バイデン政権がIoTデバイス向けの新しいセキュリティ基準準拠ラベル「USサイバートラストマーク」を発表

一定の安全基準を満たしたIoT・スマートホームデバイスを認証して消費者がよりよい製品を選択できるようにすることを目的として、バイデン政権がサイバーセキュリティ認証およびラベル表示プログラムを発表しました。これにより、アメリカ国立標準技術研究所(NIST)のセキュリティ基準を満たしたデバイスには「USサイバートラストマーク」と呼ばれる認証ラベルが付与されるようになります。

Biden-Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers | The White House
https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/18/biden-harris-administration-announces-cybersecurity-labeling-program-for-smart-devices-to-protect-american-consumers/

The Biden administration announces its new smart home cybersecurity label - The Verge
https://www.theverge.com/2023/7/18/23798153/fcc-cyber-trust-mark-biden-security

Internet of Things Labeling Initiative - YouTube

セキュリティラベル表示プログラムは2024年に開始される予定。発表によると、固有かつ強力なデフォルトパスワード、データ保護、ソフトウェアアップデート、インシデント検出機能などを備えたデバイスがプログラムの対象となるとのこと。一定の要件を満たしたデバイスには、盾を模したサイバートラストマークとQRコードが付けられることになります。

消費者がQRコードをスキャンすると、その製品がセキュリティやプライバシーについてどのような取り組みを行っているかを表示したページにアクセスすることができます。連邦通信委員会(FCC)が示した例では、スマートホームデバイスがマイクで収集する音声の使用目的や、データがシェアされるかどうかといった情報を明記したページが表示されています。

また、例によるとオンラインの通販サイトでも同様にラベルとQRコードが表示されるとのこと。これらの情報が明示的に消費者へ示されることで、メーカーが個人情報をどのように取得し、どのように使用するのかといったことを消費者が把握しやすくなります。

プログラムの対象となるのはセキュリティカメラやベビーモニター、スマートテレビといったスマートホームデバイスのほか、スマートフィットネストラッカーも含まれます。国家安全保障会議サイバー・セキュリティ担当副国家安全保障顧問を務めるアン・ノイバーガー氏はインタビューの中で「何をIoT製品(product)とみなすか」という質問を受けましたが、これについてノイバーガー氏はプログラムの基となったNISTの報告書を引用し、「NISTによれば、センサーまたはアクチュエーターを備えたネットワーク接続デバイスはすべてIoTデバイス(device)とみなすことができ、関連アプリ、クラウドバックエンド、必要な特注ハブなどそのデバイス全体はIoT製品(product)とみなされる」と回答しています。

この取り組みを押し進めたFCCは「毎年再認証すること」を検討していますが、発表時点でこのプログラムは未制定かつ展開についてパブリックコメントを受け付けている段階であり、具体的にどのように展開されるのかは決まっていません。

ノイバーガー氏は「このラベルは設計上、より安全な製品を作るよう市場を後押しするために必要なものです。企業がこのようなラベルで差別化されることで、より良いセキュリティのために高いコストを払うことに抵抗がなくなるでしょう」と述べました。

なお、Amazon、Best Buy、Google、LG Electronics USA、Logitech、Samsungがこのプログラムを推進するために取り組んでいるとのことです。