求められるのは、ほぼ基本的なコト。
先日、イギリスでIoTデバイスのセキュリティリスクから消費者を守るための新たな法律が発表されました。これによるとメーカーは次のような3つの要件を守る必要があるようです。
ひとつは、すべてのデバイスにユニークなパスワードが設定されていることを確実にし、共通の簡易な工場出荷時のパスワードにリセットできないようにすること。
ふたつめは、開発者に限らず消費者など誰もがバグを報告できるための連絡窓口を一般公開すること。また、脆弱性が報告された場合にはタイムリーに対処すること。
最後は、オンラインでの購入か店舗での購入に関係なく、デバイス販売時にセキュリティ更新プログラムを受信するまでの最短期間を明確に示しておくこと。
デジタル大臣のMatt Warmanはプレスリリースで次のように述べています。
この資料によると、イギリス政府は2025年末までに750億台のIoTデバイスが世界中の家庭に普及すると見込んでいます。またこの3つの要件は、昨年5月にサイバーセキュリティセンター(NCSC)や企業と協議して決定したものとのことです。
要件の内容は別に過激なものではなくて、むしろ基本的なことだとも考えられます。現在、エンドツーエンドの暗号化を保証するあらゆる企業において、パスワードを変更する機能を提供していなかったり、セットアップにデフォルトのパスワードを提供していたりする実態が指摘されています。
2016年に大規模なDDos攻撃があったことを覚えている人もいるかもしれません。これはセキュリティ保護されていないIoTデバイス数十億台にMiraiマルウェアが感染したことが始まりだといわれています。こういったセキュリティリスクを減らすためにも、IoTデバイスのパスワードのファジーさをなくすことは重要であることがわかります。
さらに、セキュリティ更新プログラムによるサポート期間の開示をメーカーに強制することも非常に重要です。たとえば先週には、Sonosが2020年5月に初期製品のアップデートを終了する計画を発表しました。つまり、新機能もセキュリティパッチも提供されないとのこと。ところが、消費者による抗議が殺到したのか、その数日後には"できる限り"サポート継続する意向が発表されています。
PCやスマホの買い替えとは違い、スピーカーはより長期的に使い続ける消費者が多いことも踏まえると、Sonosのニュースは注目に値するものだといえるでしょう。同社は、製造中止後も最低5年間はサポートする意向を示していますが、こうした情報を開示しているIoTメーカーはそう多くありません。また、メーカーが廃業した際はどうなるのかといった情報も多くの場合明らかになっていません。
アメリカでは、カリフォルニア州上院でIoTセキュリティ法案「SB-327」が可決され、今年1月1日から施行となりました。この法案はメーカーに対し、デフォルトのパスワードの使用禁止などを含む「合理的なセキュリティ機能」の制定を要求しています。ただしこれについては一部の専門家から、曖昧で不十分だといった批判の声も。いっぽう、 2017年のIoT CyberSecurity Improvement Actのセキュリティ標準に関しては、政府の使用に留まり民間に普及していないことも指摘されています。もっとも、規制当局がIoTのセキュリティリスクを認識しているのは最低限良いことなのかもしれませんが...。
今回のイギリスのIoTデバイスメーカーに対する規制の動きは、あらゆる国でも目指すべき最低限のアプローチであるといえそうです。