FCCの調査が自らのIoTセキュリティ認証プログラムを頓挫させる可能性

米国政府は、IoT機器向けのサイバーセキュリティ認証マークの創設という野心的な取り組みを開始していますが、このプロジェクトは、それを生み出した同じ機関から深刻な脅威に直面しています。

バイデン政権下で、連邦通信委員会（FCC）は米国サイバートラストマークプログラムを大々的に立ち上げ、政府関係者やテック業界の幹部は、その認証プロセスが接続機器のセキュリティを変革し、ハッカーがそれらの機器をサイバー攻撃に悪用することを大幅に困難にすると述べていました。しかし、ドナルド・トランプ大統領が就任して数か月後、FCCの新しい共和党議長は、委員会のスタッフがプログラムの監督役に選んだイリノイ州の老舗テスト大手ULソリューションズについて、中国との関係を理由に調査を開始しました。

FCCはこの調査についてほとんど語っておらず、調査がどのように進行しているのか、あるいは具体的に何を明らかにしようとしているのかも不明です。こうした曖昧さは、一部のサイバーセキュリティ専門家や元バイデン政権関係者を不安にさせており、長期化する調査がプログラムを損ない、結果としてサイバー空間における危険な状況を長引かせる可能性があると指摘しています。

「このような取り組みを実施しようとせずに時間が経てば経つほど、消費者にとってのリスクが高まる」と、Squire Patton Boggsの上級パートナーで通信問題を専門とするポール・ベソッツィ氏は述べています。— その中には、オフィスに接続機器を導入している多くの企業も含まれます。

安心して購入できるように

長年にわたり、ハッカーはセキュリティの甘いIoT機器を乗っ取り、ボットネットを構築してサイバー攻撃を仕掛け、業務の中断やデータ窃取を引き起こしてきました。メーカーが不完全な製品を出荷するインセンティブを変えるため、バイデン政権はFCCと協力し、環境保護庁のエナジースター効率ラベルのような、政府公認の接続機器向けセキュリティラベルを作成しました。

FCCはバイデン政権末期にサイバートラストマークプログラムを開始し、ホワイトハウスはその開始を画期的な出来事と称賛しました。これによりベンダーは製品改善を促され、個人から企業まで幅広い顧客が、特に機密性の高い用途で購入時にセキュリティを重視するようになると期待されています。

「多くの機器でIoTセキュリティは本来あるべき水準にありません」と、戦略国際問題研究所（CSIS）の戦略技術プログラムディレクターであり、サイバートラストマークプログラムの立ち上げに携わった元国家安全保障会議スタッフのマット・パール氏は述べています。「このアイデアは、“上を目指す競争”を生み出すことでした。」

プログラムが開始されると、ULや他の運営管理者に認可された企業が、IoT機器（スマート家電や監視カメラなど）について、データ保護、アクセス制御、ライフサイクル管理などの機能の扱いをテストします。提案されているテスト基準（現在審査中）は、部品のインベントリ、ユーザーデータの安全な削除のサポート、セキュリティ設定変更の制限、製品を安全なデフォルト状態に戻す機能などを求めています。

基準を満たした製品は、プログラムのラベルを表示することが認められ、これは政府のお墨付きであることを示し、企業や個人の購入者にとって安全な製品をより魅力的にします。公開データベースには、認証されたすべての製品のテスト結果や、メーカーがサポートを保証する期間などの情報が掲載されます。

「悪質なラボ」への注目

サイバートラストマークプログラムは、トランプ政権の新FCC議長ブレンダン・カー氏が、米国の敵対国と関係を持つ企業がFCCプログラムで機器認証を行うことを阻止することに注力したことで、暗雲が立ち込めています。5月に、委員会は、いわゆる「悪質なラボ」をその業務から排除しました。バイデン時代のFCCも一部の信頼できない企業をサイバートラストマークプログラムの運営管理者から既に排除していました。しかし、同プログラムに賛成票を投じていたカー氏は、その制限では不十分だと感じていました。6月には、彼が認めた Fox Newsの報道によれば、FCCはULが中国国有企業との合弁事業を行っていることや中国国内のラボを運営していることについて調査しているとのことです。

合弁事業だけでは、FCCの基準に基づくULの排除には十分な危険性がない可能性が高いと、Squire Patton Boggsのベソッツィ氏は説明しますが、もし委員会がより悪質な証拠を持っているなら、調査するのは驚くことではないとも述べています。

パール氏は、特にULが中国でテストを行っていることに関する「正当な疑問」に焦点を当てているのであれば、FCCの調査を支持すると述べましたが、「単に合弁事業があるというだけで」失格とすべきではないとも付け加えました。

ULはFCCの調査についてコメントを控えました。ULのチーフ・コーポレート・コミュニケーションズ・オフィサーであるキャシー・フィーウェガー氏は、同社は「サイバーセキュリティを非常に重視しており、常に透明性と誠実さをもって運営している」と述べました。

「プログラムが審査中であることは理解していますが、現時点で何かが変わったという兆候は受け取っていません」と彼女は述べました。

異例の調査への反発

他の関係者は、超党派の支持を受け、何年もの法的審査やパブリックコメント期間を経てきたサイバートラストマークプログラムの突然の遅延に、より批判的でした。

「この調査は“冗談”だ」と、率直に話すため匿名を希望した元政府関係者は述べました。FCCがULを選んだのは「この種のことに深い経験があるからだ」とその元関係者は付け加えました。

もし委員会が、中国が中国拠点のULスタッフを使って同社に圧力をかける可能性を懸念しているなら、「より広範な問題がある」とその元関係者は述べ、「ULが米国の消費者製品エコシステム全体で健康や安全のテストを担っていることを考えれば」と指摘しました。

FCCは繰り返しコメントを求められましたが、回答しませんでした。

さらなる遅延は、ラベリングの取り組みが広く支持されていることを考えると、FCCの調査に対するテック業界の忍耐力を試すことになるかもしれません。このプログラムは「良いアイデアだ」とベソッツィ氏は述べ、「前進させるべきだ」と語りました。

Skadden, Arps, Slate, Meagher & Flom LLPのパートナーでサイバーセキュリティ実務の共同責任者であるデイビッド・サイモン氏は、FCCが自ら承認したばかりのプロジェクトの監督企業に対して国家安全保障上のリスクを理由に調査を開始した他の事例を「私は知らない」と述べました。

勢いが失われるリスク

FCCの調査が長引けば長引くほど、サイバートラストマークプログラムの信頼性が損なわれると専門家は述べています。

遅延が長期化すれば、IoTベンダーが製品をテストに出すことをためらい、その有効性が大きく制限される可能性があります。

「この件に関して、取り組むかどうかを検討中だと話してくれた企業もあります」とパール氏は述べました。

プログラム成功の最も重要な要素は「製品を提出する企業のパイプラインを確保すること」だと、元政府関係者は述べ、LGやサムスンなどの韓国の大手接続機器メーカーが「開始の準備ができていた」と指摘しました。

機能させるか、断念するか

FCCが調査を終え、サイバートラストマークプログラムを軌道に戻す方法はいくつかあると専門家は述べています。

一つの選択肢は、ULが中国のラボをプログラムに使用しないことを約束することです。（同社が既にその約束をしたかどうかについての問い合わせには回答がありませんでした。）「テストを中国国外に移すのは、比較的容易な緩和策だと思います」とパール氏は述べました。

合弁事業がFCCの最大の懸念であるならば、「何らかの緩和策を考え出すことは可能でしょう」とパール氏は述べました。ULは、サイバートラストマークプログラムの監督による評判向上よりも合弁事業を優先しないのであれば、パートナーシップを解消する選択もできるでしょう。

FCCはまた、ULのラベル運営管理者としての承認を取り消すことも選択できます。これは最も混乱を招く選択肢であり、委員会はリード管理者の選定プロセスをやり直さなければなりません。FCCが他のラベル管理者にその役割を与えることもできますが、彼らがプロジェクトの主導を担う準備ができているかは不明です。

ベソッツィ氏は、ULの中国との関係が「失格につながるかどうかは不明」としつつも、カー氏が「悪質なラボ」の排除に関心を持っていることを考えると、「その懸念を和らげる仕組みを考え出す必要があるだろう」と述べました。

欧州と業界からの圧力

FCCの調査によりサイバートラストマークの将来への不安が高まっていますが、専門家によれば、ラベル自体はもともとすぐに開始される段階ではなかったとのことです。

ULの調査が始まる前から、プログラムは製品の提出受付まで数か月かかる見込みでした。テスト基準はまだパブリックコメント期間を経てFCCの承認を受ける必要があり（ULは提案基準を6月に提出）、ラベルのデザインもまだ最終決定されていません。

「このマークの申請が始まる段階にはまだ遠い」とベソッツィ氏は述べ、「まだ道のりは長い」と語りました。

プログラムの将来は、テック業界がFCCとどのように関わるかにかかっているかもしれません。欧州連合の新しいサイバーレジリエンス法におけるIoTセキュリティ義務化は、ベンダーが米国で自社のセキュリティをアピールする手段を求める動機を高める可能性があります。

カー氏は「業界と話をしている」とパール氏は述べ、企業は「概してプログラムを非常に支持している」と語りました。