IoT機器のセキュリティ規制

こうしたIoT機器に関する規制は米国（CA州）が進んでいると思っていましたが、英国での新しい法案を考えると、日本でもIoT機器のセキュリティ規制も早期検討が必要かと思われます。

www.gizmodo.jp

公式発表（Gov.UK）

・Government to strengthen security of internet-connected products(27 January 2020)

・すべての消費者のインターネット接続デバイスのパスワードは一意であり、ユニバーサルな工場設定にリセットできないものでなければなりません

・消費者向けIoTデバイスのメーカーは、誰でも脆弱性を報告できるように公開の連絡先を提供する必要があり、脆弱性はタイムリーに対処されます

・消費者向けIoTデバイスのメーカーは、店舗またはオンラインのいずれかで、販売時点でデバイスがセキュリティ更新プログラムを受信する最小時間を明示的に指定する必要があります

接続デバイスの販売は増加しています。調査によれば、2025年末までに世界中の家庭に、テレビ、カメラ、ホームアシスタント、およびそれらに関連するサービスなど、インターネットに接続されたデバイスが750億台になると示唆されています。

デジタル大臣のマット・ウォーマンは次のように述べています

私たちは、現代のテクノロジーに対する信頼を育む革新的な規制により、英国をオンラインで最も安全な場所にしたいと考えています。

新しい法律により、インターネットに接続されたデバイスを製造および販売する企業は、ハッカーが人々のプライバシーと安全を脅かすことを説明し、阻止することができます。

これは、堅牢なセキュリティ標準が設計段階から組み込まれ、後から付け加えられることを意味します。

（公式発表より引用）※機械翻訳

キタきつねの所感

英国はボリス・ジョンソン英首相の剛腕的手法によってブリグジットを1月31日に達成しましたが、IoT機器のセキュリティ強化規制も検討が早かったと思います。既に米国カリフォルニア州が同様な規制を1月から施行している事を考えると、他国でも規制強化の動きは強まる事が予想されます。

内容を見るとユニークパスワード強制（共通パスワードの禁止）、リセットを推すと工場出荷時のパスワード設定（例：ID=admin, Pass=admin）に強制的に戻らない事がまず挙げられています。違う見方をすれば、デフォルトパスワードを元にした攻撃、または工場出荷状態に脆弱性を突いてリセットする事で初期パスワードに戻す攻撃により、ハッカーの侵入を受けた事件が数多くあった事に起因していると推測されますが、米国と同様な強制でもあり妥当かと思います。

余談ですが、同様なセキュリティ実装（一意の初期パスワード付与）は、日本でも例えば無線Wifiルータ等で既に実現している機器があると思います。同じことを他のIoT機器で実施する事は、きちんとルール化すれば出来る事でないかと思うが故に、日本政府も（NOTICE実施に併せて）もっと早くから検討しておくべきでなかったかと思います。

2点目と3点目は、脆弱性更新（PDCA)に関連する内容で、バグの報告窓口を設置する事、バグの改修をきちんとユーザに提供する事について、つまり体制についての明示を求めていると思われます。これは安い海外製のIoT機器にありがちな、売りっぱなし、あるいはバグが出ても放置・・という事を防ぎ、きちんとセキュリティ更新がされるIoT機器でないと販売させないという姿勢の表れかと思います。

米国のIoT機器規制

参考まで、米国のIoT機器の規制の動きですが、既にカリフォルニア州の規制は始まっています。詳細については下記の記事に法律の仮訳がありますのでご覧頂くと良いかと思いますが、少し気になる（あいまいに書かれている）所があります。

・米カリフォルニア州の IoT セキュリティ法について(日本語仮訳)

2020 年 1 月 1 日から施行され、IoT 機器の製造業者は、IoT機器ごとに異なるパスワードを設定するか、利用者が初めて使用する前に独自のパスワードを設定するなどの機能を付加することが義務付けられるようになります。
（中略）
シリコンバレーを含むカリフォルニア州の規模、影響力を考えますと、各州における IoT 機器のセキュリティに関するスタンダード基準が事実上設定されたに等しく、IoT 機器のセキュリティ強化の動きが活発化すること、さらには、世界各国の立法化にも波及する可能性もあるため、今後の動向に注視する必要があると考えられます。

（西村あさひ法律事務所ニューズレターより引用）

それが、少し前のCNET JAPANの記事で「相応なセキュリティ」と表現されている所です。

・カリフォルニア州でIoTセキュリティ法--米国初（2018年10月1日）

インターネット接続型デバイス（「スマート」デバイス）のメーカーは、「デバイスとそこに保存された情報を不正アクセス、破壊、使用、変更、および開示から保護」する「相応な」セキュリティ機能をガジェットに搭載することを求められる

（CNET Japan記事より引用）

今月に出た海外の（法律事務所）のニュースレターを見つけたので参考まで引用しますが、「合理的なセキュリティ」について法律では明確に定義されてない様です。

提示されているパラメータに関するセキュリティ評価を行う事で、「合理的なセキュリティ」が実装されている事を担保する様ですが、下記の条件を読んでいても評価方法などが不明瞭です。そのうち詳細のガイドラインが出てくるのかも知れません。

・The Internet of (Secure) Things: California Now Regulates Security of IoT Devices(January 29, 2020)

合理的なセキュリティとは何ですか？

法律は「合理的なセキュリティ」を定義していません。この決定を行うには、企業は、特定の接続デバイスの性質と使用、およびデバイスに実装されているセキュリティ機能を評価する必要があります。法律は、製造業者に合理性を評価するための幅広いパラメーターを提供しています。適切なセキュリティ機能であるためには、機能は次のとおりである必要があります。

・デバイスの性質と機能に適切
・収集、含有、または送信する可能性のある情報に適しており、
　かつ
・不正なアクセス、破壊、使用、変更、開示からデバイスとデバイスに含まれる情報を保護するように設計されています

特定の要件？

接続されたデバイスがローカルエリアネットワークの外部で認証のための手段を備えている場合、合理的なセキュリティ機能を備えていると見なされる前に、次の要件のいずれかを満たしている必要があります。

事前にプログラムされた一意のパスワードが必要です。
または
接続されたデバイスは、接続されたデバイスへのアクセスが初めて許可される前に、ユーザーに新しい認証手段の生成を要求する必要があります。

（Fox Rothschild法律事務所記事より引用）※機械翻訳

特定の要件部分は、英国の規制と非常によく似ていますが、初回ログイン時のパスワード変更強制でも問題が無いという所が差分と言えるかも知れません。

このレターを読んでいて、気づいたのですが、オレゴン州でも既に同様な法律が施行されており、他州も導入がされている様です。IoT機器ベンダーは全米に商品を提供する事が普通かと思いますので、事実上、米国ではIoT機器は規制に従わないと法律違反になる（＝IoT機器ベンダーは対応が必要）ので、今後対応が進んでいくかと思います。

カリフォルニアにいない場合はどうなりますか？

カリフォルニア州が最初でしたが、IoT法を制定した唯一の州ではありませんでした。オレゴン州のIoT法は、カリフォルニア州の後に可決され、2020年1月1日から施行されました。オレゴン州の法律は、主に家族、個人、または家庭用に使用する接続デバイスに合理的なセキュリティ機能を要求しています。

さらに、イリノイ州、メリーランド州、バーモント州マサチューセッツ州およびワシントン州でIoT法案が導入されました。

他の州の提案はカリフォルニアのIoT法に似ていますが、重要な違いがあります。たとえば、Vermontは、ネットワーク通信機能の暗号化、自動セキュリティ更新、強力なパスワード、脆弱性管理、詳細なプライバシー通知など、接続されたデバイスに特定のセキュリティ機能を要求する代わりに、合理的なセキュリティの要件を却下します。マサチューセッツ州法案はまた、消費者問題およびビジネス規制部に、個人情報の保護と接続されたデバイスのセキュリティの確保のための詳細な規制を採用する機会を提示します。

（Fox Rothschild法律事務所記事より引用）※機械翻訳

米国や英国で売れなくなったIoT機器が、セキュリティ対応が不要な日本等に回される可能性を懸念されます。

日本での法案検討が進まない理由について、昨年5月の情報セキュリティ大学院大学湯淺教授のレポートを読むと、日本らしい課題が挙げられています。

コロナウィルス対策等、喫緊の課題が多く討議されてはいますが、「サクラ」問題に時間を無駄に費やすのであれば、こうしたセキュリティ関係のテーマも討議してもらいたいと思うのは私だけでしょうか。

・カリフォルニア州 IoT セキュリティ法に関する若干の考察（2019. 5）

　しかしわが国においては，次のような検討課題が残っていることを認識した上で，IoT のセキュリティ及びプライバシーの法規制の可能性について検討すべきであろう。
　まず，IoT の法的定義が固まっていないという問題がある。
（中略）
　またわが国においては，セキュリティ侵害通知（security breach notification）法に相当する規定が存在しない。
（中略）
　このように，わが国の IoT セキュリティ規制の可能性については，立法化を考える前に検討すべき論点が数多く残っている。