FTCがIoTデバイスの保護対策強化をメーカに勧告
先頃、米国の消費者保護を管轄する連邦取引委員会(FTC)は、デバイスメーカに対し、IoTデバイスのデータ完全性を保護するための対策を強化する必要があるという勧告を行いました。当然のことながら、この勧告には、IoTコネクテッド製品にセキュリティを確実に組み込むために企業が為すべき重要な作業が示されています。すなわち、セキュリティを開発と製造の両方の段階で組み込むこと、さらに製品のライフサイクル全体を通じてなされているアップデートを通じて組み込む必要性が述べられています。企業がこれを怠った場合、万一、製品の完全性が侵害された場合は、訴訟に直面する準備をしておく必要があります。
IoT用のネットワーク接続デバイスの普及を踏まえて、消費者製品安全委員会(CPSC)は「 IoTおよび民生品の危険性 (The Internet of Things and Consumer Product Hazards)」に関して「 公聴会通知および書面によるコメント要求 (Notice of Public Hearing and Request for Written Comments: RFC)」を発行しています。これに関してFTCは、以下の内容の文書を発行しました。
電球やスマートTV、ウェアラブルフィットネストラッカー、医療機器、さらにはコネクテッドカーに至るあらゆるものについて、FTCはIoTの利点を強調する一方で、IoTデバイスのデータは完全性が侵害される恐れがあり、さらには消費者に害が及ぶ事態について言及しています。
FTCの勧告は、これに対処するためにIoTデバイスを製造および販売する企業は、その製品を不正アクセスから保護するために適切な手順を踏まなければならないとしています。IoTデバイスのセキュリティが不完全であれば、攻撃者にデバイスの制御を奪う隙を与え、様々な危険要因が潜むリスクを拡げます。この勧告には、ハッカーが使用したMiraiボットネット(悪意あるソフトウェアに感染したIPカメラやルータなどのIoTデバイスで構成されたボットネット)などの例が挙げられています。ハッカーは、フィンランドにおける保護されていない住宅ビル管理システムに対して分散型サービス拒否(DDoS)攻撃を行い、インターネットアクセスをブロックすることにより、ネットワークに接続された管理システムがエンドレスに再起動されてしまう事態を引き起こしました。その結果、住民は冬の最中にセントラルヒーティングが使えない状況に陥りました。
さらに勧告では、IoTデバイスのセキュリティリスクに対処するためのプログラムをセットアップする企業は、プライバシーと安全の両面で、デバイスをハッカーから保護する措置を講じる必要があるとしています。CPSCに対する勧告は、3つの基本的な要求事項に焦点を当てています。
- セキュリティハザードの予測と緩和に最善を尽くす
- 脆弱性の開示を含め、安全上の警告やリコール情報に関する登録を消費者に奨励するプロセスを確立する
- IoTセキュリティにおいて変わりつつある政府の役割を理解する
FTCは、危険要因を予想して緩和するためのベストプラクティスに関するガイダンスの中で、企業はセキュリティプログラムを評価するにあたり、企業によるリスクアセスメントの一環として行うこと、またデバイスレベルとクラウドとのインターフェース部分の両面から評価すべきこと、さらに、製品の発売前にセキュリティ対策をテストする義務があることを示しています。これらは企業がセキュリティに対する理解を得ていることを前提としており、まだセキュリティに関して学習途上にある企業の場合は、サードパーティの専門家を利用することを厭わない姿勢が求められます。
このような状況は、多くの組織にとって「これまで体験したことのない未知のもの」です。つまり、何を知らないかについて全く知識がないということです。それ故、将来直面し得る脅威を知らないことで、重大な問題に見舞われるおそれがあります。しかし、法律を知らなくては法廷で弁護はできません。個々の組織は、至る所でネットワークに接続された今日の世界において負うべき責任を直ちに受け入れる必要があります。
さらにこの文書は、セキュリティの保護は一般にメーカの責任であるものの、IoTデバイスの場合は、さまざまなサービスプロバイダのコンポーネントとソフトウェアが組み合わされた製品が多いことにも触れています。したがってIoTデバイスのメーカは、製品を消費者に販売する前に、サービスプロバイダが原因で生じ得るあらゆるリスクを含めた、その製品全体のセキュリティを評価するために適切な措置を講じる必要があります。企業はサービスプロバイダの選択にあたっては慎重を期し、その契約にセキュリティ基準を取り入れ、日々変化するセキュリティ基準への適合性を継続的に検証するために適切な手順を踏むことにより、プロバイダに対して監視とリーダーシップを示す必要があります。上述したように、課題は、各組織がベストプラクティスのガイドラインに従っていることをどのようにして検証するかということです。
さらにFTCは、脅威、危険要因、技術、ビジネスモデルの変化に合わせて、企業はセキュリティ対策を行うための継続的なプロセスを確立しなければならないと勧告しています。これには、企業が製品発売後にアップデートやパッチの発行などを通じ、適切なステップを踏んで、プライバシー、セキュリティ、安全に対する脅威に対処することが含まれます。FTCが実施したモバイルセキュリティアップデートの調査では、セキュリティのアップデートプロセスがモバイルデバイスのメーカによって大きく異なることが分かりました。メーカは改善に努めてきましたが、依然としてボトルネックが残っています。そのためFTCは、エコシステム内のすべての企業に対して、消費者が妥当とみなす期間内はデバイスがセキュリティアップデートを確実に受信できるようにすべきであると強調しています。
これらの勧告では、セキュリティについて全体的なアプローチを採ること、そして新製品開発の開始段階から信頼のサプライチェーン(Supply Chain of Trust)を構築することの重要性が強調されています。セキュリティはもはや後付けできるものではありません。セキュリティ(もしくはセキュリティの欠如)の問題は、あらゆる企業にとって、もはやその存在に関わる脅威であり、経営幹部レベルで議論すべき課題となっています。すべてのCEOは、セキュリティが自社に与える影響について、脅威と将来的機会の両面から理解する必要があります。製品は、固有IDと機密性をそのDNAに組み込んで開発しなければなりません。また、組織はライフサイクル全体を通じて製品をサポートし、セキュアアップデートをインテグレータとユーザに提供し、従来のend-of-life時点をはるかに超えて脆弱性に関する情報を提供する手段を持っていなければなりません。さらに、この新たな要求の渦の中心にあるのは、ブランド価値と知的財産が包含する多額の研究費を保護する必要があるということであり、そのためには堅牢で信頼できるサプライチェーンが必要になります。
連邦機関もIoTコネクテッドデバイスのリスクと潜在的な危険要因から消費者を保護する必要性を認識していますが、セキュリティはまさしく開発と製造の段階から、そして製品のライフサイクル全般を通じて考える必要があります。この問題にどう対応するかは、業界の手に委ねられています。
IARの最高戦略責任を務めるHaydn Poveyは、半導体ベンダーのエコシステムと協業して、この新しいセキュリティ要求に対応するために必要なツールを開発し、信頼のサプライチェーンを確立するために信頼できるフレームワークを提供できるよう取り組んでいます。HaydnはIoTセキュリティファウンデーションの理事会(Executive Steering Board)メンバーも務めています。