英国で進むIoTデバイスの法制化 業界に起こりうる変化とは?
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「IoTのセキュリティ法案成立で業界に起きうる変化とは?」を再編集したものです。
英国でIoTデバイスをめぐる法制化の議論が進んでいる。この法案が制定されれば、新しいIoTデバイスでは初期設定パスワードそのものが利用できない可能性が出てきている。詳細を解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
今回のCESでも、数多くのIoTデバイスが展示され、賑わいを見せていた。しかし、これらデバイスのセキュリティは正しく担保されているのだろうか。以前よりESETではこれらデバイスのセキュリティ強化を喚起してきたが、今なおIoTデバイスベンダーの対策は進んでいないように見受けられる。2018年に、カリフォルニア州議会ではIoTデバイスに関する法案が可決されるに至った。現在、英国の議会ではこの法案よりも高度な対策を講じるための準備を進めている。
法案が可決されるかは不明だが、英国議会のある議員は以下のように述べている。
「英国政府はこれまで、IT業界に対して自主的な対策を講じるよう勧告してきた。しかし今や、『セキュリティバイデザイン』の観点で、強固なサイバーセキュリティ対策を推進していく必然性は高まっている。一般市民のプライバシーとセキュリティを確保するためにも、ベンダーがデバイスを販売する前にセキュリティ対策を講じることをルール化するべきだ。」
法案の可否にかかわらず、このメッセージからは今後英国政府がIoTデバイスのセキュリティに対して、本腰を入れるというスタンスが見て取れる。他国ではまだ様子見のところもあるかもしれないが、世界中で法整備が進む日も近いだろう。
もちろん、悪い話ばかりではない。基本的なIoTのセキュリティ対策はそれほど面倒なものではないからだ。ユーザーが初めてログインする際、新しいユーザーに初期設定パスワードの変更を要求することは常識的な仕様となりつつあり、多額のコストも必要としない。
ファームウェアのアップデート提供期間を設定することには、多くのコストが伴う。企業側は収益に直結しないファームウェアをアップデートし、サポートするためのコストを投資と判断している。特に、長期的なビジョンを有する企業は、そうした傾向のことが多い。だが、サポートの終了により、ファームウェアのアップデート問題が表面化することになる。
そもそも、ユーザーはサポートの有効期間を把握しておくことの重要性を感じているだろうか。数年が経過した後に、脆弱性が発見されるまで、その重要性を実感していないかもしれない。
IT業界の対策は遅々として進んでいない。新しいテクノロジーを採用したプラットフォームが登場したタイミングで、頻繁に買い換えるようユーザーに促すに過ぎない。加えて、すべてのユーザーが必ずしも買い換えるわけではない。5年、10年と同じホームルーターを使っているユーザーも少なくない。サポート自体は終了していても、製品自体は問題なく使えてしまうからだ。
そして、これこそが大きな問題なのだ。
こうした、古い機能のままのルーターに対する攻撃は当面、沈静化する気配が見られない。ひとたび「ゾンビ化」されたこれらのデバイスは、ユーザーの知らぬ間にハッキングされ、世界中で繰り広げられている攻撃に加担してしまっているのだ。
関連トピックス:Secure your router: How to help prevent the next internet takedown(インターネットの弱点とルーターの防御法)
また、英国議会は企業に対して、セキュリティ対策部門の設置義務を検討している。しかし、中小企業ではこうした対応は現実的ではない面があるのも事実だ。
この法律でイノベーションが減退する可能性は否定できない。しかし、この法案が制定されることで過度な対応が求められるわけではなく、適切な対応が求められるだけである。近日中にこの法案が可決されるか、ベンダーは注視しておく必要があるだろう。
[引用・出典元]
IoT laws are coming: What to expect by Cameron Camp 30 Jan 2020 - 11:30AM
https://www.welivesecurity.com/2020/01/30/iot-laws-are-coming-what-to-expect/