{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
米国連邦通信委員会(FCC)は2024年3月14日にIoT製品のサイバーセキュリティラベリングプログラムである「U.S. Cyber Trust Markプログラム」に関するルール1を採択しました。これにより、同プログラムの全体像が明らかになりました。今後、その認証制度が構築され、運用が開始される予定です。
U.S. Cyber Trust Markプログラムをめぐっては、2023年9月の公表時に、すでに複数の大手小売業者、競合他社などが積極的に参加する意思表明を行い、また米国連邦政府によるバックアップ体制、国際的な相互運用などが予定されていました。IoT製品製造者は市場と政府の後押しを受けている同プログラムの動向を注視し、対応する必要があります2。
対象製品
U.S. Cyber Trust Markプログラムの実施初期は、主に消費者向けの無線機器が対象となります。一方FCCの説明では、今後対象製品の範囲を有線IoT機器、産業IoTなどに広げていくことについてはその可能性が残されています。国際相互運用を目指していることを考えると、欧州のサイバーレジリエンス法の動向次第で、対象製品の範囲が拡大されることは容易に考えられます。
なお、対象機器となるIoT製品とは、物理的世界と直接相互作用するために少なくとも1つのトランスデューサー(センサまたはアクチュエーター)を有し、意図的に高周波エネルギーを放出することができ、またデジタル世界と連動するための少なくとも1つのネットワークインターフェース(Wi-Fi、Bluetoothなど)を有するデバイス、およびIoTデバイスを使用するために必要な追加の製品コンポーネント(バックエンド、ゲートウェイ、モバイルアプリなど。ただし管理範囲外のサードパーティーコンポーネントは除外)を含むとしています。
対象外製品
U.S. Cyber Trust Markプログラムは以下の2つのIoT製品を対象外としています。
- 米国食品医薬品局(FDA)が規制する医療機器
- 米国運輸省道路交通安全局(NHTSA)が規制する自動車および関連機器
また、FCCのカバードリストにおける全ての通信機器、およびFCCのカバードリスト、米国商務省のエンティティリスト、特定の国の軍事関連企業などが生産するIoT製品、デバイスを組み入れた製品、また連邦調達、財政支援を停止、禁止されている組織、個人と関係性のある製品については、U.S. Cyber Trust Markは付与されないので、特に注意が必要です。
二段階の認証制度
U.S. Cyber Trust Markの付与は、認定された検証機関であるCybersecurity Testing Laboratory(CyberLab)の検証報告書をもとに、FCCが認定するCybersecurity Label Administrator(CLA)に対して申請する二段階手続きとなっています。CyberLabには、CLA所属、独立系のほか、企業が認定を受けて設立する社内CyberLabの3種類あります。
U.S. Cyber Trust Markの付与を申請する際、以下の事項が真正であることを宣言する必要があります。
- 製品が全ての要件を満たしていること
- 製品がFCCのカバードリストにおける組織が製造した製品、またはその製品を組み込んでないこと
- 製品が米国商務省のエンティティリスト、特定の国の軍事関連企業などが製造した製品を組み込んでないこと
- 製品が連邦調達、財政支援を停止、禁止されている組織、個人の所有、支配下ではないこと
- セキュアな製品製造のためにあらゆる合理的な方法を講じていること
- 製品登録制度にて公開したサポート期間において重大な脆弱性を積極的に特定し、速やかに修正アップデートを行うこと
セキュリティ要件
U.S. Cyber Trust Markプログラムの実施初期は、基本的にNISTIR 8425をセキュリティ要件ベースとしています3。しかし、今後対象範囲の拡大に伴い、新たに要件が追加されることなども考えられます。NISTIR 8425は以下のとおり、技術的要件と非技術的要件から構成されます。
有効期限
U.S. Cyber Trust Markの使用が許可された後は、破棄、撤回、取り消し、放棄またはFCCの別途規定する終了期日以外、有効ですが、虚偽の申請、技術要件の不足などにより、許可が終了する場合があります。
製品登録制度
消費者への情報提供を目的にU.S. Cyber Trust Markを取得した製造者は、登録制度を通じて消費者に製品の情報を開示する必要があります。情報開示は、共通のアプリケーションプログラミングインターフェイス(API)を通じて、動的かつ分散型の公的にアクセス可能なレジストリを通じて行われます。
開示が必要な情報:
- 製品名
- 製造者名
- 承認日
- CLA名称と連絡先
- 適合試験所名
- デフォルトパスワードの変更方法(変更できない場合の説明)
- 安全に設定する方法(またはリンク)
- ソフトウェア更新、パッチ適用が自動かどうか、および自動でない場合のアクセス方法
- 最低サポート期間
- ハードウェア部品表(HBOM)、ソフトウェア部品表(SBOM)保持しているかどうかの開示
まとめ
U.S. Cyber Trust Markプログラムは、消費者向け無線IoT製品を対象としていますが、欧州のサイバーレジリエンス法などの動向とともに、その対象範囲の拡大、適用規格・要件の拡充などが考えられます。
また、同業他社の積極的な取得と、連邦政府の支援や市場の後押しにより、U.S. Cyber Trust Markプログラムはより実効的な製品セキュリティラベルとなっていくことが考えられます。今後、消費者IoT製品のみならず、産業IoT製品製造者もその動向を把握し、タイムリーに対応していく必要があります。
1 FCC Adopts Rules for IoT Cybersecurity Labeling Program、2024年3月27日閲覧、
https://www.fcc.gov/document/fcc-adopts-rules-iot-cybersecurity-labeling-program
2 IoT製品サイバーセキュリティラベリングプログラム「U.S. Cyber Trust Mark」、米国の方針、2024年3月27日閲覧、
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/iot-product-us-cyber-trust-mark.html
3 2024年の「U.S. Cyber Trust Mark」開始に向け、米国市場にスマートデバイスを販売するメーカーがとるべき対応、2024年3月27日閲覧、https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/iot-product-us-cyber-trust-mark02.html
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
