« 公認会計士協会 IT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正 | Main | NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価 »

2022.01.27

英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省は、スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表していますね。。。


● U.K. Government

・2022.01.26 (press) New smart devices cyber security laws one step closer

 

New smart devices cyber security laws one step closer スマートデバイスのサイバーセキュリティ新法に一歩近づく
Digital Secretary Nadine Dorries to open the debate on new law to strengthen cyber protections for people’s smartphones, TVs, speakers, routers and digital devices スマートフォン、テレビ、スピーカー、ルーターなどのデジタル機器のサイバー保護を強化する新法について、デジタル・セクレタリーのナディーン・ドリースが討論会を開催
From: Department for Digital, Culture, Media & Sport and The Rt Hon Nadine Dorries MP デジタル・文化・メディア・スポーツ省、The Rt Hon Nadine Dorries MPから
・Second reading of landmark Product Security and Telecoms Infrastructure Bill will prohibit UK sales of connectable digital products with poor cyber security ・「製品セキュリティおよび電気通信インフラ法案」の第二読会で、サイバーセキュリティが不十分な接続可能なデジタル製品の英国での販売が禁止されることが明確になった。
・Bill will speed up roll out of better mobile and broadband coverage by encouraging fairer and faster deals between landowners and mobile operators ・この法案は、土地所有者と携帯電話事業者との間のより公平で迅速な取引を促進することにより、モバイルやブロードバンドの普及を促進するものである。
MPs are set to debate a new world-leading law to keep consumers’ phones, tablets, smart TVs, fitness trackers and other devices secure from cybercriminals. 国会議員は、消費者の携帯電話、タブレット、スマートテレビ、フィットネストラッカー、その他の機器をサイバー犯罪者から守るための、世界をリードする新しい法律について議論する予定です。
It will place new cyber security requirements on the manufacturers and sellers of consumer tech which can connect to the internet or other devices. この法案は、インターネットや他の機器に接続可能な消費者向け機器の製造者および販売者に、新たなサイバーセキュリティ要件を課すものです。
Under the bill, easy-to-guess default passwords which come programmed into digital devices and present an easy target for cybercriminals will be banned. この法案では、デジタル機器にプログラムされ、サイバー犯罪者にとって格好の標的となっている、推測しやすいデフォルトのパスワードを禁止します。
Manufacturers will have to be more transparent to customers about the length of time products will receive security updates for connectable products and create a better public reporting system for vulnerabilities found in those products. また、製造業者は、接続可能な製品のセキュリティアップデートが提供される期間を顧客に対してより透明性の高いものとし、これらの製品に発見された脆弱性の報告システムをより適切に構築する必要があります。
Failure to uphold the measures could result in fines ​​of up to £10 million or four per cent global turnover, plus up to £20,000 per day in the case of an ongoing breach. これらの措置を怠った場合には、最高1,000万ポンドまたは全世界の売上高の4%、さらに継続的に違反があった場合には1日あたり最高2万ポンドの罰金が科せられることになります。
Ahead of introducing the bill in the House of Commons, Digital Secretary Nadine Dorries said: 下院での法案提出に先立ち、デジタル・セクレタリーのナディーン・ドリースは次のように述べています。
Whether it’s your phone, smart speaker or fitness tracker, it’s vital that these devices are kept secure from cybercriminals. 携帯電話、スマートスピーカー、フィットネストラッカーなど、これらのデバイスがサイバー犯罪者から安全に守られることは極めて重要です。
Every product on our shelves has to meet all sorts of minimum requirements, like being fire resistant or a choking hazard and this is no different for the digital age where products can now carry a cyber security risk. 棚に並んでいるすべての製品は、耐火性や窒息の危険性など、あらゆる種類の最低条件を満たしていなければなりません。これは、製品がサイバーセキュリティのリスクを抱えるようになったデジタル時代でも変わりません。
We are legislating to protect people across the UK and keep pace with technology as it transforms our everyday lives. 私たちは、英国の人々を保護し、日常生活を変化させるテクノロジーに対応するために法律を制定しています。
The bill will give ministers powers to put new requirements on the manufacturers, importers and distributors of consumer tech devices. They include: この法案は、消費者向けハイテク機器の製造業者、輸入業者、販売業者に新たな要件を課す権限を閣僚に与えます。その内容は以下の通りです。
Banning universal default passwords which are pre-set on devices - such as ‘password’ or ‘admin’ - and are an easy target for cyber criminals. Any preloaded product passwords will need to be unique and not resettable to universal factory settings. サイバー犯罪者の格好の標的となる、「password」や「admin」など、機器にあらかじめ設定されているユニバーサルなデフォルトパスワードを禁止する。プリロードされた製品のパスワードは、ユニークなものでなければならず、普遍的な工場出荷時の設定にリセットすることはできません。
Requiring device manufacturers to be transparent with consumers about how long they’ll provide security updates for products so people are clearer when they buy. If a product will not receive any security updates the customer must be informed. 機器メーカーは、製品のセキュリティアップデートを提供する期間について、消費者に対して透明性を確保することを要求し、消費者が製品を購入する際に明確になるようにする。製品にセキュリティアップデートが提供されない場合は、お客様にその旨を伝えなければなりません。
Ensuring manufacturers have a readily available public point of contact to make it easier for software flaws and bugs to be reported. ソフトウェアの欠陥やバグの報告を容易にするために、メーカーは一般に公開された連絡先を確保する。
​​The bill will also speed up the roll out of faster and more reliable broadband and mobile networks by making it easier for operators to upgrade and share infrastructure. The reforms will encourage quicker and more collaborative negotiations with landowners hosting the equipment with the aim of reducing instances of lengthy court action holding up the construction of infrastructure. また、この法案は、事業者がインフラのアップグレードや共有を容易にすることで、より高速で信頼性の高いブロードバンドおよびモバイルネットワークの展開を加速します。この改革により、設備を保有する土地所有者との交渉が迅速かつ協力的に行われるようになり、インフラの建設を妨げる長期の裁判を減らすことを目指します。
A regulator, to be announced at a later date, will oversee the new cyber security regime and ensure in-scope businesses comply with the measures in place. It will have the power to issue notices to companies requiring they comply with the security requirements, recall insecure products or stop selling or supplying them altogether. 後日発表される予定の規制当局は、新しいサイバーセキュリティ制度を監督し、対象となる企業が導入された措置を遵守することを保証します。規制当局は、企業に対し、セキュリティ要件の遵守、安全でない製品の回収、製品の販売・供給の全面的な停止を求める通知を発行する権限を有します。
The bill applies to ‘connectable’ products. This includes all devices which can access the internet such as smartphones, smart TVs, games consoles, security cameras and alarm systems, smart toys and baby monitors, smart home hubs and voice-activated assistants, and smart home appliances such as washing machines and fridges. この法案は、「接続可能な」製品に適用されます。スマートフォン、スマートテレビ、ゲーム機、防犯カメラやアラームシステム、スマートトイやベビーモニター、スマートホームハブや音声認識アシスタント、洗濯機や冷蔵庫などのスマート家電など、インターネットに接続できるすべての機器が対象となります。
It also applies to products which can connect to multiple other devices but not directly to the internet. Examples include smart light bulbs, smart thermostats and wearable fitness trackers. また、インターネットには直接接続できないが、他の複数の機器に接続できる製品にも適用されます。例えば、スマート電球、スマートサーモスタット、ウェアラブル・フィットネストラッカーなどです。
Matthew Evans, Director of Markets, techUK said: techUKのマーケッツ担当ディレクター、マシュー・エヴァンスは次のように述べています。
Industry has long supported the shared ambition to improve the cyber resilience of devices and has worked with DCMS across the Secure-By-Design agenda over the last five years. 「業界は、機器のサイバー耐性を向上させるという共通の目標を長年支持しており、過去5年間にわたりDCMSと協力して「Secure-By-Design」の課題に取り組んできました。
Most suppliers already adhere to the principles of the legislation and if implemented practically this will both protect consumers and ensure they have access to a wide range of connected devices. ほとんどのサプライヤーは、すでにこの法律の原則を遵守しており、これが実際に実施されれば、消費者を保護すると同時に、幅広いコネクテッドデバイスへのアクセスを確保することができます。
techUK also welcomes the Government’s efforts to reforming the Electronic Communications Code, which is essential to speeding up the rollout of gigabit and 5G infrastructure. Industry looks forward to further clarity on the amendments to the Code to ensure we can deliver the connectivity consumers and businesses need. techUKは、ギガビットおよび5Gインフラの展開を加速させるために不可欠な電子通信規約の改革に向けた政府の取り組みも歓迎します。業界としては、消費者や企業が必要とする接続性を確実に提供するために、コードの改正内容がさらに明確になることを期待しています」。
Hamish MacLeod, Chief Executive at Mobile UK, said: Mobile UKのチーフ・エグゼクティブであるHamish MacLeodは、次のように述べています。
Mobile operators need a robust legal framework to meet the UK’s connectivity ambitions. The Electronic Communications Code as it stands is not working. 「携帯電話事業者は、英国の接続性に関する目標を達成するために、強固な法的枠組みを必要としています。現状の電子通信規約は機能していません。
Mobile operators welcome the measures within this Bill that will tackle this and will engage closely with Parliament to ensure that it delivers on this objective. 携帯電話事業者は、この法案の中でこの問題に取り組むための措置を歓迎し、議会と緊密に連携してこの目的を達成することを目指します」。
ENDS ENDS
Notes to Editors: 編集者への注釈
Following its second reading the bill will advance to the committee stage where an assigned committee will scrutinise the bill in detail. Further information on the bill’s journey through Parliament can be found on the website 法案は、第2読会の後、委員会段階に進み、指定された委員会が法案を詳細に精査します。法案が議会を通過する過程の詳細については、ウェブサイトをご覧ください。
The security requirements that relate to the powers set out in Part 1 of the bill are to be introduced in regulations and are based on the 2018 Code of Practice for Consumer Internet of Things Security and the European Standard on Internet of Things Security, ETSI EN 303 645, which include thirteen outcome-focused guidelines that are widely considered good practice in IoT security. 法案の第1部で定められた権限に関連するセキュリティ要件は、規制で導入される予定であり、IoTセキュリティのグッドプラクティスとして広く考えられている13のアウトカムに焦点を当てたガイドラインを含む「2018 Code of Practice for Consumer Internet of Things Security」および「European Standard on Internet of Things Security, ETSI EN 303 645」に基づいています。

 

Fig1_20211219053501

 


 

法案の進捗状況等(議会)

● U.K. Parliament - Parliamentary Bills

Product Security and Telecommunications Infrastructure Bill

・[PDF] Bill 199 2021-22 (as introduced)

20220127-115023

関連文書

● U.K. Government

・2018.10.14 Code of Practice for Consumer IoT Security

・[HTML]

・[PDF

20220127-110420

 

● European Telecommunications Standards Institute: ETSI

・2020.06 [PDF] ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements

20220127-111537


上記の標準の技術仕様書

・2021.08 [PDF] ETSI TS 103 701 V1.1.1 CYBER; Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements

20220127-111703



 

|

« 公認会計士協会 IT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正 | Main | NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 公認会計士協会 IT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正 | Main | NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価 »