« 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12) | Main | ENISA 遠隔身元証明 (Remote ID Proofing) の優れた実践 »

2024.03.20

米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

こんにちは、丸山満彦です。

連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム、サイバートラストマークの規則を採択していますね。。。大統領令EO 14028で消費者向けIoT製品のセキュリティ認証制度をすることになり、サイバートラストマークまで決まりましたからね...

ということで、FCCから最終規則が公表されています...

内容が細かく、まだよく理解できていませんが...

評価基準はNISTが作ることになっていますよね...

 

Federal Communications Commission; FCC

1_20240320044401

・2024.03.15 FCC Adopts Rules for IoT Cybersecurity Labeling Program

    DOC PDF TXT
R&O/Notice of Proposed Rulemaking; NPRM:  R&O/規則制定提案公告
News Releaseabout:  ニュースリリース
Rosenworcel Statement:  ローゼンウォーセルの声明
Starks Statement:   スタークスの声明 
Simington Statement:  シミントンの声明
Gomez Statement:   ゴメスの声明 

 

ニュースリリース...

FCC CREATES VOLUNTARY CYBERSECURITY LABELING PROGRAM FOR SMART PRODUCTS FCC、スマート製品のサイバーセキュリティ自主表示プログラムを創設
‘U.S. Cyber Trust Mark’ Program Will Help Consumers Make Informed Purchasing Decisions and Encourage Manufacturers to Meet Higher Cybersecurity Standards  U.S. Cyber Trust Mark」プログラムは、消費者が十分な情報を得た上で購入を決定することを支援し、製造事業者により高いサイバーセキュリティ標準を満たすよう促すものである。
WASHINGTON, March 14, 2024— The Federal Communications Commission today voted to create a voluntary cybersecurity labeling program for wireless consumer Internet of Things (“IoT”) products.  Under the program, qualifying consumer smart products that meet robust cybersecurity standards will bear a label—including a new “U.S Cyber Trust Mark”—that will help consumers make informed purchasing decisions, differentiate trustworthy products in the marketplace, and create incentives for manufacturers to meet higher cybersecurity standards.  ワシントン、2024年3月14日- 連邦通信委員会は本日、消費者向け無線モノのインターネット(「IoT」)製品を対象とした、サイバーセキュリティに関する自主的な表示プログラムの創設を決定した。 このプログラムでは、消費者が十分な情報を得た上で購入の意思決定を行い、市場で信頼できる製品を差別化し、製造事業者がより高いサイバーセキュリティ基準を満たすためのインセンティブを生み出すのに役立つ、強固なサイバーセキュリティ標準を満たした適格な消費者向けスマート製品にラベル(新しい "U.S. Cyber Trust Mark "を含む)が付けられる。
With today’s action, the Commission has adopted the rules and framework for the program to move forward.  Among program highlights:     本日の決定により、欧州委員会はこのプログラムを推進するための規則と枠組みを採択した。 プログラムのハイライトは以下の通りである:    
· The U.S. Cyber Trust Mark logo will initially appear on wireless consumer IoT products that meet the program’s cybersecurity standards.   ・U.S. Cyber Trust Markのロゴはまず,同プログラムのサイバーセキュリティ標準を満たした消費者向けワイヤレスIoT製品に表示される。
· The logo will be accompanied by a QR code that consumers can scan for easy-to-understand details about the security of the product, such as the support period for the product and whether software patches and security updates are automatic. ・このロゴにはQRコードが添付され、消費者はこれをスキャンすることで、製品のサポート期間、ソフトウェア・パッチやセキュリティ・アップデートの自動更新の有無など、製品のセキュリティに関する詳細をわかりやすく確認することができる。
· The voluntary program will rely on public-private collaboration, with the FCC providing oversight and approved third-party label administrators managing activities such as evaluating product applications, authorizing use of the label, and consumer education. ・この自主プログラムは、FCCが監督をし、承認された第三者管理者が製品申請の評価、ラベル使用の認可、消費者教育などの活動を管理するという、官民協力に頼ることになる。
· Compliance testing will be handled by accredited labs.  ・適合試験は、認定された研究所が担当する。
· Examples of eligible products may include home security cameras, voice-activated shopping devices, internet-connected appliances, fitness trackers, garage door openers, and baby monitors.  ・対象となる製品の例としては、ホームセキュリティカメラ、音声機能付きショッピング機器、インターネットに接続された家電製品、フィットネストラッカー、ガレージドアオープナー、ベビーモニターなどが挙げられる。
The Commission is also seeking public comment on additional potential disclosure requirements, including whether software or firmware for a product is developed or deployed by a company located in a country that presents national security concerns and whether customer data collected by the product will be sent to servers located in such a country. 欧州委員会はまた、製品のソフトウェアやファームウェアが、国家安全保障上の懸念がある国に所在する企業によって開発または導入されているかどうか、製品によって収集された顧客データがそのような国に所在するサーバーに送信されるかどうかなど、追加的な情報開示要件の可能性についてもパブリックコメントを求めている。
There are a wide range of consumer IoT products on the market that communicate over wireless networks.  These products are made up of various devices, and are based on many technologies, each of which presents its own set of security challenges.  Last August, the Commission proposed and sought comment on developing the voluntary cybersecurity labeling program for IoT.  The rules adopted today are based on that record.   市場には、無線ネットワークを介してコミュニケーションする消費者向けIoT製品が幅広く存在する。 これらの製品は様々なデバイスで構成され、多くの技術に基づいており、それぞれが独自のセキュリティ上の課題を提示している。 委員会は昨年8月、IoT向けのサイバーセキュリティ自主表示プログラムの策定を提案し、意見を求めた。 本日採択された規則は、その記録に基づいている。 
According to one third party estimate, there were more than 1.5 billion attacks against IoT devices in the first six months of 2021 alone.  Others estimate that there will be more than 25 billion connected IoT devices in operation by 2030.  The cybersecurity labeling program builds on the significant public and private sector work already underway on IoT cybersecurity and labeling, emphasizing the importance of continued partnership so that consumers can enjoy the benefits of this technology with greater confidence and trust. あるサードパーティーの試算によると、IoT機器に対する攻撃は2021年の最初の6カ月間だけで15億件以上あったという。 また、2030年までに250億台以上のコネクテッドIoTデバイスが稼動するとの予測もある。 サイバーセキュリティの表示プログラムは、IoTサイバーセキュリティと表示に関してすでに進められている官民の重要な取り組みを土台とするもので、消費者がこの技術の恩恵をより大きな自信と信頼をもって享受できるよう、継続的なパートナーシップの重要性を強調するものである。
Action by the Commission March 14, 2024 by Report and Order (FCC 24-26).  Chairwoman Rosenworcel, Commissioners Carr, Starks, Simington, and Gomez approving.  Chairwoman Rosenworcel, Commissioners Starks, Simington, and Gomez issuing separate statements. 2024年3月14日、報告および命令(FCC 24-26)による委員会の措置。 Rosenworcel委員長、Carr委員、Starks委員、Simington委員、Gomez委員が承認した。 Rosenworcel委員長、Starks委員、Simington委員、およびGomez委員は、個別に声明を発表した。

 

R&O/Notice of Proposed Rulemaking; NPRM

目次...

I.      INTRODUCTION I. 序文
II.     BACKGROUND II. 背景
A.      The Internet of Things (IoT) Landscape  A. モノのインターネット(IoT)の展望
B.      Public and Private IoT Security Efforts  B. 官民のIoTセキュリティへの取り組み
III.    REPORT AND ORDER  III. 報告と要求
A.      Voluntary IoT Labeling Program A. IoTラベリング・プログラム
B.      Eligible Devices or Products  B. 対象となる機器または製品
C.      Oversight and Management of the IoT Labeling Program  C. IoTラベリング・プログラムの監督と管理
1.      Fostering Close Public-Private Collaboration 1 緊密な官民協働を育む
2.      Cybersecurity Label Administrators (CLAs)    2 サイバーセキュリティラベル管理者 (CLA)
3.      Responsibilities of the Lead Administrator and CLAs  3 主管理者とCLAの責務
4.      Selecting CLAs and Revoking Authority to Grant Applications to Use the FCC IoT Label  4 CLA の選定と FCC IoT ラベルの使用申請を許可する認可の取り消し
D.      CyberLABs, CLA-Run Labs, and In-House Testing Labs   D. サイバーラボ、CLA運営ラボ、社内テストラボ
E.      Two-Step Process for Obtaining Authority to Use the FCC IoT Label  E. FCC IoTラベルを使用する認可を得るための2段階のプロセス
1.      Product Testing by an Accredited and Recognized Lab   1 認定ラボによる製品テスト
2.      Filing an Application with a CLA   2 CLAへの申請
F.      Consumer IoT Product Cybersecurity Criteria and Standards  F. 消費者向けIoT製品のサイバーセキュリティ基準と標準
G.      The FCC IoT Label (Cyber Trust Mark and QR Code)    G. FCC IoTラベル(サイバートラストマークとQRコード)
H.      Registry   H. レジストリ
I.      Continuing Obligations of Entities Authorized to Use the FCC IoT Label  I. FCC IoTラベルの使用を認可された事業体の継続義務
J.      Audits, Post-Market Surveillance, and Enforcement    J. 監査、市販後調査、執行
K.      International Reciprocal Recognition of the Cyber Trust Mark  K. サイバートラストマークの国際相互承認
L.      Consumer Education   L. 消費者教育
M.      Cost/Benefit Analysis  M. コスト/便益分析
IV.     LEGAL AUTHORITY IV. 法的認可
V.      FURTHER NOTICE OF PROPOSED RULEMAKING   V. 規則制定案の追加通知
VI.     PROCEDURAL MATTERS    VI. 手続き的マトリックス
VII.    ORDERING CLAUSES  VII. 要求条項
APPENDIX A – FINAL RULES 附属書A 最終規則 
APPENDIX B – FINAL REGULATORY FLEXIBILITY ANALYSIS 附属書B 最終規制柔軟性分析 
APPENDIX C – INITIAL REGULATORY FLEXIBILITY ANALYSIS 附属書C 初回規制柔軟性分析 

 

・[DOCX] [PDF] 仮訳

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

 

 

|

« 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12) | Main | ENISA 遠隔身元証明 (Remote ID Proofing) の優れた実践 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12) | Main | ENISA 遠隔身元証明 (Remote ID Proofing) の優れた実践 »