米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表
こんにちは、丸山満彦です。
ついに米国でも大統領令 (EO) 14028ですることになった消費者向けIoT製品のセキュリティ認証制度が始まるようですね。。。
名称は、サイバートラスト・マーク。。。
2024年後半?開始予定のようです。。。
クライテリア (Criteria) は、NISTが策定することになっていますね。。。
マークはこんな感じのようです。。。上から、
アクア、グリーン、レッド、ブラック、ホワイト...
すでに欧州ではドイツが制度を開始していますよね。。。そして、シンガポール、フィンランド。。。英国も1年後に開始予定。そして、米国も...
日本では、一般社団法人 重要生活機器連携セキュリティ協議会 (CCDS)という民間団体がすでに認証制度を開始していますが、国としての制度設計は今、まさに経済産業省検討中のところ...
グローバルに調和のとれた制度になってほしいですね。。。
● White House
| Biden-Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers | バイデン-ハリス政権、米国消費者保護のためスマート機器のサイバーセキュリティ表示プログラムを発表 |
| Leading electronics and appliance manufacturers and retailers make voluntary commitments to increase cybersecurity on smart devices, help consumers choose products that are less vulnerable to cyberattacks. | 大手電子機器・家電メーカーと小売業者は、スマート・デバイスのサイバーセキュリティを向上させ、消費者がサイバー攻撃に対して脆弱性の少ない製品を選択できるよう、自主的な取り組みを行う。 |
| “U.S. Cyber Trust Mark” is the latest in a series of actions President Biden and the Biden-Harris Administration have taken to protect hard-working families. | 米国サイバートラストマーク は、バイデン大統領とバイデン-ハリス政権が勤勉な家庭を守るために取った一連の行動の最新版である。 |
| The Biden-Harris Administration today announced a cybersecurity certification and labeling program to help Americans more easily choose smart devices that are safer and less vulnerable to cyberattacks. The new “U.S. Cyber Trust Mark” program proposed by Federal Communications Commission (FCC) Chairwoman Jessica Rosenworcel would raise the bar for cybersecurity across common devices, including smart refrigerators, smart microwaves, smart televisions, smart climate control systems, smart fitness trackers, and more. This is the latest example of President Biden’s leadership on behalf of hard-working families—from cracking down on hidden junk fees, to strengthening cyber protections and protecting the privacy of people in their own homes. | バイデン-ハリス政権は本日、米国人がより安全でサイバー攻撃に対する脆弱性の少ないスマート機器をより簡単に選択できるよう、サイバーセキュリティ認証とラベリング・プログラムを発表した。連邦通信委員会(FCC)のジェシカ・ローゼンウォーセル委員長が提案した新しい「U.S. Cyber Trust Mark」プログラムは、スマート冷蔵庫、スマート電子レンジ、スマートテレビ、スマート空調システム、スマート・フィットネス・トラッカーなど、一般的な機器のサイバーセキュリティの水準を引き上げるものである。これは、隠れたジャンク料金の取り締まりから、サイバー防御の強化、自宅でのプライバシー保護に至るまで、勤勉な家庭のためにバイデン大統領がリーダーシップを発揮している最新の例である。 |
| Several major electronics, appliance, and consumer product manufacturers, retailers, and trade associations have made voluntary commitments to increase cybersecurity for the products they sell. Manufacturers and retailers announcing support and commitments today to further the program include Amazon, Best Buy, Google, LG Electronics U.S.A., Logitech, and Samsung Electronics. Under the proposed new program, consumers would see a newly created “U.S. Cyber Trust Mark” in the form of a distinct shield logo applied to products meeting established cybersecurity criteria. The goal of the program is to provide tools for consumers to make informed decisions about the relative security of products they choose to bring into their homes. | いくつかの主要な電子機器、家電製品、消費者製品メーカー、小売業者、業界団体は、販売する製品のサイバーセキュリティを強化するために自主的なコミットメントを行った。 本日、このプログラムを推進することを表明したメーカーや小売業者には、アマゾン、ベスト・バイ、グーグル、LGエレクトロニクスU.S.A.、ロジテック、サムスン電子が含まれる。提案されている新プログラムの下では、消費者は、確立されたサイバーセキュリティ基準を満たす製品に、明確なシールドロゴの形で新たに作成された「U.S. Cyber Trust Mark」を目にすることになる。このプログラムの目的は、消費者が自分の家に持ち込む製品の相対的なセキュリティについて、十分な情報を得た上で決断できるようなツールを提供することである。 |
| Acting under its authorities to regulate wireless communication devices, the FCC is expected to seek public comment on rolling out the proposed voluntary cybersecurity labeling program, which is expected to be up and running in 2024. As proposed, the program would leverage stakeholder-led efforts to certify and label products, based on specific cybersecurity criteria published by the National Institute of Standards and Technology (NIST) that, for example, requires unique and strong default passwords, data protection, software updates, and incident detection capabilities. | FCCは、無線通信機器を規制する権限に基づき、サイバーセキュリティに関する自主的なラベル付けプログラムを2024年に開始する予定である。提案されているように、このプログラムは、例えば、ユニークで強力なデフォルトパスワード、データ保護、ソフトウェアアップデート、インシデント検出機能などを要求する国立標準技術研究所(NIST)が公表した特定のサイバーセキュリティ基準に基づいて、製品の認証とラベル付けを行う関係者主導の取り組みを活用するものである。 |
| Today, the FCC is applying to register a national trademark with the U.S. Patent and Trademark Office that would be applied to products meeting the established cybersecurity criteria. The Administration—including the Cybersecurity and Infrastructure Security Agency—would support the FCC in educating consumers to look for the new label when making purchasing decisions, and encouraging major U.S. retailers to prioritize labeled products when placing them on the shelf and online. | 今日、FCCは、確立されたサイバーセキュリティ基準を満たす製品に適用される国家商標を米国特許商標庁に登録申請している。サイバーセキュリティ・インフラセキュリティ庁を含む当政権は、消費者が購入を決定する際にこの新しいラベルを探すようFCCを支援し、米国の大手小売業者がラベル付き製品を優先的に棚やオンラインに並べるよう奨励する。 |
| To further enhance transparency and competition: | 透明性と競争をさらに強化する: |
| The FCC intends the use a QR code linking to a national registry of certified devices to provide consumers with specific and comparable security information about these smart products. Working with other regulators and the U.S. Department of Justice, the Commission plans to establish oversight and enforcement safeguards to maintain trust and confidence in the program. | FCCは、これらのスマート製品に関する具体的かつ比較可能なセキュリティ情報を消費者に提供するため、認証された機器の全国登録簿にリンクするQRコードを使用する意向である。FCCは、他の規制当局や司法省と協力して、このプログラムに対する信頼と信用を維持するための監視と執行のセーフガードを確立する計画である。 |
| NIST will also immediately undertake an effort to define cybersecurity requirements for consumer-grade routers—a higher-risk type of product that, if compromised, can be used to eavesdrop, steal passwords, and attack other devices and high value networks. NIST will complete this work by the end of 2023, to permit the Commission to consider use of these requirements to expand the labeling program to cover consumer grade routers. | NISTはまた、コンシューマーグレードのルーターに対するサイバーセキュリティ要件を定義する作業にも直ちに着手する予定である。この種の製品はリスクが高く、もし侵害されれば、盗聴、パスワードの窃盗、他の機器や高価値ネットワークへの攻撃に利用される可能性がある。NISTはこの作業を2023年末までに完了させ、欧州委員会がこれらの要件を利用して、消費者グレードのルーターを対象とする表示プログラムの拡大を検討できるようにする。 |
| The U.S. Department of Energy today also announced a collaborative initiative with National Labs and industry partners to research and develop cybersecurity labeling requirements for smart meters and power inverters, both essential components of the clean, smart grid of the future. | また、米国エネルギー省は本日、将来のクリーンでスマートな送電網に不可欠なスマートメーターと電力インバーターのサイバーセキュリティ表示要件を研究開発するため、国立研究所および業界パートナーとの共同イニシアティブを発表した。 |
| Internationally, the U.S. Department of State is committed to supporting the FCC to engage allies and partners toward harmonizing standards and pursuing mutual recognition of similar labeling efforts. | 国際的には、米国務省は、FCCが同盟国やパートナーを巻き込み、標準の調和を図り、同様のラベリング努力の相互承認を追求することを支援することにコミットしている。 |
| This new labeling program would help provide Americans with greater assurances about the cybersecurity of the products they use and rely on in their everyday lives. It would also be beneficial for businesses, as it would help differentiate trustworthy products in the marketplace. | この新しいラベリング・プログラムは、米国人が日常生活で使用し、依存している製品のサイバーセキュリティについて、より大きな保証を提供するのに役立つだろう。また、信頼できる製品を市場で差別化することができるため、企業にとっても有益である。 |
| As part of the development of the program, the Biden-Harris Administration and FCC will continue to engage stakeholders, regulators, and Congress to fully implement this program and work together to keep Americans safe. | プログラム開発の一環として、バイデン-ハリス政権とFCCは、関係者、規制当局、議会を巻き込み、このプログラムを完全に実施し、米国人の安全を守るために協力していく。 |
| Participants in today’s announcement include: Amazon, Best Buy, Carnegie Mellon University, CyLab, Cisco Systems, Connectivity Standards Alliance, Consumer Reports, Consumer Technology Association, Google, Infineon, the Information Technology Industry Council, IoXT, KeySight, LG Electronics U.S.A., Logitech, OpenPolicy, Qorvo, Qualcomm, Samsung Electronics, UL Solutions, Yale and August U.S. | 本日の発表には、以下の企業が参加している: Amazon、Best Buy、Carnegie Mellon University、CyLab、Cisco Systems、Connectivity Standards Alliance、Consumer Reports、Consumer Technology Association、Google、Infineon、Information Technology Industry Council、IoXT、KeySight、LG Electronics U.S.A.、Logitech、OpenPolicy、Qorvo、Qualcomm、Samsung Electronics、UL Solutions、Yale、August U.S. など。 |
ホワイトハウスで実施された、ラウンドテーブル
・[YouTube] Internet of Things Labeling Initiative
● Federal Communication Commission; FCC
・2023.07.18 Rosenworcel Announces Cybersecurity Labeling Program for Smart Devices
・[PDF]
| CHAIRWOMAN ROSENWORCEL OUTLINES PROPOSED VOLUNTARY CYBERSECURITY LABELING PROGRAM FOR SMART DEVICES | ローゼンウォーセル委員長、スマート機器のサイバーセキュリティ自主表示プログラム案の概要を発表 |
| “U.S. Cyber Trust Mark” Program Would Help Consumers Make Informed Purchasing Decisions and Encourage Manufacturers to Meet Higher Cybersecurity Standards | 「米国サイバートラストマーク」プログラムは、消費者が十分な情報を得た上で購入する際の判断材料となり、製造業者により高いサイバーセキュリティ標準を満たすよう促すものである。 |
| WASHINGTON, July 18, 2023—Federal Communications Commission Chairwoman Jessica Rosenworcel debuted a proposal with her fellow Commissioners to create a voluntary cybersecurity labeling program that would provide consumers with clear information about the security of their Internet-enabled devices, commonly called “Internet of Things” or “smart” devices. The proposed program—where qualifying products would bear a new U.S Cyber Trust Mark—would help consumers make informed purchasing decisions, differentiate trustworthy products in the marketplace, and create incentives for manufacturers to meet higher cybersecurity standards. | ワシントン2023年7月18日】米連邦通信委員会(FCC)のジェシカ・ローゼンウォーセル委員長は、「IoT」または「スマート」デバイスと呼ばれるインターネット対応機器のセキュリティに関する明確な情報を消費者に提供するため、サイバーセキュリティに関する自主的な表示プログラムを創設する案を、同僚委員とともに発表した。 このプログラムでは、対象となる製品に新たに「U.S. Cyber Trust Mark(米国サイバートラストマーク)」を表示することで、消費者が十分な情報を得た上で購入の意思決定を行い、市場で信頼できる製品を差別化し、メーカーがより高いサイバーセキュリティ基準を満たすためのインセンティブを生み出すことができる。 |
 |
|
| [Image: Copy of the logo the FCC filed for a certification mark with the U.S. Patent and Trademark Office] | 画像 FCCが米国特許商標庁に認証マークとして申請したロゴのコピー]。 |
| “Smart devices make our lives easier and more efficient—from allowing us to check who is at the front door when we’re away to helping us keep tabs on our health, remotely adjust the thermostat to save energy, work from home more efficiently, and much more,” said Chairwoman Rosenworcel. “But increased interconnection also brings increased security and privacy risks. Today I am proposing that the FCC establish a new cybersecurity labeling program so that consumers will know when devices meet widely accepted security standards. This voluntary program, which would build on work by the National Institute of Standards and Technology, industry, and researchers, would raise awareness of cybersecurity by helping consumers make smart choices about the devices they bring into their homes, just like the Energy Star program did when it was created to bring attention to energy-efficient appliances and encourage more companies to produce them in the marketplace.” | 「スマートデバイスは、私たちの生活をより便利で効率的なものにしてくれる。留守中に誰が玄関にいるかを確認したり、健康状態を把握したり、省エネのためにサーモスタットを遠隔操作で調整したり、在宅勤務をより効率的にしたり、その他多くのことを助けてくれる。 「しかし、相互接続の拡大は、セキュリティやプライバシーのリスクも増大させる。 今日私は、FCCが新しいサイバーセキュリティ表示プログラムを設立し、機器が広く受け入れられているセキュリティ標準に適合していることを消費者が知ることができるようにすることを提案する。 この自主的なプログラムは、国立標準技術研究所、産業界、研究者による研究を基礎とするものであり、消費者が家庭に持ち込む機器について賢い選択をする手助けをすることで、サイバーセキュリティに対する認識を高めることができる。 |
| The draft proposal, called a Notice of Proposed Rulemaking (NPRM), outlines a voluntary cybersecurity labeling program that would be established under the FCC’s authority to regulate wireless communications devices based on cybersecurity criteria developed by the National Institute of Standards and Technology (NIST). If the proposal is adopted by a vote of the Commission, it would be issued for public comment, and could be up and running by late 2024. | NPRM(Notice of Proposed Rulemaking)と呼ばれるドラフト案は、国立標準技術研究所(NIST)が策定したサイバーセキュリティ基準に基づいて無線通信機器を規制するFCCの権限に基づいて設立される、自主的なサイバーセキュリティ表示プログラムの概要を示している。 この提案が委員会の投票によって採択されれば、パブリックコメントの募集が開始され、2024年後半には運用が開始される可能性がある。 |
| The proposal seeks input on issues including the scope of devices for sale in the U.S. that should be eligible for inclusion in the labeling program, who should oversee and manage the program, how to develop the security standards that could apply to different types of devices, how to demonstrate compliance with those security standards, how to safeguard the cybersecurity label against unauthorized use, and how to educate consumers about the program. The Commission today also unveiled the proposed U.S. Cyber Trust Mark logo, which would appear on packaging alongside a QR code that consumer can scan for further information, pending a certification mark approval by the U.S. Patent and Trademark Office. | この提案では、ラベリングプログラムの対象となるべき米国で販売される機器の範囲、プログラムの監督・管理者、さまざまな種類の機器に適用できるセキュリティ標準の策定方法、セキュリティ標準への準拠を証明する方法、不正使用に対するサイバーセキュリティラベルの保護方法、プログラムに関する消費者への教育方法などの問題について意見を求めている。 このマークは、米国特許商標庁による認証マークの認可が下りるまで、消費者がスキャンして詳細情報を得ることができるQRコードとともにパッケージに表示される。 |
| There are a wide range of consumer Internet of Things (or “IoT”) products on the market that communicate over networks. These products are made up of various devices, and are based on many technologies, each of which presents a set of security challenges. According to one third party estimate, there were more than 1.5 billion attacks against IoT devices in the first six months of 2021 alone. Others estimate that there will be more than 25 billion connected IoT devices in operation by 2030. The proposal announced today builds on the significant public and private sector work already underway on IoT cybersecurity and labeling, emphasizing the importance of continued partnership so that consumers can enjoy the benefits of this technology with greater confidence in and knowledge of their devices’ security. | 消費者向けのモノのインターネット(または「IoT」)製品には、ネットワークを介してコミュニケーションするものが幅広く出回っている。 これらの製品は様々なデバイスで構成され、多くの技術に基づいており、それぞれがセキュリティ上の課題を抱えている。 あるサードパーティーの試算によると、IoTデバイスに対する攻撃は、2021年の最初の半年だけで15億件以上あったという。 また、2030年までに250億台以上のコネクテッドIoTデバイスが稼動するとの予測もある。 本日発表された提案は、IoTサイバーセキュリティとラベリングに関してすでに進められている官民の重要な取り組みを基礎とするもので、消費者がデバイスのセキュリティに対するより高い信頼と知識をもってこの技術の恩恵を享受できるよう、継続的なパートナーシップの重要性を強調している。 |
マークのデザイン等は...
・2023.07.18 Certification Mark – U.S. Cybersecurity Labeling Program for Smart Devices
委員長の発言...
| REMARKS OF CHAIRWOMAN JESSICA ROSENWORCEL FEDERAL COMMUNICATIONS COMMISSION US CYBERSECURITY LABELING PROGRAM FOR SMART DEVICES EISENHOWER EXECUTIVE OFFICE BUILDING WASHINGTON, DC | ジェシカ・ローゼンウォーセル連邦通信委員会委員長の発言 アイゼンハワー行政府ワシントンD.C. |
| 18-Jul-23 | 18-Jul-23 |
| Good morning. It’s wonderful to be here with security champions in the government and so many industry experts, too. | おはようございます。 政府のセキュリティ・チャンピオンの皆さん、そして多くの業界の専門家の皆さんとご一緒できて光栄です。 |
| There are now so many new devices—from smart televisions and thermostats to home security cameras, baby monitors, and fitness trackers—that are connected to the internet. These technologies provide huge benefits because they can make our lives easier and more efficient. They allow us to do things like check who is at the front door when we are away, keep tabs on our health, and automatically adjust the thermostat, so we save on our energy bills. | スマートテレビやサーモスタットから、ホームセキュリティカメラ、ベビーモニター、フィットネストラッカーに至るまで、インターネットに接続された新しいデバイスが数多く登場しています。 これらのテクノロジーは、私たちの生活をより簡単で効率的なものにするため、大きなメリットをプロバイダにもたらします。 例えば、留守中に誰が玄関にいるかを確認したり、健康状態を把握したり、サーモスタットを自動調節して光熱費を節約したりすることができます。 |
| But this increased interconnection brings more than just convenience. It brings increased security risk. After all, every device connected to the internet is a point of entry for the kind of cyberattacks that can take our personal data and compromise our safety. That is true for the biggest connections to the largest businesses and the smallest connections to the devices in our homes. | しかし、このような相互接続の増加は、利便性だけではありません。 セキュリティ・リスクの増大です。 結局のところ、インターネットに接続されたすべてのデバイスは、個人データを盗み出し、私たちの安全を脅かすサイバー攻撃の侵入口となるのです。 これは、大企業への最大の接続でも、家庭内の機器への最小の接続でも同じです。 |
| Let me give you an example. This is from a story about cybercrime told by the author Misha Glenn. It involves a bank, which like most institutions in the modern economy, understood the vulnerabilities of digital age activity. In fact, they spared no expense when it came to cybersecurity. They carefully assessed the risks of their operation and spent liberally to ensure the secure transfer of funds. In the process, they convinced themselves that their comprehensive efforts had made them just about invincible. Of course, pride often comes just before the fall. Because despite their best efforts, it didn’t take long for a hacker to find a vulnerability. It wasn’t in the bank’s systems for transactions, deposits, or accounts. It was in a vending machine at headquarters that was filled with chocolate bars. The vending machine had its own IP address. But the bank neglected to put it on the system for automated software patching updates. After all, when you plan for security updates, the machine where you drop your spare coins for something sweet to keep you going when working late is unlikely to be the focus of your efforts. But that was all it took for this bank to be penetrated. A single vending machine packed with chocolate. | 例を挙げましょう。 これは、作家のミーシャ・グレンが語ったサイバー犯罪に関する話です。 現代経済におけるほとんどの機構がそうであるように、銀行もデジタル時代の活動の脆弱性を理解していました。 実際、サイバーセキュリティに関しては、出費を惜しみませんでした。 慎重にリスクをアセスメントし、安全な資金移動のために惜しみなく資金を投入しました。 その過程で、彼らは自分たちの包括的な努力によって無敵に近い状態になったと確信したのです。 もちろん、慢心はしばしば転落の直前に訪れるもの。 なぜなら、彼らの最善の努力にもかかわらず、ハッカーが脆弱性を見つけるのに時間はかからなかったからです。 それは銀行の取引、預金、口座のシステムにはありませんでした。 本部にあるチョコレート・バーの自動販売機にあったのです。 その自動販売機には独自のIPアドレスがありました。 しかし、銀行は自動ソフトウェア・パッチ・アップデートのシステムにその自動販売機を入れるのを怠っていたのです。 結局のところ、セキュリティ・アップデートを計画する際、残業中に甘いものを買うために小銭を入れる自動販売機が、その取り組みの焦点になることはまずないのです。 しかし、この銀行が侵入されるのに必要だったのはそれだけだったのです。 チョコレートが詰まった一台の自動販売機。 |
| I love this story because it is a reminder that so much is now connected in our lives. This is true in businesses—like banks—but it is increasingly true for all of us at home, too. All of those new home security cameras, connected thermostats, and fitness trackers add up. In fact, right now there are an estimated 17 billion smart devices in the world. And we are just getting started. Because the number of smart devices is growing fast. In fact, we expect to see 25 billion smart devices by the end of the decade. And cyberattacks on these devices are growing. They can make us wary of bringing smart devices into our lives, and missing out on the convenience and opportunity they provide. | この話が好きなのは、私たちの生活の中で多くのことがつながっていることを思い出させてくれるからです。 これは銀行のようなビジネスにおいても言えることですが、家庭においてもますますそうなってきています。 新しい家庭用セキュリティカメラ、コネクテッド・サーモスタット、フィットネス・トラッカーなど、すべてがつながっています。 実際、現在世界には推定170億台のスマート・デバイスがあります。 そして、私たちはまだ始まったばかりです。 なぜなら、スマート・デバイスの数は急速に増えているからです。 実際、10年後までには250億台のスマートデバイスが登場すると予想されています。 そして、これらのデバイスに対するサイバー攻撃は増加の一途をたどっています。 このようなサイバー攻撃は、私たちの生活にスマートデバイスを持ち込むことを躊躇させ、スマートデバイスが提供する利便性やチャンスを逃すことになりかねません。 |
| But it doesn’t have to be this way. Because we can do more to make internet of things devices secure and help consumers make good choices about what they bring into their homes and businesses. | しかし、このようになる必要はありません。 なぜなら、モノのインターネット・デバイスを安全にし、消費者が家庭やビジネスに持ち込むものを適切に選択できるようにするために、私たちはもっとできることがあるからです。 |
| In fact, a lot of people here today have been hard at work developing solutions. For years, my colleagues at NIST have been developing security criteria for smart devices. And last year, I had the opportunity to join many of you, along with NIST, for a discussion at the White House about how we can come together to improve security for smart devices and help consumers understand what they are purchasing. | 実際、今日ここにいる多くの人々が、懸命にソリューションを開発してきました。 何年もの間、NISTの同僚たちはスマート・デバイスのセキュリティ基準を開発してきました。 そして昨年、私はNISTとともにホワイトハウスで、スマート・デバイスのセキュリティを改善し、消費者が何を購入しようとしているのかを理解できるようにするために私たちがどのように協力できるかについて、多くの皆さんと議論する機会を得ました。 |
| I left that conversation energized. So now I want to tell you how we are going to turn that energy into action. | 私はこの話し合いで元気をもらいました。 そこで今、私たちがそのエネルギーをどのように行動に移していくかをお話ししたいと思います。 |
| Today, I put before my colleagues at the Federal Communications Commission a proposal to put in place the first-ever voluntary cybersecurity labeling program for connected smart devices. We are calling it the U.S. Cyber Trust Mark. And just like the “Energy Star” logo helps consumers know what devices are energy efficient, the Cyber Trust Mark will help consumers make more informed purchasing decisions about device privacy and security. So when you need a baby monitor or new home appliance, you will be able to look for the Cyber Trust Mark and shop with greater confidence. What’s more, because we know devices and services are not static, we are proposing that along with the mark we will have a QR code that provides up-to-date information on that device. | 本日、私は連邦コミュニケーション委員会の同僚たちに、接続されたスマート・デバイスのための、史上初の自主的サイバーセキュリティ表示プログラムを導入する提案を行いました。 私たちはこれを「米国サイバートラストマーク」と呼んでいます。 エナジースター」のロゴが、消費者がどの機器がエネルギー効率に優れているかを知るのに役立つように、サイバートラストマークは、消費者が機器のプライバシーとセキュリティについて、より多くの情報を得た上で購入を決定するのに役立ちます。 そのため、ベビーモニターや新しい家電製品が必要になったとき、サイバートラストマークを探して、より安心して買い物をすることができるようになります。 さらに、私たちはデバイスやサービスが固定的なものではないことを知っているため、マークとともに、そのデバイスに関する最新情報を提供するQRコードを用意することをプロバイダに提案しています。 |
| This proposal builds on good work already done by government and industry because we will rely on the NIST-recommended criteria for cybersecurity to set the Cyber Trust Mark program up. That means we will use criteria device manufacturers already know, and, when they choose to meet these standards, they will be able to showcase privacy and security in the marketplace by displaying this mark. Over time, we hope more companies will use it—and more consumers will demand it. | この提案は、政府と産業界がすでに行っている優れた取り組みの上に成り立っています。というのも、私たちはサイバートラストマークプログラムを立ち上げるにあたり、NISTが推奨するサイバーセキュリティの基準に依拠するからです。 つまり、デバイスメーカーがすでに知っている標準を使用し、これらの標準を満たすことを選択した場合、このマークを表示することで、プライバシーとセキュリティを市場でアピールすることができます。 やがて、より多くの企業がこのマークを使用するようになり、より多くの消費者がこのマークを求めるようになることを願っています。 |
| So let’s talk next steps. If adopted by my colleagues at the agency, we will seek public comment on this proposal. We will ask for input on how best to establish this voluntary labeling program, the scope of eligible devices, the mechanics of managing this program, how to further develop standards that could apply to different kinds of devices, how to demonstrate compliance with those standards, and how best to educate consumers. | それでは、次のステップについてお話ししましょう。 私の同僚がこの提案を採用した場合、私たちはパブリックコメントを求める予定です。 この自主的な表示プログラムを確立する最善の方法、対象となる機器の範囲、このプログラムを管理する仕組み、さまざまな種類の機器に適用できる標準をさらに開発する方法、その標準への準拠を証明する方法、そして消費者を教育する最善の方法について意見を求めます。 |
| That is not a small task. But it’s worth it. Because the future of smart devices is big. And even bigger is the opportunity for us to ensure that every consumer, business, and every bank with a vending machine can make smart choices about the connected devices they use. So let’s get to it. | これは小さな仕事ではありません。 しかし、それだけの価値はあります。 なぜなら、スマート・デバイスの未来は大きいからです。 そしてさらに大きなチャンスは、すべての消費者、企業、自動販売機のあるすべての銀行が、使用するコネクテッド・デバイスについて賢い選択ができるようにすることです。 さあ、始めましょう。 |
情報技術産業協議会の反応...
IoTのセキュリティに対しても積極的に取り組んできたし、政策提言もしていましたからね。。。
● Information Technology Industry Council; ITI
・2023.07.18 ITI: U.S. Cyber Trust Mark is Key to a Safe and Resilient Global IoT Ecosystem
| ITI: U.S. Cyber Trust Mark is Key to a Safe and Resilient Global IoT Ecosystem | ITI:米国のサイバートラストマークは安全でレジリエンスなグローバルIoTエコシステムの鍵である |
| WASHINGTON – Today, global tech trade association ITI welcomed the Biden Administration’s unveiling of the U.S. Cyber Trust Mark, a voluntary cybersecurity certification and labeling program designed to make smart devices more secure and less vulnerable to cyberattacks. ITI’s President and CEO Jason Oxman will echo the tech industry’s support of the effort during a roundtable event at the White House today. | ワシントン発 - 世界的なハイテク業界団体であるITIは本日、バイデン政権が米国サイバートラストマークを発表したことを歓迎した。このマークは、スマートデバイスの安全性を高め、サイバー攻撃に対する脆弱性を軽減することを目的とした任意のサイバーセキュリティ認証・表示プログラムである。ITIのジェイソン・オックスマン会長兼最高経営責任者(CEO)は、本日ホワイトハウスで開催された円卓会議で、この取り組みに対するハイテク業界の支持を表明した。 |
| Governments around the world are considering adopting cybersecurity labeling as a mechanism to better understand and communicate security features in ICT products and services to facilitate confidence, assurance, and trust in such products and services. Providing end-users with clear information about companies’ adherence to cybersecurity standards and discrete topics such as the security features/functionality in devices or services can foster market competition based on security, build trust, and help end-users fulfill their role in maintaining security. | 世界中の政府は、ICT製品やサービスのセキュリティ機能をよりよく理解し、伝えるための仕組みとして、サイバーセキュリティラベルの採用を検討している。企業がサイバーセキュリティ標準を遵守していることや、機器やサービスにおけるセキュリティ機能・特徴といった個別のトピックに関する明確な情報をエンドユーザに提供することは、セキュリティに基づく市場競争を促進し、トラストを構築し、エンドユーザがセキュリティの維持に果たす役割を支援することにつながる。 |
| “As cyberattacks become more sophisticated and dynamic, cybersecurity labels can provide consumers with clear information about the cybersecurity of smart devices ,” said ITI President and CEO Jason Oxman. “The administration’s new U.S. Cyber Trust Mark will play an important role in equipping consumers with the tools necessary to protect themselves while helping to facilitate greater confidence and trust. ITI and our member companies look forward to working with the administration and other stakeholders to promote consumer awareness and foster adoption of the label and advance a safe and resilient Internet of Things (IoT) ecosystem for all consumers.” | ITI会長兼CEOのジェイソン・オックスマンは、次のように述べた。「サイバー攻撃がより巧妙でダイナミックになるにつれ、サイバーセキュリティのラベルは、スマート機器のサイバーセキュリティに関する明確な情報を消費者に提供することができる。米国政府の新しいサイバートラストマークは、消費者が自分自身を守るために必要なツールを身につける上で重要な役割を果たすと同時に、より大きな信頼と信用を促進するのに役立つだろう。ITIと会員企業は、消費者の認識を促進し、ラベルの採用を促進し、すべての消費者にとって安全でレジリエンスの高いモノのインターネット(IoT)エコシステムを促進するために、行政やその他の関係者と協力することを楽しみにしている。」 |
| ITI has long been a cybersecurity policy leader worldwide. IoT security, including that of smart devices, and cybersecurity certification and labeling have been top priorities for several years. In recent years, ITI issued three sets of first-of-their-kind policy documents designed to help policymakers and stakeholders better ensure the security of the IoT ecosystem, and how to smartly employ tools such as certification and labeling to advance cybersecurity: IoT Security Policy Principles, Policy Principles for Cybersecurity Certification, and Cybersecurity Labeling: A Guide for Policymakers . |
ITIは長年にわたり、世界のサイバーセキュリティ政策をリードしてきた。スマートデバイスを含むIoTセキュリティとサイバーセキュリティ認証およびラベリングは、数年前から最優先事項となっている。近年、ITIは、政策立案者や利害関係者がIoTエコシステムのセキュリティをより確実にし、サイバーセキュリティを向上させるために認証やラベリングなどのツールを賢く採用する方法を支援することを目的とした、他に類を見ない3組の政策文書を発行した:「 IoTセキュリティ政策原則」、「サイバーセキュリティ認証のための政策原則」、「サイバーセキュリティのラベリング」である: 政策立案者のためのガイド |
過去の政策提言等
・2021.04.21 ITI Releases First-of-its-Kind Global Policy Recommendations for Cybersecurity Labeling
・2020.09.01 ITI Unveils Policy Principles for Cybersecurity Certification for Global Policymakers
・2020.02.05 ITI Issues Policy Principles to Help Secure and Fortify the Internet of Things
● まるちゃんの情報セキュリティ気まぐれ日記
米国...
・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書
・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準
・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準
・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D
・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。
EU
・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る
・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設
・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す
・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)
・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)
・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品
・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与
・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。
英国
・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)
・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)
・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表
・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24
中国
・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持
日本
・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ
・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会
Comments