米国は、モノのインターネット(IoT)デバイス向けの「サイバー・トラスト・マーク」を開始し、消費者が購入判断を行う際に、こうした製品のサイバーセキュリティ基準を容易に評価できるようにした。
サイバー・トラスト・マークの要件を満たす消費者向けスマートデバイスのメーカーは、まもなく、商標登録された特徴的な盾形ロゴを製品に表示できるようになる。
これは、米国国立標準技術研究所(NIST)が定める既存のサイバーセキュリティ基準に基づく確立された評価基準に従い、強固なサイバーセキュリティ基準を満たしたことを示すものとなる。
この任意のラベルは、メーカーにセキュア・バイ・デザインの取り組み改善を促すことで、IoTデバイスのセキュリティを強化することを目的としている。
スマートデバイスはサイバー攻撃の標的になりやすく、脅威アクターは、これらの製品に存在する重大なセキュリティ上の弱点や脆弱性を悪用している。
これらの製品に関わる注目度の高い事例としては、犯罪者が家庭用セキュリティシステムに遠隔から侵入してドアの施錠を解除したり、安全性の低い家庭用カメラに侵入して会話を不正に録音したりするケースが挙げられる。
今すぐ読む:パッチワークからフレームワークへ――グローバルなIoTセキュリティ・パラダイムに向けて
ホワイトハウスは次のように述べた。「本プログラムは2025年に本格稼働します。企業はまもなく、ラベル取得のために製品を試験に提出できるようになり、BestBuyやAmazonのような企業はラベル付き製品を強調表示し、消費者は店頭でトラスト・マークが付いた製品を探すことができます。」
ホワイトハウス、トラスト・マークの運用体制を提示
サイバー・トラスト・マーク・プログラムは2023年7月に開始され、連邦通信委員会(FCC)は2024年3月に任意のサイバーセキュリティ・ラベリング・プログラムに関する最終規則を採択した。
2024年12月、FCCは11社をサイバーセキュリティ・ラベル管理者として承認し、UL Solutionsを主任管理者として条件付きで選定した。これらの管理者は、製品申請の評価、ラベル使用の許可、消費者教育などの活動を管理する。
認定試験所が、メーカーの適合性試験を担当する。
FCCは、プログラム運用に対する監督を行う。
2024年12月には、IoT製品に対するサイバーセキュリティ要件を導入するEUのサイバー・レジリエンス法が施行された。EU企業は、製品を適合させるために2027年12月までの猶予がある。
英国では、同様の法律である製品セキュリティおよび電気通信インフラ(PSTI)法が2024年4月に施行された。
これらの法律には、デフォルトパスワード、脆弱性報告、セキュリティ更新といった分野における要件が含まれている。
翻訳元: https://www.infosecurity-magazine.com/news/us-cyber-trust-mark-iot/
