NISTは、IoTメーカー向けのセキュリティに関する推奨事項のドラフトを公開しています
新しいNISTの推奨事項は、IoTデバイスを顧客に販売する前にメーカーが実行を検討する必要があるサイバーセキュリティに関連する自主的な活動を提供します。
米国国立標準技術研究所(NIST)は、モノのインターネット(IoT)デバイスメーカー向けの推奨事項の第2ドラフトを公開しました。
その中で、連邦政府機関は、「IoTデバイスの侵害の蔓延と深刻さを軽減する」ことを目的として、商品化の前に実行される一連の質問と評価を求めています。
主なハイライトは次のとおりです。
- 予想される顧客を特定し、IoTデバイスの予想されるユースケースを定義します。 これはNISTによる最初の指摘であり、非常に重要です。デバイスの用途、使用場所、接続先を把握することで、メーカーは弱点を特定し、販売前にそれらを強化できる可能性があります。
- 顧客のサイバーセキュリティの目標を調査する: これは最初のポイントから続き、デバイスが出荷される前に弱点を特定します。 NISTは、デバイスが物理的な世界とどのように相互作用するか、どのようにアクセスされるか、誰がデバイスを監視するか、どのデータを保持するか、どのような規制に従う必要があるかを尋ねます。カリフォルニア州は最近、IoTセキュリティに関する州法を制定しました。今年は、さらに多くの州や国が同じことを行うと予想されます。
- 顧客の目標に対処する方法を決定する: 外部の脅威を把握した後、デバイスメーカーは、デバイスの識別、構成、データ保護、論理アクセス制限、ソフトウェアおよびファームウェアの更新を把握することにより、オンボードセキュリティの強化を検討する必要があります。
- 顧客とのコミュニケーションのアプローチを定義する: 製品が販売されたら、メーカーは問題について顧客とコミュニケーションをとることができる必要があります。 NISTは、メーカーが情報をできるだけ理解し、アクセスしやすいものにすることを推奨しています。
- 顧客に何を伝えるか、どのように伝えるかを決定します。 購入者が抱える最大の懸念の1つは、メーカーがサポートを終了すると、デバイスがすべての機能を失うことです。 NISTは、製造元がサポートを提供する予定の期間と、サポート終了後にデバイスがどのような機能を備えているかを顧客に明確にすることをお勧めします。
モノのインターネットテクノロジー