IoT製品サイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」、米国の方針

  • 2023-08-25

米国連邦政府は2023年7月18日、IoT製品のサイバーセキュリティラベリングプログラムである「U.S. Cyber Trust Markプログラム1」を2024年中に開始することを発表しました。欧州サイバーレジリエンス法案(EU Cyber Resilience Act)2が高額な制裁金を設定しているのとは対照的に、U.S. Cyber Trust Markプログラムは米連邦政府の支援を受けながら、IoT製品製造者とその大手小売事業者の参入による市場競争の力により、IoT製品のセキュリティ向上を達成しようとしています。2023年に公表された米国国家サイバーセキュリティ戦略3の第3部では「市場の力により消費者IoT製品セキュリティを促進する」と言及されており、これは消費者のIoT製品セキュリティの強化を具体化したものであると言えます。

大手小売業者、競合他社がU.S. Cyber Trust Markプログラムへ参入し、米国連邦政府が同プログラムに対応した製品を支援することなどにより、IoT製品製造者は米国における市場シェアを失うリスクがあるため、早急な対応に迫られています。

U.S. Cyber Trust Markプログラムの概要

U.S. Cyber Trust Markプログラムは、2021年5月12日に発令された「国家のサイバーセキュリティ向上に関する大統領令(E.O.14028)」に基づく、コンシューマIoT製品セキュリティの向上に関する米国連邦政府の政策です。法的遵守義務や、高額なペナルティは設定されていない自主的な取り組みであるものの、大手小売業者、競合他社などの参加により、IoT製品製造者は対応に迫られています。以下、その概要をご紹介します。

「U.S. Cyber Trust Mark」プログラムの導入に至るまでの、米国の消費者IoT製品セキュリティ政策の動向は以下のとおりです。

図表1 米国消費者IoT製品セキュリティ政策の動向

1、適用するラベル

連邦通信委員会(FCC)が提案する「U.S. Cyber Trust Mark」4を採用する予定であり、セキュリティ要件を満たすと貼付することができます。QRコードを通じて、国家登録(National Registry)における認証済み製品の詳細なセキュリティ情報を確認することができます。

2、対象製品

U.S. Cyber Trust Markプログラムは、スマート冷蔵庫、スマート電子レンジ、スマートテレビ、スマート空調システム、スマート・フィットネス・トラッカーなど、一般的なコンシューマIoT製品を対象としています。

今後、コンシューマ用ルーターなどへの拡大や、エネルギー分野におけるスマートメーターおよびスマート電力インバーターへの適用も視野に入れています。

3、目的

U.S. Cyber Trust Markプログラムの直接的な目的は、IoT製品セキュリティの強化と向上になります。そのために、消費者のセキュリティ意識の向上および小売事業者やIoT製品製造者の参加を通じて、IoT製品セキュリティ強化競争を促進しています。

4、適用ガイドライン

2021年5月12日に発令された「国家のサイバーセキュリティ向上に関する大統領令(E.O.14028)」がソフトウェアサプライチェーンセキュリティの改善を指示したことを受けて、米国標準技術研究所(NIST)は2022年2月4日にソフトウェアとIoT製品のセキュリティラベリングに関する複数のガイダンスを発行しています5

U.S. Cyber Trust Markプログラムは、これらのガイドラインの採用を予定していますが、NISTのIoT製品セキュリティラベリングに関するガイドラインは技術的なセキュリティ要件ではなく、IoT製品セキュリティとして達成すべき目標を記述するに留まっています。一方、NISTのラベリングガイドラインは、製造者がIoT製品セキュリティ目標を達成するための他の技術的ガイドラインを採用することを認めています。

今後、コンシューマ用のルーターも対象に含まれる予定であり、関連ガイドラインはNISTが2023年度中に完成させる予定です。

なお、米国エネルギー省(DOE)もクリーンなスマートグリッドに不可欠なスマートメーターと電力インバーターのサイバーセキュリティ表示要件の研究開発に着手するとしています。

5、連邦政府の支援

U.S. Cyber Trust Markプログラムの実施については、米国連邦政府の積極的な支援が見込まれています。

連邦通信委員会(FCC)は、U.S. Cyber Trust Markプログラムの提案主体として、消費者のセキュリティ意識の向上を推進し、大手小売事業者が認証済みのIoT製品を優先的に店頭陳列するよう奨励していくことになっており、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)を含むその他の政府機関を支援することも表明しています6

また、FCCは司法省(DoJ)など他の規制当局の協力によりU.S. Cyber Trust Markプログラムの実効性を保障しようとしています。

6、国際展開

U.S. Cyber Trust Markプログラムの適用範囲は米国内に留まるものではありません。米国務省は、FCCが同盟国やパートナーを巻き込んで基準の調和を図り、同様のラベリング制度の相互承認を追求することを支援する方針です。

IoT製品セキュリティについて同様のラベリング制度を運用しているドイツ、シンガポールなどその他の国家間の相互認証の動向、欧州のサイバーレジリエンス法案で提唱されているラベリング制度(CEマーク)との相互認証についても注目されます。

図表2 U.S. Cyber Trust Markプログラムを参考にPwC作成

まとめ

U.S. Cyber Trust Markプログラムにより、米国におけるコンシューマIoT製品セキュリティに関する政策は実行段階に入ったと言え、複数の大手小売事業者、製造者はU.S. Cyber Trust Markプログラムへのコミットメントをすでに表明しています。

U.S. Cyber Trust Markプログラムは、IoT製品サプライチェーン全体に影響を与えることでその実効性を担保していますが、その背景には米国のサプライチェーン強化戦略がにじみ出ています。

大手小売業者と競合他社の参加、FCC、CISAなどによる消費者のセキュリティ意識向上と対応済み製品の優先陳列奨励支援、司法省など規制当局によるU.S. Cyber Trust Markプログラムの実効性の保障など、米国連邦政府による積極的なバックアップ体制を踏まえると、IoT製品製造者は既に市場の力によってU.S. Cyber Trust Markプログラムへの対応を迫られていると言え、対応を急ぐ必要があります。

Biden-⁠Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers,2023年7月21日閲覧,
https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/18/biden-harris-administration-announces-cybersecurity-labeling-program-for-smart-devices-to-protect-american-consumers/

2 欧州サイバーレジリエンス法案(EU Cyber Resilience Act)概説~日本の製造業への影響と最低限押さえるべき要点~
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/eu-cyber-resilience-act.html

3 NATIONAL CYBERSECURITY STRATEGY,2023年7月21日閲覧,
https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf

Certification Mark – U.S. Cybersecurity Labeling Program for Smart Devices,2023年7月21日閲覧,
https://www.fcc.gov/cybersecurity-certification-mark

5 NIST,2020年,NIST Issues Guidance on Software, IoT Security and Labeling,2023年7月21日閲覧,
https://www.nist.gov/news-events/news/2022/02/nist-issues-guidance-software-iot-security-and-labeling

NIST,2020年,NIST Issues Guidance on Software, IoT Security and Labeling,2023年7月21日閲覧,
https://www.nist.gov/news-events/news/2022/02/nist-issues-guidance-software-iot-security-and-labeling

執筆者

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

エレドン ビリゲ

マネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

本ページに関するお問い合わせ