家庭用IoTデバイスをどう守るか? 米国で進むラベリングプログラムの詳細:Cybersecurity Dive
バイデン政権はIoTデバイスの保護を目的とした消費者向けのラベリングプログラムを発表した。ホームルーターの脆弱性などを狙ったサイバー攻撃が絶えない今、IoTセキュリティを強化する。
この記事は会員限定です。会員登録すると全てご覧いただけます。
バイデン政権は、長らく期待されていた消費者向けのラベリング計画を発表した。この計画は何百万人もの米国人がテレワークや日常の娯楽に使用しているスマートホームデバイスのサイバーセキュリティを強化するものだ(注1)。
連邦通信委員会(FCC)は2023年7月18日(現地時間、以下同)に「U.S. Cyber Trust Mark」と呼ばれるこのプログラムの概要を発表した。同プログラムは消費者に対して自主的なラベリングを提供し、彼らのIoT(モノのインターネット)デバイスに関するサイバーセキュリティ情報の提供を目的としている。
15億回のサイバー攻撃がIoTデバイスに対して実行されている
近年、ホームルーターや他のIoTデバイスが、ハッカーの脅威にさらされることが増えてきた。何百万人もの米国人が自宅のオフィス環境で業務している中で、セキュリティの専門家たちは、ホームネットワークのセキュリティをより強化することが重要だと考えている。
バイデン政権は、SolarWindsやColonial Pipelineなどを狙ったサイバー攻撃を受けて、「エネルギースター」のような消費者向けラベリング制度を国のサイバーインフラ強化のための重要な取り組みと見なしている(注2)。
FCCの関係者は、2021年上半期におよそ15億回の攻撃がIoTデバイスに対して実行されたとするデータを引用した。また、2030年までに約250億個のIoTデバイスが流通する見込みだとも述べている。
最近の数カ月、中国の支援を受けた脅威アクターVolt Typhoonは(注3)、米国の電力やガス、鉄道、空港などの重要インフラプロバイダーに対するハッキング戦略の重要な要素として、脆弱(ぜいじゃく)な家庭用ルーターやSOHOネットワークを利用していた。
スマートホームデバイスからサイバーセキュリティ情報を収集
Cyberspace Solarium Commissionの共同議長であるアンガス・キング上院議員は2023年7月18日の朝に事前録音された発言の中で、このラベリングの取り組みを称賛した。
「これはサイバーセキュリティに大きな変化をもたらし、私たちの国を守るために役立つ」(キング氏)
FCCの委員長であるジェシカ・ローゼンウォーセル氏が提案したこの自主的なプログラムは冷蔵庫やテレビ、サーモスタット、フィットネストラッカーなど、日常的なスマートホームデバイスに関するサイバーセキュリティ情報を提供する(注4)。
サイバーセキュリティの基準を満たすデバイスには「U.S. Cyber Trust Mark」のラベルが付与される。FCCがこの計画を採用した場合、無線通信を規制する権限の下、2024年末までに展開される予定だ。また、FCCはパブリックコメントも求めることも計画している。
FCCは認証されたスマートホーム機器のレジストリにリンクするQRコードを用意する他、司法省と協力し、監督と執行を目的とする保護策も検討する。
米国国立標準技術研究所(NIST)は、強力なパスワードやデフォルトのパスワードやデータ保護、ソフトウェア更新、事故検知の基準など、プログラムの具体的な基準を公表する。NISTは2023年末までに消費者向けルーターのサイバーセキュリティ要件を定義する取り組みも開始する。これらのデバイスは他のスマートホームデバイスよりも高いリスクと見なされており、盗聴やパスワードの盗難、他のデバイスへの攻撃のための侵害に対して脆弱性を持っている。
エネルギー省もより安全な送電網を開発するための大規模な計画の一環として、スマートメーターと電力インバーターのサイバーセキュリティラベルを開発するプログラムを発表している。
(注1)Biden-Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers(The White House)
(注2)White House to roll out Energy Star-like ratings for IoT(Cybersecurity Dive)
(注3)Broad campaign underway to access US critical infrastructure using small, home office devices(Cybersecurity Dive)
(注4)CHAIRWOMAN ROSENWORCEL OUTLINES PROPOSED VOLUNTARY CYBERSECURITY LABELING PROGRAM FOR SMART DEVICES(the Federal Communications Commission)
関連記事
セキュリティ業界における資金調達額が大幅に減少、ベンダーにもたらす影響は?
インフレと景気後退に対する懸念によって、第2四半期のサイバーセキュリティ業界における資金調達額が大幅に減少した。こうした市場の混乱の影響で人員削減を余儀なくされた企業もある。
AzureにDDoS攻撃を仕掛けたハクティビスト、Stripeらへの侵害にも関与をほのめかす
「Microsoft Azure」や「Microsoft OneDrive」のDDoS攻撃への関与が疑われるハクティビストAnonymous Sudanは、StripeやRedditに対する侵害についても自分たちの仕業であると主張している。
さまざまな脆弱性を悪用して拡大するbotネット「TrueBot」の実態とは?
マルウェア「TrueBot」によるフィッシング攻撃が拡大している。このマルウェアは幾つかの脆弱性を悪用して被害を着々と拡大しているようだ。
4割超の企業が「従業員のセキュリティ意識が低い」と回答 どう改善するか?
ガートナーは従業員のセキュリティ意識の現状に関する調査結果を発表した。4割を超える国内企業が「自社の従業員のセキュリティ意識は低い」と回答した。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
ITmediaはアイティメディア株式会社の登録商標です。