IoT製品サイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」、米国の方針

U.S. Cyber Trust Markプログラムの概要

U.S. Cyber Trust Markプログラムは、2021年5月12日に発令された「国家のサイバーセキュリティ向上に関する大統領令（E.O.14028）」に基づく、コンシューマIoT製品セキュリティの向上に関する米国連邦政府の政策です。法的遵守義務や、高額なペナルティは設定されていない自主的な取り組みであるものの、大手小売業者、競合他社などの参加により、IoT製品製造者は対応に迫られています。以下、その概要をご紹介します。

「U.S. Cyber Trust Mark」プログラムの導入に至るまでの、米国の消費者IoT製品セキュリティ政策の動向は以下のとおりです。

1、適用するラベル

連邦通信委員会（FCC）が提案する「U.S. Cyber Trust Mark」⁴を採用する予定であり、セキュリティ要件を満たすと貼付することができます。QRコードを通じて、国家登録（National Registry）における認証済み製品の詳細なセキュリティ情報を確認することができます。

2、対象製品

U.S. Cyber Trust Markプログラムは、スマート冷蔵庫、スマート電子レンジ、スマートテレビ、スマート空調システム、スマート・フィットネス・トラッカーなど、一般的なコンシューマIoT製品を対象としています。

今後、コンシューマ用ルーターなどへの拡大や、エネルギー分野におけるスマートメーターおよびスマート電力インバーターへの適用も視野に入れています。

3、目的

U.S. Cyber Trust Markプログラムの直接的な目的は、IoT製品セキュリティの強化と向上になります。そのために、消費者のセキュリティ意識の向上および小売事業者やIoT製品製造者の参加を通じて、IoT製品セキュリティ強化競争を促進しています。

4、適用ガイドライン

2021年5月12日に発令された「国家のサイバーセキュリティ向上に関する大統領令（E.O.14028）」がソフトウェアサプライチェーンセキュリティの改善を指示したことを受けて、米国標準技術研究所（NIST）は2022年2月4日にソフトウェアとIoT製品のセキュリティラベリングに関する複数のガイダンスを発行しています⁵。

U.S. Cyber Trust Markプログラムは、これらのガイドラインの採用を予定していますが、NISTのIoT製品セキュリティラベリングに関するガイドラインは技術的なセキュリティ要件ではなく、IoT製品セキュリティとして達成すべき目標を記述するに留まっています。一方、NISTのラベリングガイドラインは、製造者がIoT製品セキュリティ目標を達成するための他の技術的ガイドラインを採用することを認めています。

今後、コンシューマ用のルーターも対象に含まれる予定であり、関連ガイドラインはNISTが2023年度中に完成させる予定です。

なお、米国エネルギー省（DOE）もクリーンなスマートグリッドに不可欠なスマートメーターと電力インバーターのサイバーセキュリティ表示要件の研究開発に着手するとしています。

5、連邦政府の支援

U.S. Cyber Trust Markプログラムの実施については、米国連邦政府の積極的な支援が見込まれています。

連邦通信委員会（FCC）は、U.S. Cyber Trust Markプログラムの提案主体として、消費者のセキュリティ意識の向上を推進し、大手小売事業者が認証済みのIoT製品を優先的に店頭陳列するよう奨励していくことになっており、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）を含むその他の政府機関を支援することも表明しています⁶。

また、FCCは司法省（DoJ）など他の規制当局の協力によりU.S. Cyber Trust Markプログラムの実効性を保障しようとしています。

6、国際展開

U.S. Cyber Trust Markプログラムの適用範囲は米国内に留まるものではありません。米国務省は、FCCが同盟国やパートナーを巻き込んで基準の調和を図り、同様のラベリング制度の相互承認を追求することを支援する方針です。

IoT製品セキュリティについて同様のラベリング制度を運用しているドイツ、シンガポールなどその他の国家間の相互認証の動向、欧州のサイバーレジリエンス法案で提唱されているラベリング制度（CEマーク）との相互認証についても注目されます。