{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
英国が検討を進めてきた「製品セキュリティおよび通信インフラストラクチャ法規制」(Product Security and Telecommunication Infrastructure Bill:PSTI法)は、Royal Assent(国王裁可)の手続きが完了し、2022年12月7日に成立しました*1。
そこで本稿では、これまでの英国の製品セキュリティに対する取り組みを振り返りつつ、PSTI法に対して製品メーカーはいつからどのような対応をする必要があるか解説します。
英国政府は製品セキュリティに関して、ガイドラインを策定した後にその標準化を経てPSTI法の成立に至る過程を踏んできました。
IoT普及の勢いを削ぐような大きなインパクトをもたらしたDDoS攻撃マルウェア"Mirai"の出現を受け、英国はコンシューマ向けコネクテッド製品のメーカーに対応を求めたガイドライン"Code of Practice for Consumer IoT Security"*2を2018年に取りまとめました。これはセキュリティに関する世界のさまざまな文書をレビューし*3、Code of Practice(行動規範)として13箇条にまとめています。この行動規範を発出する際、英国は製品メーカーに対して、セキュリティ対応するメーカーが増えていかないようであれば法規制も辞さないとの姿勢を打ち出し、この行動規範に準じて製品のセキュリティ対応を行うよう促しました。また、この行動規範を世界各国のメーカーに届けるため、日本語、フランス語、ドイツ語、韓国語、中国語などへ多言語翻訳し*4、多くの地域からレビューコメントを集める対応を取りました。その後英国と緊密に連携し、ETSIは13箇条を盛り込んだETSI技術仕様TS 103 645を2019年に発行し、さらに2020年にそれを欧州標準EN 303 645*5として発行しました。
また、Code of Practiceが欧州標準になった後の2020年10月にPSTI法案が提示され、2021年11月に発表されたファクトシート*6ではCode of Practice 13箇条の冒頭の3つの要件が製品セキュリティ要件として提示されました。
今回成立したPSTI法の文面には明確なセキュリティ要件や経過措置の期間などは明記されておらず、その具体化については担当国務大臣(デジタル・文化・メディア・スポーツ相)に委ねられた形で記載されています。また、英国市場へ上市するための要件に対するコンプライアンス宣言や違反時に科せられるペナルティ(1,000万ポンド、もしくは製造者の直近の会計年度の全世界の総売上の4%の多い額)も明記されました。この点は、先日ご紹介した欧州Cyber Resilience Actと似ています。
2021年11月にデジタル・文化・メディア・スポーツ省が発表したファクトシートに基づくと、PSTI法におけるセキュリティ要件は、少なくとも以下の3つと見込まれます。1つは製品自体のセキュリティ機能要件ですが、残る2つは製品メーカーの製品のセキュリティサポートに対する要件です。
この要件は、製品へのアクセス認証パスワードに関する要件となります。メーカーに対して機器固有のパスワード設定で出荷するか、製品を使用する前にユーザが強固なパスワードを設定しなければ使い始められない仕様とすることを求めています。表現は違いますが、米国のカリフォルニア州法や、日本の総務省の技術適合要件と同様と考えてよいでしょう。
この要件は、メーカーのセキュリティ対応体制に対する要件となります。外部の研究者などが脆弱性を報告する方法を明確化し、市場からのフィードバックを受けられるようにすること、また脆弱性開示ポリシー(脆弱性情報受領から問題解決までの対応時間や報告アップデートなど)を開示することを求めています。つまり、実質的に製品出荷後のセキュリティ対応体制(PSIRT: Product Security Incident Response Team)を整備することが求められます。
この要件は、メーカーの製品サポートポリシーに対する要件であり、製品がセキュリティサポート(セキュリティ問題に対する案内や修正アップデート)を受けられる最低期間やサポート終了期間を明示することが求められています。これまで多くのメーカーは、例えば製品の機能保証期間を1年、部品保守期間を出荷後10年などと定めてきたと思いますが、これに加えて、セキュリティの保守対応期間を新たに決める必要があります。もちろん、無償提供することまでは求められていないので、有償での保守対応で問題ありませんが、保守部品を在庫することとは違って、製品を改修できるように、出荷後の脆弱性問題に対処するソフトウェア保守体制の整備が必要となります。
対象となる製品は、インターネットもしくはネットワークにつながる製品とされていますが、法律の文面上は具体的に明示されていません。前述のファクトシートによると以下の製品となりますが、これらに限られないとされています。
対象外とされているのは、既にセキュリティ要件の決まっているスマートメーターや、自動車および電気自動車用チャージステーション、医療機器、産業用制御機器類などです。
対象者は、以下となります。
PSTI法の施行時期は、経過措置についても担当大臣に委ねられていますが、ファクトシートでは「最低12カ月の対応準備期間を提供する」とされています。したがって、早ければ2023年12月には施行されますので、対応に向けた体制整備の準備期間は残り少なくなっています。
今回成立したPSTI法は、セキュリティ要件などが不透明ながら、検討段階の内容を踏まえれば、製品メーカーに対してセキュリティ対応の意識改革を求める法規と言えるでしょう。実際に、製品のセキュリティ強靭性に対しては多くを求めておらず、むしろ機器固有パスワードを設定する程度で、設計仕様に大きく影響を与えないように配慮されていると言えます。一方、製品メーカーに対しては、脆弱性情報の受け付け窓口を設置したり、脆弱性の修正アップデートおよび対処した脆弱性情報を提供したりするなど、製品出荷後のセキュリティ対応の保守体制の構築を求めています。この法規を通して英国は、コネクテッド製品のセキュリティ品質に対する責任の所在を明確にしており、今後その責任範囲が要件により明確化されると思われます。
また本法に限らず、ほかにも製品セキュリティに関するさまざまな法規や標準等の策定が進んでいます。製品メーカーはビジネスを考えている国や地域の製品セキュリティに関連する情報を収集し、最新の法規や標準等の内容・趣旨を踏まえて、製品セキュリティの取り組みを構築・高度化していく必要があります。