ホワイトハウスは今週、消費者がスマートデバイスでスパイ行為が行われていないことを確信できるよう、テクノロジー製品に対する自主的なサイバーセキュリティ・ラベリング・プログラムを導入した。
「ホワイトハウスは、エネルギー効率向上のためのEnergyStarラベルが果たした役割と同様に、米国の消費者を啓蒙し、こうした製品のサイバーセキュリティを消費者が簡単に評価できる手段を提供するとともに、企業がサイバーセキュリティに配慮した機器をより多く生産するよう奨励するために、超党派の取り組みを開始した」とホワイトハウスは述べた。
このプログラムは米国連邦通信委員会(FCC)の監督下にあり、UL Solutionsを筆頭に11社[PDF]によって運営されます。消費者向けワイヤレスIoT(モノのインターネット)デバイスのメーカーは、認定試験機関に製品のセキュリティコンプライアンス審査を申請できるようになります。
また、安全なソフトウェア開発とサプライチェーンの要件、セキュリティライフサイクルポリシー、脆弱性管理ポリシーなどを網羅するNIST定義のテスト基準[PDF]を満たす製品には、USサイバートラストマークとQRコードを表示することができ、デバイス所有者はこれを使用して、パスワードのリセット、セキュリティ、アップデートに関するオンライン製品情報を検索することができます。
ベスト・バイやアマゾンなどの販売業者は、このマークが付いた製品を目立たせると述べており、プログラムに参加するマーケティング上のインセンティブがある。
米国サイバートラストマークの異なるバージョンの画像 - クリックして拡大
魅力的なカラースキームで利用可能な米国サイバートラストマークは、IoTホームセキュリティカメラ、音声起動ショッピングデバイス、スマート家電、フィットネストラッカー、ガレージドアオープナー、ベビーモニターに重点を置いています。米国食品医薬品局(FDA)の規制対象となる医療機器、有線製品、自動車製品、産業用または企業向け製品、あるいはFCC Covered Listなどのその他のネットワークセキュリティ規制の対象となる機器は対象外です。
このプログラムは、コロニアル・パイプラインやソーラーウィンズを標的としたような大規模な攻撃を受けて、ホワイトハウスがサイバーセキュリティ強化のための大統領令を発令した2021年に始まりました。この大統領令では、政府当局に対し、消費者向けラベリングプログラムのためのIoTサイバーセキュリティ基準の策定などを求めていました。
- IoTのSはセキュリティを意味します。すべてのモノを安全にすることは不可能です
- ホワイトハウスは、インターネットの不安定な接着剤を修正する時期が来たと考えている:そう、BGP
- 一生懸命努力したが、サイバーセキュリティのすべてを解決できたわけではないと、退任する米国国家サイバーディレクターが認める
- FCC長官、中国製機器の「撤去・交換」資金のため、迅速な周波数オークションを要請
アマゾンのスティーブ・ダウナー副社長は声明の中で、アマゾンはこのプログラムを実行するために業界パートナーや政府関係者と協力することを楽しみにしていると述べた。
「Amazonは、コネクテッドデバイスに対する消費者の信頼を強化するという米国サイバートラストマークの目標を支持しています」とダウナー氏は述べた。「消費者は、製品パッケージとオンラインショッピングの両方で米国サイバートラストマークを見ることを高く評価するだろうと確信しています。」
米国のサイバートラストマークプログラムは「私たちの多くが家庭に持つインターネット接続デバイスの量に伴う問題をすべて解決するわけではないが、害になることは決してないだろう」と、US PIRGの消費者プライバシープログラムディレクター、RJクロス氏はThe Registerに語った。
このモデル全体の目的は、企業がセキュリティをより真剣に受け止め、社会への透明性を優先するよう促すことです。今や、多くの侵入やハッキングが発生しており、ほとんどの人がサイバーセキュリティの問題を認識していると言えるでしょう。ですから、人々が日常生活に持ち込むデバイスのセキュリティについてより多くの情報を提供することで、これまで以上にコントロールできるようになるでしょう。これは良いことです。
認証プログラムによってセキュリティの負担が消費者から製品メーカーに移るかどうかという質問に対し、クロス氏はそれが本当の疑問だと述べた。
「悪魔は細部に宿る」とクロス氏は述べた。「価値のあるプログラムは、包括的でなければならない。スマート洗濯機のハードウェアのセキュリティだけでなく、洗濯機から収集されたデータを企業が保管するクラウドのセキュリティも考慮する必要がある。」®
