消費者向けIoT製品および消費者向けソフトウェア製品のサイバーセキュリティラベリング

2022年02月04日、米国国家基準・技術機関（NIST）は、消費者向けラベリングプログラムのためのIoTサイバーセキュリティ基準と、消費者向けソフトウェアラベリングプログラムのためのセキュアソフトウェア開発プラクティスまたは基準を発表しました。この背景には、2021年5月12日に発令された「国家のサイバーセキュリティの向上に関する大統領令」（E.O. 14028）があります。

E.O. 14028

「国家のサイバーセキュリティの向上に関する大統領令」（E.O. 14028）では、IoT（Internet-of-Things）消費者向け機器のサイバーセキュリティ能力とソフトウェア開発の実践に関する2つのラベリングプログラムを開始するようNISTに指示を出していました。第4条では、NISTに対し、IoT機器のサイバーセキュリティ能力とソフトウェア開発手法について一般消費者を教育するための取り組みを検討する際に、既存の消費者向け製品のラベリングプログラムを考慮するよう指示しています。また、NISTは、メーカーや開発者がこれらのプログラムに参加するためのインセンティブを与える方法を検討することになっています。2022年2月6日までに、米連邦取引委員会（FTC）やその他の機関と連携して、NISTは以下を特定することが求められていました。

■　消費者向けラベリングプログラムのためのIoTサイバーセキュリティの基準
■　消費者向けソフトウェアのラベリングプログラムのための安全なソフトウェア開発手法または基準

NISTの基準案

NISTは、独自のプログラムを策定するのではなく、最低限の要求事項と望ましい属性の観点から、ラベリングプログラムの主要な要素を特定するアプローチをとっており、一つのサイズがすべてに適合するわけではなく、ラベルプロバイダーによって複数のソリューションが提供される可能性があるとしています。その方針としては次の項目が挙げられています。

■　実用的であり、メーカーや販売会社に負担をかけないこと
■　ユーザビリティを重要視すること
■　国内および国際的な経験に基づくこと
■　消費者にとって有用かつ効果的であると判断される限り、業界、業種、ユースケースを問わず、多様なアプローチとソリューションを許容すること

NISTは、2021年08月、IoT機器のセキュリティ基準のベースラインとなる可能性のあるドラフトを提案するホワイトペーパーをパブリックコメントとして発表し、同年09月14～15日にバーチャル・ワークショップを開催してステークホルダーからの意見を募っていました。10月には、消費者向けソフトウェアのサイバーセキュリティとラベリングの基準案について、11月には、消費者向けソフトウェアのサイバーセキュリティとラベリングの基準案について意見募集を行っていました。その後、12月にディスカッションペーパー「IoT製品のための消費者向けサイバーセキュリティ・ラベリング」を発表し、同月のワークショップで検討がなされていました。今回の基準案の公表はこのような背景に続くものとなります。

スコープ

では、基準の焦点となっているIoT機器とは何を意味するのでしょう？

勧告としての基準案では、次のように記載があります。

In the context of these labeling recommendations, an IoT product is defined as an IoT device and any additional product components that are necessary to use the IoT device beyond basic operational features.
ラベル表示にこれらの文脈において、IoT製品は、IoTデバイス、ならびに基本的な動作機能を超えてIoTデバイスを使用するために必要な追加の製品コンポーネントと定義されます。

Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products

このラベリングプログラムの実際の運用には「制度運用者（Scheme owner）」が必要であるとして、製品基準の調整、適合性評価要件の定義、ラベルと関連情報の作成、関連する消費者への働きかけと教育の実施に責任を負うと記載しているため、NISTの基準案は企業に直接規制がかかるものの、さらに一歩前段階の基本的な事項を定める位置づけと見込まれています。具体的には各規制当局や制度運用者として位置付けられる組織・団体の動向を注視する必要があると思われますが、その動きの背景となる情報として、本情報にも注意が必要となるでしょう。

なお、今後のスケジュールとして、NISTは、2022年05月12日までに、消費者向けIoT製品および消費者向けソフトウェア製品のサイバーセキュリティラベリングに関する総括報告書を発行する予定となっており、この報告書では、パイロット・プログラムや関連する問題について一般から寄せられた追加の意見を考慮するとしています。

ベースライン製品基準

製品基準は、IoT製品全体に適用するだけでなく、必要に応じて個々のIoT製品コンポーネント（IoTデバイス、バックエンド、コンパニオンアプリなど）にも適用することが推奨されています。例示されている基準項目には次のものがあります。

■　資産の識別（Asset Identification）：

　IoT製品を一意的に識別し、IoT製品のすべてのコンポーネントをインベントリ化。

■　製品の構成（Product Configuration）：

　IoT製品の構成は変更可能であり、安全なデフォルト設定を復元する機能があり、あらゆる変更は許可された個人、サービス、およびその他のIoT製品コンポーネントによってのみ実行可能。

■　データ保護（Data Protection）：

　IoT製品とそのコンポーネントは、（すべてのIoT製品コンポーネントにわたって）保存され、（IoT製品コンポーネント間およびIoT製品外の両方で）送信されるデータを、不正なアクセス、開示、および変更から保護する。

■　インターフェースのアクセス制御（Interface Access Control）：

IoT製品およびそのコンポーネントは、ローカルおよびネットワークインターフェース、ならびにこれらのインターフェースで使用されるプロトコルおよびサービスへの論理的なアクセスを、許可された個人、サービス、およびIoT製品コンポーネントのみに制限。

■　ソフトウェアの更新（Software Update）：

すべてのIoT製品コンポーネントのソフトウェアは、許可された個人、サービス、および他のIoT製品コンポーネントによって、各IoT製品コンポーネントに適切な、安全で設定可能なメカニズムを使用してのみ更新することができる。

■　サイバーセキュリティの状態把握（Cybersecurity State Awareness）：

IoT製品は、IoT製品のコンポーネントやそれらが保存・送信するデータに影響を与える、または影響を受けるサイバーセキュリティインシデントの検知をサポートする。

■　文書化（Documentation）：

IoT製品の開発者は、顧客が購入する前に、また製品の開発とその後のライフサイクルを通じて、IoT製品とその製品コンポーネントのサイバーセキュリティに関連する情報を作成、収集、保管する。

■　情報とクエリの受信（Information and Query Reception）：

IoT製品の開発者が、サイバーセキュリティに関連する情報を受け取り、顧客などからの問い合わせに対応する能力。対応する能力。

■　情報発信（Information Dissemination）：

IoT製品の開発者は、サイバーセキュリティに関連する情報をブロードキャスト（一般向けなど）および周知（顧客やIoT製品エコシステム内の他者向けなど）する。

■　製品教育と意識向上（Product Education and Awareness）：

IoT製品の開発者は、IoT製品およびその製品コンポーネントに関連するサイバーセキュリティ関連情報（考慮事項や特徴など）について、IoT製品のエコシステム内の顧客やその他の人々の認識を高め、教育を行う。

NISTは、すべての基準をすべてのIoT製品に適用することを推奨していますが、一部のコンポーネントは、すべての基準をサポートできない、またはサポートする必要がない場合があることも認識されています。

ラベル表示

NISTは、IoTサイバーセキュリティラベルには、バイナリーラベル（製品がベースライン基準を満たしていることを示す単一のラベル）を採用することを推奨しており、以下のいずれかをラベルに記載し、消費者をオンラインでの追加詳細情報に導くというレイヤーアプローチと組み合わせることを推奨しています。

■　URL（例えば、シンガポールのサイバーセキュリティ・ラベル[SINGAPORE]に含まれているもの）であり、ソース・ドメインに容易に帰属しない短縮URLではない。）
■　スキャン可能なコード（例：QRコード）

ラベルについては、購入前、購入時、購入場所（店頭またはオンライン）、および購入後に消費者が入手できるようにする必要があり、必要に応じて物理的なフォーマットとデジタルフォーマットの両方をサポートする柔軟性を持つべきとされています。

ほか、詳細事項は基準案をご確認ください。

※上記情報は、IoT機器およびサイバーセキュリティについてのラベル表示勧告について取り上げました。ソフトウェア・ラベリングプログラムについては当該基準案をご確認ください。

参考

■　NIST
■　基準案：IoT cybersecurity criteria for a consumer labeling program／NIST
■　基準案：Secure software development practices or criteria for a consumer software labeling program.／NIST