TOPNetwork > IoTのセキュリティ規制、国が果たすべき役割は(中)

Network

IoTのセキュリティ規制、国が果たすべき役割は(中)

2017/02/01

Taylor Armerding CSO

 「新規デバイスに必要不可欠な最低限のセキュリティ要件を確立し、ユーザーが強固なパスワードを設定しないと機器を使えないように義務づけることで、デフォルトのパスワードよりも事態は改善される。あわせて、製品で重大な脆弱性が発見された場合にファームウエアを自動更新する機能も必要だ」

 下院委員会の証言の中でFu氏は、国立のサイバーセキュリティ試験機関を設置するよう提言した。国家運輸安全委員会と同じような趣旨の独立した機関だ。

 またSchneier氏は、国がIoTメーカーに「最低限のセキュリティ基準」を義務づけて、違反したメーカーに責任を負わせるよう提言。「そうすれば、Dynのような企業が、DDoS攻撃に使われたデバイスの製造元を訴えることができる」とした。

 米Online Trust Alliance(OTA)のエグゼクティブディレクター、Craig Spiezle氏は、国が義務づけるべき要件として、「既知の重大な脆弱性がある製品を出荷しないことと、商品の使用可能期間の全体を通してセキュリティパッチやアップデートを提供すると確約すること」を挙げる。

 一方で、規制の動きは、もっと複雑な様相を呈する場合もある。

 Mark Warner上院議員(民主党、バージニア州)は現地時間2016年10月25日、米連邦通信委員会(FCC)、米連邦取引委員会(FTC)、米国土安全保障省(DHS)に宛てた書簡の中で、IoTデバイスのセキュリティ強化を義務づけるうえでインターネット・サービス・プロバイダー(ISP)が役割を果たすことはできないかという点について見解をただしている。例えば、安全でないデバイスに関しては、IPアドレスの割り当てをISPが拒否するなどの形で、インターネットにアクセスできなくするといった手法だ。

↑ページ先頭へ