協

FCCの調整されたポリシーは実用的な妥協案のようです。ベンダーが重要なセキュリティパッチと互換性更新を発行することを許可することは、パッチが当たらないルーターは、ハードウェアの起源に関連するより広いリスクよりも緊迫したサイバーセキュリティ脅威を示していることを認めています。Sorokoは述べています。

2029年までの延長自体は、外国製コンシューマールーターの輸入を禁止するマンデートを大幅に変更しませんが、ユーザーにより多くの余裕を与えます。「このウェーバーは、突然の危険なセキュリティ空白を防ぐことで、初期禁止令に関連する最も緊迫した懸念を大幅に軽減します」とSorokoは述べています。

Keeper Securityのチーフインフォメーションセキュリティオフィサー（CISO）であるShane Barneyは、影響を受けるクラスのデバイスを使用している組織にFCCの最新の改訂を視点に保つことをお勧めします。更新への厳格な禁止により、すでに配置されているデバイスはセキュリティパッチまたは脆弱性修正を受け取るパスを失い、ベンダーとエンドユーザーは耐え難い立場に置かれていたでしょう。その観点から、彼は「ウェーバーを2029年1月まで延長することはより防衛可能な決定です」と述べています。

しかし、組織はこの決定が何を達成し、何を達成しないのかについて明確に考える必要があります。Barneyは述べています。改訂は、すでに配置された外国製ルーターが所定の位置に凍結され、重要な更新を受け取ることができないことについての懸念を軽減します。ただし、機密ネットワーク環境で動作している外国製ハードウェアに関する基本的な懸念は解決されません。

「それは、より広いリスク計算が変わったという誤った感覚を企業に与えるべきではありません。これらのデバイスが表す脅威表面は残っています」と彼は述べています。「この改訂への適切な対応は、それ以前と同じです。ゼロトラストの原則を実施し、強力な身元確認を要求し、最小権限アクセスを適用し、ハードウェアがどこから発生しているかに関係なく、あらゆるリモート接続を潜在的に敵対的なものとして扱います。」