最新のIoTセキュリティ規制には十分な範囲がありますか?
政府がIoTセキュリティに対処しようとしているため、世界中で規制が急増しています。これは前向きな一歩であり、市場が成熟していることを示していますが、IoTスペースの規制には課題がないわけではありません。このような動きは、IoTの無駄な山を生み出す可能性があることを示唆する人々から、イノベーションを妨げる可能性があると言う人々への抵抗に必然的に直面しています。
その結果、法律の各部分はわずかに異なります。しかし、これらの規制がどのように機能するかによって、規制の進化が形作られ、取られている対策を検討することが重要になります。ペネトレーションテストパートナーのパートナーであるケンマンロは、次のように述べています。
- 2017年IoTサイバーセキュリティ改善法 (米国): 米国政府内でIoTを管理することを目的とした、IoTサイバーセキュリティ改善法は、IoT開発に深刻な影響を与える可能性があります。デバイスは、NISTデータベースに既知のセキュリティ上の欠陥を示してはならず、更新をサポートし、リモート管理、更新、および通信に固定またはハードコードされた資格情報を使用する必要があり、脆弱性を開示して修復する必要があります。ただし、欠陥をNISTに限定すると、顧客のアプリでのSQLインジェクションなど、リストされていない一般的な問題が見落とされる可能性があります。また、多くのRFプロトコルがクレデンシャルをまったく使用しないように設計されていることを認めていないため、より厳密なワイヤレスプロトコルをサポートするには、これらのデバイスを廃棄またはアップグレードする必要があります。この法律はまだ可決されておらず、スマートIoT法、DIGIT法、セキュリティIoT法、サイバーシールド法、IoT消費者TIPS法などが挙げられます。
- サイバーセキュリティ法 (EU): 2018年5月から、この法律により、欧州連合ネットワーク情報セキュリティ機関(ENISA)がサイバーセキュリティ機関となり、すべてのEU加盟国でコネクテッドカーとスマート製品を認証するために作成された認証フレームワークになります。サイバーセキュリティ法は、重要な国家インフラストラクチャに対してのみ義務付けられます。製造業者は、IoTデバイスを「基本」、「実質」、または「高」の認証スキームに分類するように要求できますが、システムは任意です。彼らを誘惑するために、「基本」レベルに行く人は「自分で適合性テストを実行する」ことができます。ドキュメントには、ENISAには「セキュリティを向上させるためにプロバイダーとメーカーを対象とした警告を発行する」権限があると記載されていますが、これがどのように実施されるかについては言及されていません。それは苦情に備えており、ロビイストとセキュリティ研究者が内部告発を行い、組合全体に責任を持って開示することを可能にします。
- SB-327 (米国): 2018年8月に可決されたSB-327は、カリフォルニアをスマートテクノロジーを規制する最初の米国の州にします。これは、消費者向けデバイスのいくつかの基本的なセキュリティ基準を義務付けており、2020年1月から発効します。ただし、「保護するように設計された」「適切な」セキュリティを指す表現はあいまいです。ほとんどのデバイスは、デバイス/データを保護することを意図しており、それによって要件を回避していると主張する可能性があります。一意のパスワードが必須になりますが、デバイスに適切なエントロピーのソースがあるかどうかの問題に対処できません。小売業者もまた、2020年以前に市場が非準拠の技術に襲われているのを見る可能性があります。これらのデバイスがアップデートをサポートするための明示的な要件はありません。
- コンシューマーIoTセキュリティ(英国)の行動規範: 3月に発表されたSecureby Designドラフト提案に基づいて、デジタル、文化、メディア、スポーツ(DCMS)によって発行されたCoPには、一般データ保護規則(GDPR)が組み込まれています。広範囲に渡り、メーカー、モバイルアプリ開発者、サービスプロバイダー、小売業者にガイドラインを提供しますが、それは任意です。 CoPは、デフォルトのパスワードを使用してはならず、クレデンシャルとセキュリティ上の機密データを安全に保存し、ソフトウェアを最新の状態に保つ必要があると述べています。ただし、脆弱性開示ポリシーを使用することをお勧めしますが、ベンダーが修正を発行する必要はありません。それでも、これは消費者向けIoTセキュリティにとって非常に前向きな一歩です。
明確なことは、当局が論点先取を行うソフトでソフトなアプローチを非常に支持していることです。これらの基準は自主的に遵守されますか? IoTベンダーは、自社製品を市場に投入するという強いプレッシャーにさらされています。彼らが自分たちの後ろで何らかの形の規制を採用するためには、彼らにとって大きな利点がある必要があります…または影響。
市場自体がより多くの圧力をかける可能性があるのはここです。取引基準法にこれを祀ることにより、消費者に脆弱なスマート商品を信用のために返品する権利を与えます。小売部門に、脆弱なデバイスをストックしないことを約束するように促します。そうすれば、製造業者は降伏し、分類スキームにサインアップし、デバイスをテストするインセンティブを得ることができます。
今のところ、自主規制がどれほど効果的かを判断するには時期尚早です。私たちは法律を廃止し、業界にIoTの極めて重要な瞬間に適応する機会を与える必要があります。そうして初めて、より懲罰的な措置をどこに適用する必要があるかを評価できます。
このブログの作成者は、Pen TestPartnersのパートナーであるKenMunroです。彼は定期的に英国と米国の政府部門にブリーフィングを行い、関与しています。 IoT規制に関するさまざまなEU消費者評議会。
モノのインターネットテクノロジー