{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
ネットワークに接続されることで利便性を発揮するIoT製品が消費者の生活に深く根ざしつつあります。それに伴って、IoT製品の製造者などに、ネットワークを介して発生するサイバー脅威から製品を守ることが求められるようになってきました。しかし、IoT製品セキュリティは現在進行形で整備が進められている領域で、世界共通のプラクティスは確立されていません。目下は、自社が製品を展開する地域の関連する規制を把握し、着実に対応していくことが必要とされます。各地域の法規制を理解せずに場当たり的な対応を行えば、出荷後に予期していなかった製品のアップデートが必要になるなど後手に回ることが懸念されます。当記事ではIoT製品のセキュリティを考えるきっかけとして、先進的な市場の1つである米国における主要なIoT製品セキュリティ関連の規制とガイドラインを紹介し、米国市場に製品を販売する企業が押さえるべきポイントを示します。
米国のIoTセキュリティ関連規制の構造
米国におけるIoTセキュリティに関連した規制を理解する上では、連邦法と州法の違いを理解することが重要です。連邦法は、主に米国全体や連邦政府機関などを対象とした法令を含みます。IoTセキュリティに関する現時点での米国連邦法のアプローチでは、連邦政府の調達行為をてこに調達対象製品のセキュリティを強化しています。消費者IoT製品のセキュリティに関しても、企業に対してハードロー的な義務の強制を行うのではなく、マーケットの力を利用して製品のセキュリティを強化する傾向にあります。具体的には、連邦政府機関が調達するIoT製品が満たすべきセキュリティ要件の設定や、米国市場に販売されるIoT製品向けのセキュリティ水準を保証するラベリング制度などを整備することで、企業が自主的にIoT製品のセキュリティを向上させるようなアプローチを取っています。これは、一般に政府による企業活動への過度な介入を好まない米国的なアプローチともいえます。
一方、企業は連邦法とは別に各州で適用される州法についても内容を把握する必要があります。現時点で製品のセキュリティに関して施行されている代表的な州法としては、カリフォルニア州とオレゴン州のIoTセキュリティ法が挙げられます。いずれも、各州で販売または提供されるIoT製品の製造者を主な規制対象とする法令です。先に言及したIoTセキュリティに関連した連邦法とは異なり、製造者などに対して製品セキュリティ上の義務を直接定めている点に注意が必要です。
このような連邦法と州法の位置づけを踏まえた上で、以下において主要な規制・ガイドラインについて対象とセキュリティ要件を概観します。
図表1:米国における主要なIoTセキュリティ関連規制・ガイドライン
当記事で扱う規制の一覧を示す。
| カテゴリ | No. | 規制・ガイドライン名 | 対象 | 概要 |
| 連邦法 | 1 | IoTサイバーセキュリティ改善法に基づくガイドライン |
|
|
| 2 | 国家のサイバーセキュリティ改善に関する大統領令に基づくラベリング制度 |
|
|
|
| 州法 | 3 | カリフォルニア州IoTセキュリティ法 |
|
|
| 4 | オレゴン州IoTセキュリティ法 |
|
|
出典:公開情報を基にPwCが作成
米国における主要な規制―連邦法
1. IoTサイバーセキュリティ改善法に基づくガイドライン―NIST SP 800-213と関連する文書群*1
A)概要と対象
米国連邦政府のデジタル化を積極的に推進しつつもセキュリティの水準を担保する必要があるという問題意識を背景に、2020年に「IoTサイバーセキュリティ改善法(IoT Cybersecurity Improvement Act of 2020)」が成立しました。IoT機器の製造者などに関わるポイントとしては、米国国立標準技術研究所(NIST)に対する指示が挙げられます。当法では、政府機関が所有あるいは管理する情報システムに接続されたIoT機器をセキュアに使用・管理するためのガイドラインの作成をNISTに指示しています。
指示に基づき、2021年11月に米国立標準技術研究所(NIST)がNIST SP 800-213文書群を公表しました。NIST SP 800-213文書群は、連邦政府機関がIoT機器を調達する際に調達先に求めるべき要件を示しています。対象はあくまで連邦政府機関ですが、政府機関向けにIoT製品を供給する製造者などは当ガイドラインへの準拠が求められる可能性があります。ただし、当ガイドラインはあくまでも参照すべき事項の1つであって、実際の契約においては個別の要求が為されうることに留意ください。
B)セキュリティ要件
NIST SP 800-213文書群においては、具体的なセキュリティ要件は示されておらず、NIST IR 8259文書群を参照する形式をとっています。当節では、IoT機器製造者向けのセキュリティ要件を考える上で特に重要と想定されるNIST IR 8259A・Bが提示する主要な項目を整理します。Aが図表2の技術要件に、Bが非技術要件に対応しています*2。NIST IR 8259のドラフト段階では、顧客ニーズを踏まえたセキュリティプロファイルの作成に関する文書であるCと、連邦政府がIoT機器を調達する際の最低限のセキュリティ要件に関する文書であるDも検討されていました。しかし、最終的にNIST IR 8259のC・DのドラフトはNIST SP 800-213文書群に引き継がれました。
2. 国家のサイバーセキュリティ改善に関する大統領令に基づくラベリング制度*3
2021年にバイデン政権から米国のセキュリティ水準向上を目的とした「国家のサイバーセキュリティ改善に関する大統領令(Executive Order on Improving the Nation’s Cybersecurity)」が公表されました。当大統領令において、NISTに対してIoT製品向けのセキュリティラベリング制度の検討が指示されました。この背景には、ラベルによって消費者が容易にIoT製品のセキュリティ水準を評価できるようにすることで、製造者がセキュリティ水準の高い製品を志向するように動機づけられるという想定が存在します*4。
2022年2月にNISTからホワイトペーパー「消費者向けIoT製品向けのサイバーセキュリティラベリング制度に推奨される基準(Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products)」が公表されました。同ホワイトペーパーは、消費者向けIoT製品向けのセキュリティラベリング制度を実施する際に、ラベルを付与される製品が満たすべきセキュリティ要件などを整理した文書です。同ホワイトペーパーは前節で紹介したNIST IR 8259A・Bを参考にしており、IoT製品に推奨されるセキュリティ水準のベースラインについても大きな違いはありません。
関連するNISTの取り組みとして、消費者向けIoT製品セキュリティに関するガイドラインとして2022年9月に公表されたNIST IR 8425があります。こちらについてもホワイトペーパーの要件が引き継がれており、製品セキュリティ要件に関してNIST IR 8259A・Bと大きな差異はありません。今後の連邦政府における取り組みは、NISTが近年進めてきたこれらの検討に基づく、あるいは少なくとも関連したものとなると想定されます。現在整備が進んでいるIoT製品のセキュリティラベリング制度であるU.S. Cyber Trust Markについても、NIST IR 8425などと基本的な方向性を共有するセキュリティ要件が設けられると見込まれます*5。
米国における主要な規制―州法
1. カリフォルニア州IoTセキュリティ法*6
A)概要と対象
代表的なIoT製品のセキュリティに関する州規制の1つとして、カリフォルニア州IoTセキュリティ法が挙げられます。同法はカリフォルニア州で販売あるいは提供されるIoT製品の製造者を主な対象としています。同法は2018年にSB-327として成立し、2022年にAB-2392として改正されました。
同法の2022年の改正において重要なのは、NISTのホワイトペーパー「消費者向けIoT製品向けのサイバーセキュリティラベリング制度に推奨される基準」、あるいはその後継となる文書の要件を満たすことによって、AB-2392の要件を満たしているとみなすことを定めた点です。前節でも述べたように、同ホワイトペーパーと現在導入に向けた準備が進められているU.S. Cyber Trust Markの要件は大きな差異が生じないことが見込まれており、今後はU.S. Cyber Trust Markの取得によってカリフォルニア州IoTセキュリティ法への対応が効率化できる可能性があります。
B)セキュリティ要件
カリフォルニア州IoTセキュリティ法のセキュリティ要件は、図表3のように整理されます。図表3でいう「NISTラベリング制度」とは、前章で紹介したホワイトペーパー「消費者向けIoT製品向けのサイバーセキュリティラベリング制度に推奨される基準」を指しています。要件の大枠としては「図表2:NIST IR 8259A・Bにおけるベースライン要件」とほぼ同様のため、併せてご参照ください。または、NIST IR 8425によって要件を満たすことが考えられます。
2. オレゴン州IoTセキュリティ法*7
オレゴン州IoTセキュリティ法(HB-2395)も、カリフォルニア州法と同様にオレゴン州で販売あるいは提供されるIoT製品の製造者を主な対象としています。対象事業者に求められる義務についてもカリフォルニア州法と大きな違いはありません。ただし、カルフォルニア州法におけるNIST関連規格のような参照すべきガイドラインが明示されていないために、セキュリティ要件が不明確である点や連邦法との調整については注意が必要です。
企業が押さえるべきポイント
米国におけるIoT製品関連の規制に対応する上では、連邦政府と州という区分が重要なポイントです。連邦政府が政府調達*8、またはラベリング制度のような市場の力を介した間接的なアプローチを採る一方で、州単位で見るとカリフォルニア州法のような製造者に直接義務を課す法律が存在します。米国におけるIoT製品の展開を考える際は自社のビジネス範囲を考慮した上で適用される規制は何かを特定し、それぞれの規制への対応を都度検討していく必要があります。
一方で、カリフォルニア州が米連邦政府が定めるラベリング制度のセキュリティ要件を州法に取り込んだことが象徴するように、今後米国のIoT製品セキュリティ向上に向けた取り組みがある程度標準化されていくことも想定されます。そのため、最初のステップとして現在整備が進んでいるIoT製品のセキュリティラベリング制度であるU.S. Cyber Trust Markへの準拠を目指し、その上で自社のIoT製品の販売戦略上のニーズに応じて各州の法規制に対応していくという2段階のアプローチが効率的であると考えられます。2024年5月現在では同ラベリング制度の要件は確定していないため、同制度が参照することが想定されるNIST IR 8425などのガイドラインを参照しつつ、自社のIoT製品ライフサイクル全体において現状と求められる水準のギャップを特定して対応していくことが有用です。
*1 NIST SP 800-213 IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements、2024年4月26日閲覧
https://csrc.nist.gov/pubs/sp/800/213/final
*2 NIST IR 8259
Foundational Cybersecurity Activities for IoT Device Manufacturers、閲覧日2024年4月26日
https://csrc.nist.gov/pubs/ir/8259/final
*3 NIST CSWP 24
Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products、2024年4月26日閲覧
https://csrc.nist.gov/pubs/cswp/24/criteria-for-cybersecurity-labeling-for-consumer-i/final
*4 Statement by NSC Spokesperson Adrienne Watson on the Biden-Harris Administration’s Effort to Secure Household Internet-Enabled Devices、閲覧日2024年4月26日
https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/20/statement-by-nsc-spokesperson-adrienne-watson-on-the-biden-harris-administrations-effort-to-secure-household-internet-enabled-devices/
*5 『IoT製品サイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」、米国の方針』、閲覧日2024年4月26日
*6 AB-2392 Information privacy: connected devices: labeling.、閲覧日4月26日
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202120220AB2392
*7 House Bill 2395
*8 当記事の「米国における主要な規制―連邦法」で言及したように、連邦政府によるIoT機器調達については当事者間の契約であるため、NIST SP 800-213を満たすのみならず、ほかの追加要件もありうる点に注意が必要です。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
