米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?
こんにちは、丸山満彦です。
2020.09.14にInternet of Things Cybersecurity Improvement Act of 2020(「IoTセキュリティ向上法」としておきましょうか)の案が下院を通過し、翌2020.09.15に上院に送致されています。上院での議論がこれから始まるのだろうと思います。
この法案は、米国標準技術研究所(NIST)と管理予算局(OMB)に、IoTデバイスのサイバーセキュリティを向上させるための措置を講じることを求めています。
具体的には
- NISTは政府が所有または管理するIoTデバイスの適切な使用と管理(最低限の情報セキュリティ要件を含む)に関する勧告を策定する。(SEC.4 (a))
- OMBはその勧告を踏まえて各省庁向けのガイドラインを発行する。(SEC.4 (b))
- NISTとOMBは、政府が使用するIoTデバイスに関連するセキュリティ脆弱性に関する情報の報告、調整、公表、受付、及びセキュリティ脆弱性の解決のための方針と手順に関するガイダンスを公表する。(SEC.5)
と言った内容のようです。
このブログでも紹介していますが、NISTはIoTに関する最低限のガイドを既に発行しています。
● NIST - ITL
・2020.05.29 (PUBLICATIONS) NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline
・[PDF] NISTIR 8259A
● まるちゃんの情報セキュリティきまぐれ日記
・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline
なお、連邦政府が使っているIoTについてはGAOが報告書を作っています。ここでもGAOが活躍しています。。。
● GAO
・2020.09.14 INTERNET OF THINGS: Information on Use by Federal Agencies
・[PDF]
■ 参考
● GovInfo Security
・2020.09.030 Federal IoT Guidelines Move Closer to Becoming Law by
IoT Products Would Have to Meet Minimum Security Requirements for Use by Government
« 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。 | Main | 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています »
Comments