家庭用IoTデバイスをどう守るか? 米国で進むラベリングプログラムの詳細Cybersecurity Dive

バイデン政権はIoTデバイスの保護を目的とした消費者向けのラベリングプログラムを発表した。ホームルーターの脆弱性などを狙ったサイバー攻撃が絶えない今、IoTセキュリティを強化する。

» 2023年08月19日 07時00分 公開
[David JonesCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 バイデン政権は、長らく期待されていた消費者向けのラベリング計画を発表した。この計画は何百万人もの米国人がテレワークや日常の娯楽に使用しているスマートホームデバイスのサイバーセキュリティを強化するものだ(注1)。

 連邦通信委員会(FCC)は2023年7月18日(現地時間、以下同)に「U.S. Cyber Trust Mark」と呼ばれるこのプログラムの概要を発表した。同プログラムは消費者に対して自主的なラベリングを提供し、彼らのIoT(モノのインターネット)デバイスに関するサイバーセキュリティ情報の提供を目的としている。

15億回のサイバー攻撃がIoTデバイスに対して実行されている

 近年、ホームルーターや他のIoTデバイスが、ハッカーの脅威にさらされることが増えてきた。何百万人もの米国人が自宅のオフィス環境で業務している中で、セキュリティの専門家たちは、ホームネットワークのセキュリティをより強化することが重要だと考えている。

 バイデン政権は、SolarWindsやColonial Pipelineなどを狙ったサイバー攻撃を受けて、「エネルギースター」のような消費者向けラベリング制度を国のサイバーインフラ強化のための重要な取り組みと見なしている(注2)。

 FCCの関係者は、2021年上半期におよそ15億回の攻撃がIoTデバイスに対して実行されたとするデータを引用した。また、2030年までに約250億個のIoTデバイスが流通する見込みだとも述べている。

 最近の数カ月、中国の支援を受けた脅威アクターVolt Typhoonは(注3)、米国の電力やガス、鉄道、空港などの重要インフラプロバイダーに対するハッキング戦略の重要な要素として、脆弱(ぜいじゃく)な家庭用ルーターやSOHOネットワークを利用していた。

スマートホームデバイスからサイバーセキュリティ情報を収集

 Cyberspace Solarium Commissionの共同議長であるアンガス・キング上院議員は2023年7月18日の朝に事前録音された発言の中で、このラベリングの取り組みを称賛した。

 「これはサイバーセキュリティに大きな変化をもたらし、私たちの国を守るために役立つ」(キング氏)

 FCCの委員長であるジェシカ・ローゼンウォーセル氏が提案したこの自主的なプログラムは冷蔵庫やテレビ、サーモスタット、フィットネストラッカーなど、日常的なスマートホームデバイスに関するサイバーセキュリティ情報を提供する(注4)。

 サイバーセキュリティの基準を満たすデバイスには「U.S. Cyber Trust Mark」のラベルが付与される。FCCがこの計画を採用した場合、無線通信を規制する権限の下、2024年末までに展開される予定だ。また、FCCはパブリックコメントも求めることも計画している。

 FCCは認証されたスマートホーム機器のレジストリにリンクするQRコードを用意する他、司法省と協力し、監督と執行を目的とする保護策も検討する。

 米国国立標準技術研究所(NIST)は、強力なパスワードやデフォルトのパスワードやデータ保護、ソフトウェア更新、事故検知の基準など、プログラムの具体的な基準を公表する。NISTは2023年末までに消費者向けルーターのサイバーセキュリティ要件を定義する取り組みも開始する。これらのデバイスは他のスマートホームデバイスよりも高いリスクと見なされており、盗聴やパスワードの盗難、他のデバイスへの攻撃のための侵害に対して脆弱性を持っている。

 エネルギー省もより安全な送電網を開発するための大規模な計画の一環として、スマートメーターと電力インバーターのサイバーセキュリティラベルを開発するプログラムを発表している。

© Industry Dive. All rights reserved.