2024年の「U.S. Cyber Trust Mark」開始に向け、米国市場にスマートデバイスを販売するメーカーがとるべき対応

2023-09-01

前回はU.S. Cyber Trust Markの概要を紹介しました。本稿では、このCyber Trust Markの導入により、米国市場の消費者が製品のセキュリティに一層の関心を持ち、スマートデバイスを購入する際に製品のセキュリティ品質を検討するような市場が米国主導で形成されるとき、米国市場で事業を展開する製造者が考慮すべきポイントを解説します。

IoT製品のセキュリティ品質表示による購買行動の変化

サイバーセキュリティ・インフラセキュリティ庁を含むバイデン政権は、消費者が購入を決定する際に、U.S. Cyber Trust Markのセキュリティ認証ラベルを探せるように連邦通信委員会（FCC）を支援し、米国の大手小売業者がラベル付き製品を優先的に陳列棚やオンラインサイトに並べるよう奨励していく方針を明らかにしました^*1。

米国政府および米国標準技術研究所（NIST）は、省エネ型電化製品の消費電力性能を示すEnergy Starマークにより省エネ製品が普及した過去の成功事例に倣い、今回のUS Cyber Trust Markを普及させ、セキュリティ品質の高い製品の普及を目指しています。セキュリティ品質の低い製品は、自然と消費者が選択せず市場から淘汰されることを期待し、IoT製品のメーカーには積極的にセキュリティ品質表示をすることで競争を促し、消費者もセキュリティ品質の高い製品への購買行動をとる環境を整えていくことがこのプログラムの狙いです。

米国市場でコンシューマー製品を販売しているメーカーは、2024年開始とされるタイミングで、このU.S. Cyber Trust Markを付して販売できるよう、次に述べるラベル取得要件と国際的なIoTセキュリティラベルの動向の把握を進めておく必要があるでしょう。

ラベル取得要件について

今般のUS Cyber Trust Markプログラムの開始発表時点では具体的な要件やラベルの取得プロセスはまだ明確にされていませんが、ラベル認証要件については、NISTが2022年9月にまとめたNISTIR 8425^*2がベースになるでしょう。NISTIR 8425に記載されている主な要件は以下の通りです。

IoT製品のセキュリティ能力：

ユニークID：IoT資産管理のために必要な能力
- ユーザーまたは許可される対象^※1が、個々のIoT機器および構成されるコンポーネントを識別でき、最新の状態を維持できること
製品設定機能：ユーザーの想定するリスクに基づき、既知や特定の脅威やリスクを回避するために必要な能力
- IoT機器やコンポーネントの構成設定を変更でき、安全なデフォルト設定（初期化ではない）に復元でき、関係するコンポーネントに設定を適用できること
データ保護機能：IoT製品の扱うデータの機密性、完全性、可用性を維持するために必要な能力
- IoT機器やコンポーネントは、保存するデータを安全な手段で保護し、保存したデータを削除またはアクセス不能にでき、コンポーネント間または製品の外部にデータが送信される場合、送信するデータを保護する機能があること
アクセス制御機能：IoT製品へのすべてのインターフェース（内部および外部）への不正なアクセスや変更を防止するために必要な能力
- 各IoT製品コンポーネントは、すべてのインターフェース^※2へのアクセス、およびすべてのインターフェースからのアクセスを制御でき、アクセス制御機能の保護や保守の機能を持つこと
ソフトウェアアップデート：ソフトウェアを安全な状態に維持するために必要な能力
- 各IoT製品コンポーネントは、事前検証済みのソフトウェアアップデートを受信、検証および適用でき、ソフトウェアを最新の状態に保つための措置をとること
セキュリティ状態の記録機能：ユーザーが想定通りの動作ではないことや開発者の意図していない動作であることを認識するために必要な能力
- IoT製品は、各コンポーネントおよびそれらが保存・送信するデータに影響を及ぼす、または影響を受けるサイバーセキュリティインシデントを検出するために使用できる、IoTコンポーネントの状態に関する情報を安全に取得し記録できること

※1：利用を許されているユーザーの家族やアクセスが許可されている管理システムやコンポーネントのこと

※2：外部からアクセス可能かどうかに関係なく、ローカルインターフェース、ネットワークインターフェース、プロトコル、サービスなど

IoT製品開発者の非技術的セキュリティ能力：

ドキュメンテーション（文書作成・収集・保管）：IoT製品開発者がIoT製品のサイバーセキュリティの状況を知るために必要な能力
- 製品の開発とその後のライフサイクル全体を通じて、IoT製品とその製品コンポーネントのサイバーセキュリティに関連する情報を作成、収集、保存すること（想定する利用ケースや環境、関連するコンポーネント、保守の要件、脆弱性対応ポリシーなど）
脆弱性情報・問い合わせの受付：IoT製品のサイバーセキュリティ品質向上のために必要な能力
- 顧客やIoT製品エコシステム内の他者（顧客の代理を務める修理技術者など）からメンテナンスおよび脆弱性情報（バグ報告機能やバグ報奨金プログラムなど）を受け取るための連絡先を提供すること
- IoT製品および／またはそのコンポーネントのサイバーセキュリティについて、IoT製品エコシステム内の顧客や他のユーザーからの問い合わせを受信し、それに応答できること
情報提供：IoT製品やコンポーネントに対する脅威や緩和策が変化する中、ユーザーがIoT製品を安全に使用する方法を得るために必要な能力
- ライフサイクル全体にわたりIoT製品やコンポーネントのサイバーセキュリティ関連の情報やイベントについてさまざまなメディアを通じてユーザーや一般、適切なエコシステムの関係者（例: IoT製品コンポーネントの製造業者および／またはサポートエンティティ、共通の脆弱性追跡機関、認定機関および認証機関、サードパーティのサポートおよびメンテナンス組織）に警告できること
教育と啓発：IoT製品市場にとってサイバーセキュリティで最良の結果をもたらすために必要な能力
- ユーザーのサイバーセキュリティの認識を高めるため、IoT製品とその製品コンポーネントのサイバーセキュリティに関連する情報について、教育を提供できること

このように、IoT製品に必要な技術的要件と、IoT製品開発者に必要な体制面の要件があります。現在、欧州で検討されている欧州サイバーレジリエンス法案（CRA）の適合要件とは完全に一致するものではありませんが、製品セキュリティの主要な取り組み（設計時からのセキュリティ機能の考慮や実装、それらの文書化、脆弱性情報の受付や開示といった脆弱性対応体制など）は共通で、NISTIR 8425のほうがより具体的で分かりやすく記載されています。

IoT製品のセキュリティ能力はIoT製品の設計時に考慮すべき機能要件として、IoT製品開発者の非技術的能力はメーカーが製品セキュリティ対応体制として装備すべき機能要件として取り込み、実装するとよいでしょう。

なお、同じ製品を米国政府関係機関にも納入する可能性がある場合は、NISTが別途整備した調達標準要件NIST SP800-213^*3にある要件の確認も必要となります。これは、NISTIR 8425の基となったNISTIR 8259A^*4および8259B^*5を参照しているので、要件の考え方に大きな違いはありません。また、2022年9月にカリフォルニア州は、NISTのまとめたホワイトペーパー「Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products」^*6を参照し、この要件に合致しているものは順法とみなす修正法AB2392を出しています。このホワイトペーパーも後にNISTIR 8425に要件は引き継がれているので、実質同じ要件セットとなっています。

国際的なIoTセキュリティラベルの動向について

米国政府は、今後、国際的なラベル認証要件のハーモナイゼーション（協調）を取っていくことも表明しています。上記のラベル認証要件は、FCCや国務省が表明している国際的なハーモナイゼーション活動の中で調整されていく可能性があるため、IoT製品のセキュリティラベルに関する海外の動向についても追跡が必要でしょう。

国際的に議論されているIoTセキュリティ認証プログラムの例：

以下に示す事例は、IoTセキュリティ認証プログラムとしてすでに市場に展開されているものや国際的に議論されている注目すべきものです。

ETSI EN 303 645（Cyber Security for Consumer Internet of Things: Baseline Requirements）^*7
- 英国が提唱したコンシューマーIoTセキュリティの行動規範13か条^*8の考え方を基に欧州電気通信標準化機構（ETSI）がまとめた標準で、多くの認証組織がこの標準要件を基にプライベート認証プログラムを提供しています。検証要件としてETSI TS 103 701（Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements）^*9が用意されており、積極的な中国や韓国のベンダーは製品認証を取得しています
CSA Cybersecurity Labelling Scheme (CLS)^*10
- シンガポール政府のサイバーセキュリティ機関（CSA）が策定したIoTセキュリティラベル認証プログラムです。ETSI EN 303 645をベース要件としながら、ソフトウェアのバイナリー解析やペネトレーションテストを加えることで認証レベルを上げていく内容としています。
- すでにフィンランドやドイツと相互認証関係を構築しており、早期に国際展開を図ったプログラムです。
ISO/IEC AWI 27404（Cybersecurity labelling framework for consumer IoT）^*11
- 新しい検討アイテムとして承認され、ドラフト策定中ですが、IoTセキュリティに関する国際標準の議論も進んでいます。シンガポールが提案した国際標準で、まだ内容は明らかではありませんが、前述のCSA CLSを踏襲した内容になるものと推察されます。

2022年までのNISTによるラベル認証要件の検討段階で、国際ハーモナイゼーションの重要性を指摘する声が多く上がっていました。したがって、先行している認証プログラムの要件セットとまったく異なるものになるとは考えにくく、比較しながら検討が進むでしょう。

一方、日本でも経済産業省が2022年度より産業サイバーセキュリティ研究会のWG3として「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」^*12を立ち上げ、IoT製品の認証の在り方について議論が始まっています。この検討にはPwCコンサルティングも本年度より参画し、海外とハーモナイゼーションそして相互認証できる制度づくりに貢献していく予定です。

2024年後半に開始されることが表明されたU.S. Cyber Trust Markは、認証取得は任意ではありますが、製品セキュリティ品質が一定水準以上であることを消費者に訴求する手段として注目されており、米国では対応済み製品の優先陳列奨励支援が検討されるなど、積極的に推進されることになります。PwCでは、米国で製品展開するIoT製品メーカーの皆様が、早期にラベル認証取得できるよう、どのように海外の他のラベル認証要件と協調していくか、具体的な要件や認証プログラムの手続きなど今後の動向を注視し、適宜報告してまいります。