英国 スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性

こんにちは、丸山満彦です。

英国政府（デジタル・文化・メディア・スポーツ省）は、スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性について発表していますね。。。

スマートデバイスの工場出荷時のパスワードを全て同じにしてたらあかんで、販売する時にセキュリティアップデートの期間を説明する必要がありまっせとか、脆弱性を見つけた場合の報告先を作っときや、といった規制が考えれているようですね。。。

● U.K. Government - Department for Digital, Culture, Media & Sport 

発表文

・2021.04.21 (press) New cyber security laws to protect smart devices amid pandemic sales surge

Groundbreaking plans to protect people from cyber attacks

規制概要のまとめページ

・2021.04.21 (Policy Paper) Regulating consumer smart product cyber security - government response

The government's response to a call for views on proposals for regulating consumer smart product cyber security.

法律の方向性

・2021.04.21 Government response to the call for views on consumer connected product cyber security legislation

1. Ministerial foreword	1. 大臣による序文
2. Executive summary	2. エグゼクティブサマリー
3. Policy objectives	3. 政策目標
3.1 Protecting citizens, networks and infrastructure from harm	3.1 市民、ネットワーク、インフラを被害から守ること
3.2 Enabling emerging tech to grow and flourish by improving security, and Increasing consumer confidence	3.2 セキュリティを向上させ、消費者の信頼を高めることで、新興技術の成長と繁栄を可能にする。
3.3 Adopting a proportionate approach to placing obligations on relevant economic actors, without compromising effectiveness	3.3 有効性を損なうことなく、関連する経済主体に義務を課すための比例的なアプローチを採用する。
3.4 Continuing to protect citizens, networks and infrastructures from harm in the face of an uncertain future	3.4 不確実な未来に直面する中で、市民、ネットワーク、インフラを被害から守り続けること
4. Overview of the government’s intent	4. 政府の意図の概要
4.1 Key policy positions	4.1 主要な政策的立場
4.2 Key policy positions - scope of the intended legislation	4.2 主要な政策的立場-意図された法律の範囲
4.3 Key policy positions - role of economic actors	4.3 主要な政策的立場-経済関係者の役割
4.4 Key policy positions - how the legislation will be enforced	4.4 主要な政策的立場-立法の執行方法
4.5 Key policy positions - scope of the intended legislation	4.5 主要な政策的立場-意図する立法の範囲
4.6 Key policy positions - role of economic actors	4.6 主要な政策的立場-経済的関係者の役割
4.7 Key policy positions - How this legislation will be enforced	4.7 主要な政策的立場-本立法をどのように施行するか
5. Call for views - analysis overview	5. 意見募集-分析概要
6. Call for views - questions	6. 意見募集-質問

対象予定のスマート製品の例は

• スマートフォン
• ネット接続されるカメラ、テレビ、スピーカー
• ネット接続される子供用玩具とベビーモニター
• ネット接続される安全関連製品（煙探知器やドアロックなど）
• 複数の機器が接続するIoT基地局とハブ
• ネット接続されるウェアラブルフィットネストラッカー
• ウェアラブルではないネット接続型アウトドアレジャー製品（携帯型GPS機器など）
• ネット接続されるホームオートメーション、家庭警報システム
• ネット接続される電化製品（洗濯機、冷蔵庫など）
• スマートホームアシスタント

のようです。。。

明示的に除外されるもの

• 既存の規制または将来予定されている規制によって、セキュリティがすでにカバーされている製品
  
  • スマートメーター
• ビジネスへの影響を評価するための追加的な関与と分析が行われるまで、政府が含めることが不適切と判断した製品
  
  • ノートパソコン、デスクトップパソコン、携帯電話に接続していないタブレット
• 含めることで企業に非現実的な義務を課すことになる製品
  
  • 中古製品

予定されている規制内容

• 一定のセキュリティ要件または指定された基準に適合しない限り、消費者向け接続製品を英国市場で販売しないことを義務付ける

 

セキュリティ要件	採用	指定された外部基準
セキュリティ要件 1 ユニバーサル・デフォルト・パスワードの禁止	管理インターフェースのパスワードやサブコンポーネントのファームウェア内のパスワードなど、ユーザーが通常アクセスできないものも含め、デバイス内のすべてのパスワードを対象とすることを意図しています。サードパーティが提供するデバイスにプリインストールされているソフトウェアアプリケーション（アプリ）も対象となります。我々の意図は、デバイスごとにユニークであっても、容易に推測可能であり、したがってリスクをもたらすパスワードを禁止することです（例えば、「password1」、「password2」などの増分カウンタが使用されている場合など）。	EN 303 645 provisions 5.1-1 and 5.1-2
セキュリティ要件 2 脆弱性の報告を管理する手段の導入	この要求事項の意図は、第三者がメーカーに脆弱性を報告するための透明なルートを提供し、セキュリティ問題の解決を可能にすることにあります。消費者向けのコネクテッド製品のメーカーでは、このような慣行はまだ一般的ではありませんが、セキュリティ上の欠点を特定して対処し、この分野でのセキュリティ革新を支援するためには、このような仕組みが不可欠です。 注：この成果に対する指定基準は、デバイスおよび関連するデジタルサービスに適用されなければならない。	EN 303 645 provisions 5.2-1 OR ISO/IEC 29147(2018): clause 6.2
セキュリティ要件 3 最低限、どのくらいの期間、製品がセキュリティアップデートを受けるかについての透明性の提供	セキュリティアップデートの提供は、お客様を保護するための最も重要な仕組みの一つです。セキュリティアップデートの目的は、お客様のプライバシー、データ、およびセキュリティを危険にさらすセキュリティ上の欠陥に対処することであり、通常、製品が市場に投入されて初めて認識され、利用できるようになります。また、お客様が十分な情報を得た上で購入を決定できるようにすることも目的としています。消費者は、製品を購入する際に、その製品がセキュリティアップデートでサポートされる最低期間を知ることができます。また、定義されたサポート期間は、常にメーカーによって一方的に延長される可能性があることにも留意する必要があります。	EN 303 645 provision 5.3-13

 

 

 

---

 

関連する過去の調査

 

・[PDF] Consumer attitudes to IoT security - research report

 

 

・[PDF]  The UK code of practice for consumer IoT security - PETRAS/UCL research report