バイデン政権は、インターネットに接続されたデバイスに関連する数多くのセキュリティリスクからアメリカ人を保護することを目的とした、待望のインターネット・オブ・シングス(IoT)のサイバーセキュリティラベリングプログラムを発表しました。
このプログラムは、「米国サイバートラストマーク」と正式に名付けられ、アメリカ人がサイバーアタックに対して強力なサイバーセキュリティ保護を備えたインターネットに接続されたデバイスを購入していることを確認できるよう支援することを目指しています。
フィットネストラッカーやルーターからベビーモニターやスマート冷蔵庫まで、あらゆるものを包括する「インターネット・オブ・シングス」という用語は、長い間、弱点とされるサイバーセキュリティリンクとされてきました。多くのデバイスは推測しやすいデフォルトのパスワードを持っており、セキュリティの定期的な更新が不足しているため、消費者のハッキングのリスクがあります。
バイデン政権は、自主的なエネルギースターの影響を受けたラベリングシステムによって、アメリカ人が購入するインターネットに接続されたデバイスのセキュリティ認証に関する情報を元にした意思決定ができるようにすることで、IoTセキュリティの基準を「引き上げる」と述べています。米国サイバートラストマークは、確立されたサイバーセキュリティの基準を満たす製品に表示される独自の盾のロゴの形で表示されます。
この基準は、国立標準技術研究所(NIST)によって策定され、例えばデバイスが固有で強力なデフォルトのパスワードを必要とし、保存および送信されるデータを保護し、定期的なセキュリティの更新を提供し、インシデントの検出機能を備えていることが求められます。
基準の完全なリストはまだ最終化されていません。ホワイトハウスは、NISTが「高リスク」とされる一般消費者向けのルーターなど、攻撃者が頻繁にターゲットにするデバイスのサイバーセキュリティ基準を定義するための作業を即座に開始すると発表しました。この作業は2023年末までに完了し、2024年にプログラムが開始される際にこれらのデバイスがカバーされることを目指しています。
ホワイトハウスの報道陣との通話で、サイバートラストマークには、認定されたデバイスの全国登録と、ソフトウェアの更新ポリシーやデータの暗号化基準、脆弱性の是正など、最新のセキュリティ情報へのリンクとなるQRコードも含まれると、ホワイトハウスは確認しました。
ホワイトハウスによれば、米国の小売業者は、商品を店舗やオンラインに配置する際にラベルが付いた製品を優先するよう奨励されるとのことで、AmazonやBest Buyを含むいくつかの企業が既にこの取り組みに参加しています。また、自主的なラベリングイニシアチブに同意した他の大手テック企業には、Cisco、Google、LG、Qualcomm、Samsungなどが含まれています。
この取り組みは最初は高リスクの一般消費者向けデバイスに焦点を当てる予定ですが、米国エネルギー省は火曜日に発表し、スマートメーターやパワーインバーターについても産業パートナーと協力してサイバーセキュリティラベリング要件を開発していると発表しました。
