米国議会は時折、その職務を遂行するが、昨日はそんな日の一つだった。上院は新たな IoT サイバーセキュリティ法案を可決し、下院もこれを承認し、今後は大統領の机に送られることになる。
3 月に IoT サイバーセキュリティ改善法案が導入されたときに指摘したように、この法案は実はかなり優れています。この法案では、米国国立標準技術研究所 (NIST) に IoT デバイスのガイドラインを作成するよう求め、連邦政府機関には新しい規則を満たした企業からのみ製品を購入するよう義務付けます。
この報告書は、最低限考慮すべき事項として、セキュアコード、ID管理、パッチ適用、構成管理を挙げています。また、連邦政府機関の製品や通信機器を調達する連邦政府機関である一般調達局に対し、各機関に対し、セキュリティ上の脆弱性の詳細とその解決方法を報告・公表し、他の機関と連携することを求めるガイドラインを策定するよう求めています。
あまり驚かないでください。しかし、これらの政治家はIoTセキュリティに関して実際に行動を起こしているようです。
続きを読む
業界もこの取り組みを支援しており、Symantec、Mozilla、BSA The Software Alliance(Apple、Microsoft、IBM、Cloudflare、CTIAなどを含む)が参加している。また、議会は、標準規格の作成を専門家に任せ、連邦政府の調達を利用して事実上の業界標準規格を作成することで、自分たちが全く知らない事柄に介入しないように努めている。
もちろん、完璧ではありません。企業は依然として新しい基準を満たさない製品を製造できるため、消費者向けに低価格で安全でない製品が流通し続けることになり、サイバーセキュリティがIoT(モノのインターネット)の大きな問題であり続けることはほぼ確実です。そして、新たなセキュリティホールに対処するためにデバイスをどのように、いつアップデートするかという根本的な問題に、法律は取り組んでいません。
しかし、この新しい法律は、良質で安全な製品を求める人々にとって、業界全体にわたる基本基準が存在することを意味します。
良い第一歩
この法案は上院で全会一致で可決され、数百万から数十億のデバイスをインターネットに接続し、その多くがセキュリティが不十分であるというこの重大な問題に関する最大の法案となる。
大統領が署名すれば、来年から発効することになる。NISTの勧告が9月までに出されるという当初の予定は、議会が得意とする、つまり自らを議論して停滞させたせいで、大幅に遅れてしまったのだ。
しかし、この法案が可決されたことは喜ばしいことだ。連邦政府による全国的なアプローチは、一連の州法よりも効果的となるだろう(カリフォルニア州とオレゴン州はどちらもすでに IoT セキュリティ法案を可決している)。
これは完全な解決策ではありません。前述の通り、連邦政府以外の企業や関係者は、新基準を満たす製品を製造または購入する必要はありません。そのため、市場は安全でないIoTデバイスを大量に生産し続け、ボットネットやDDoS攻撃、データ窃盗などの大きな脅威を生み出すことになります。
しかし、これは安全なIoTを実現するための重要な第一歩です。もしかしたら、議会が再び私たちを驚かせ、新しい基準を満たす製品の購入の重要性を訴え、促進するためのリソースを確保するかもしれません。さあ、夢を見ましょう。®
