推測されやすい「初期パスワード」を禁止する法案が施行へ、IoT機器のセキュリティ向上を目指す

By Christoph Scholz

ウェブに接続する機器のセキュリティ強化を狙った新しい法案がアメリカのカリフォルニア州で成立し、2020年に施行されることになりました。新たな法律では電子機器メーカーがデバイスに共通の初期パスワードを設定することを禁じ、機器ごとに異なるパスワードを設定するか、利用者が使用前に独自のパスワードを設定することが義務づけられます。

California just became the first state with an Internet of Things cybersecurity law - The Verge
https://www.theverge.com/2018/9/28/17874768/california-iot-smart-device-cybersecurity-bill-sb-327-signed-law

California’s internet of things security bill.
https://slate.com/technology/2018/09/californias-internet-of-things-security-bill.html

施行が決まった法案「SB-327」は2017年に提出されていたもので、2018年8月に州議会上院を通過し、ジェリー・ブラウン州知事が署名したことで2020年1月1日に発効します。実際の施行後は、インターネットに直接的または間接的に接続するデバイスの製造業者は、不正なアクセスや内容の変更、情報漏えいを防ぐための「合理的な」セキュリティ機能を販売する機器に備える義務が生じます。

この結果、メーカーはデバイスに初期パスワードを一律で設定することができなくなり、製品の出荷段階で全ての機器に固有のパスワードを設定するか、製品を入手したユーザーが実際に使用する前の段階でパスワードを設定することを強制させる義務が発生します。これによって、悪意のあるクラッカーが推測しやすいパスワードが、街の至る所で使われる事態を避けることが目指されているとのこと。

By Mack Male

多くの機器がインターネットにつながるようになり、IoT機器が今後爆増するとみられる中において、今回の法律は重要なものといえます。ところが、称賛する声が挙がる一方で「内容が漠然としている」と批判的な見方を示す人物も現れています。サイバーセキュリティの専門家、ロバート・グラハム氏は最も厳しい見方を示す評論家の1人で、「悪意のあるものを取り除く代わりに『良い』機能を追加することばかりに焦点を当てており、セキュリティ上の問題を後退させている」と主張しています。

一方、ハーバード大学のブルース・シュナイアー特別研究員をはじめとする人たちは、法案について「まだ十分なものであるとはいえないかもしれないが、議会を通過させない理由はない」と、今後に向けた優れた第一歩であると評価しています。

今回の新法はあくまでカリフォルニア州内に限定されたものですが、州内でデバイスを販売しているメーカーの製品が各地に広まることで、次第に各地のユーザーにもその良い影響が広まるものと考えられています。

By Richard Parmiter