アメリカ、IoTデバイスにセキュリティ機能の搭載を強制する法案が提出

  • カテゴリー:
  • News

アメリカ、IoTデバイスにセキュリティ機能の搭載を強制する法案が提出 1
Image: Blackboard/Shutterstock.com

どうか、IoT化の波だけは止めないで...。

最近あらゆるところにIoT化の波が押し寄せてきていて、凄いですよね。防犯カメラ、電化製品、ウェアラブルなど、インターネットに繋がるなんかそれっぽいガジェットをあげるときりがありません。ただ、これらIoTデバイスって、実はセキュリティ面がちょっと弱いことで知られているんです。そこで、アメリカの2人の上院議員が「少なくとも政府機関が利用するものに関しては、この状況を変えねばならぬ」ということで、セキュリティに関する2党連盟の新たな法案を提出しました。内容は、メーカーにデバイスの基本的なセキュリティ機能を搭載するよう強制するものです

IoTサイバーセキュリティー改善条例 2017(Internet of Things Cybersecurity Act of 2017)」と呼ばれるこの法案は、メーカー側に既存製品のソフトウェアアップデートと、その証明を要請し、修正がきかないハードコードのパスワードを用いることを禁ずるもの。

法案の中で記されているセキュリティ水準は一見どれも基本的なレベルのものに見えるのですが、セキュリティが結構不安定なIoTデバイスは多く、簡単にハッキングされてしまうそうです。つまり、この基本的なレベルのルールでも状況は改善することが見込めるのでしょう。

昨年の秋に全米のネットをダウンさせるという未曾有のDDoS攻撃を受けたとき、これらの原因がハードコードでのパスワードを利用しているIoTデバイスにあることが発覚し、話題を呼びました。メーカーは、遠隔でアップデートやデバックをかけられるよう、変更ができないハードコードパスワードを利用することがしばしばあります。

ただ、ログイン用の認証パスワードが「admin / admin」というような、ありえないくらい簡単なものが設定されていることも多かったのです。そりゃ、こんな簡単なパスワードだとハッカーも黙ってはいません。彼らは簡単に乗っ取ることができますし、ハードコードですので、企業側も後になってパスワードを変えることができないわけです。つまり一度そのモデルのデバイスが乗っ取られたらアウトということ。

なお、この法案の力はIoTデバイスを政府へ販売するベンダー側にも及ぶことになります。販売時にセキュリティ面の脆弱性がないことを約束し、問題が見つかった際には、迅速にパッチを発行して更新する責任を負うことになります。

上院議員のCory Gardner氏、Steve Daines氏、Mark Warner氏とRon Wyden氏がこの法案を支持しているとのことで、Warner氏はロイター通信に「本法案はIoTデバイス市場の明らかな問題を提起するために設計されている」と述べたそうです。穴がある状態は許せんぞということでしょう。

まぁ今のところ、この規制は政府機関に対して売られているデバイスのみの話ですが、この流れで一般ユーザー向けのデバイスのセキュリティ水準も上がることを願いたいところです。ただ、間違っても今後IoT化の波を止めるような流れにだけはならないでほしい...。こういう政府の規制が入るたびに、そわそわ焦ってしまっているのは私だけではないはずです。

Image: Blackboard/Shutterstock.com
Kate Conger - Gizmodo US[原文
(Doga)

あわせて読みたい

    powered by CXENSE