米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10)

こんにちは、丸山満彦です。

米国のFCCのIoTのためのサイバーセキュリティ・ラベリングの最終規則が2024.07.30に官報 (Fedral Register) 公表され、2024.08.29に有効に施行されていますが...

2024.09.10 にFCCから管理者のプロセスが公表されていますね...

 

● U.S. Federal Communications Commission; FCC

プレス...

・2024.09.10 FCC Announces IoT Cybersecurity Labeling Program Administrator Process

・[DOCX][PDF]

FCC ANNOUNCES APPLICATION PROCESS FOR ADMINISTRATORS OF INTERNET OF THINGS CYBERSECURITY LABELING PROGRAM	FCC、IoTのサイバーセキュリティ・ラベリング・プログラムの管理者の申請手続きを発表
FCC Takes Next Step in Establishing First-of-its-Kind Voluntary Cybersecurity Labeling Program	FCC、世界初の自主的サイバーセキュリティ表示プログラム設立に向けて次の一歩を踏み出す
WASHINGTON, September 10, 2024—Today, the Federal Communications Commissions’ Public Safety and Homeland Security Bureau announced that the agency will begin accepting applications to serve as administrators for its voluntary cybersecurity labeling program for wireless consumer Internet of Things (IoT) products.  The program will allow qualifying consumer smart products that meet critical cybersecurity standards to display a label, including a new U.S. government certification mark (“U.S Cyber Trust Mark”), which will help consumers make informed purchasing decisions, easily identify trustworthy products, and encourage manufacturers to prioritize higher cybersecurity standards.  This voluntary program will be a collaborative effort between the public and private sectors, with the FCC overseeing the process and authorized third-party administrators managing activities such as evaluating product applications, granting permission to use the label, and educating consumers.	ワシントン、2024年9月10日-本日、米連邦通信委員会（FCC）の公共安全・国土安全保障局は、ワイヤレス消費者向けモノのインターネット（IoT）製品を対象とした自主的なサイバーセキュリティ表示プログラムの管理者の募集を開始すると発表した。 このプログラムは、重要なサイバーセキュリティ基準を満たした適格な消費者向けスマート製品に、米国政府の新しい認証マーク（「U.S. Cyber Trust Mark」）を含むラベルを表示できるようにするもので、消費者が十分な情報を得た上で購入の意思決定を行い、信頼できる製品を簡単に識別できるようにし、製造業者がより高いサイバーセキュリティ基準を優先するよう促すものである。 この自主プログラムは、官民の協力により実施されるもので、FCCがプロセスを監督し、認定された第三者管理者が製品申請の評価、ラベル使用の許可、消費者への啓蒙などの活動を管理する。
“We live in a world where more and more devices in your home require an internet connection. But these smart devices that make our lives easier and more convenient must also be protected from bringing malware and other kinds of malicious activity into your home,” said Chairwoman Jessica Rosenworcel.  “That is why the FCC is taking the next step in getting our Cyber Trust Mark program up and running as quickly as possible.  This label will help empower consumers to make informed purchasing decisions while providing incentives for companies to make their products more secure.”	ジェシカ・ローゼンウォーセル議長は次のように述べた。「私たちは、家庭内でインターネット接続を必要とする機器がますます増えている世界に生きている。しかし、私たちの生活をより簡単で便利なものにしてくれるこれらのスマート機器は、マルウェアやその他の悪意のある活動を家庭に持ち込まないように保護されなければならない。だからこそ、FCCはサイバートラスト・マーク・プログラムをできるだけ早く立ち上げ、運用するために次のステップを踏んでいる。このラベルは、消費者が十分な情報を得た上で購入の意思決定をするのに役立つと同時に、企業が自社製品をより安全にするためのインセンティブを提供することになる」。
In March 2024, the Commission established a framework for a voluntary cybersecurity labeling program for wireless consumer IoT products, which will include the use of third-party administrators selected by the Commission to support the program.  Cybersecurity Labeling Administrators (CLAs) will be authorized by the Commission to certify the use of the FCC IoT Label, which includes the U.S. Cyber Trust Mark, by manufacturers whose products comply with the Commission’s IoT cybersecurity labeling program rules.  A Lead Administrator will be selected as well to act as a liaison between the Commission and CLAs, conduct stakeholder outreach to identify/develop and recommend technical standards and testing procedures, and collaborate with CLAs, the FCC, and other stakeholders to develop and execute a consumer education campaign.	2024年3月、委員会は、無線コンシューマ向けIoT製品の自主的なサイバーセキュリティ・ラベリング・プログラムの枠組みを確立した。 サイバーセキュリティ・ラベリング管理者（CLA）は、委員会のIoTサイバーセキュリティ・ラベリング・プログラム規則に準拠した製品を製造するメーカーが、米国サイバートラスト・マークを含むFCC IoTラベルを使用することを認証する権限を委員会から与えられる。 また、委員会とCLA間の連絡役を務め、技術基準や試験方法を特定・開発・推奨するための関係者への働きかけを行い、CLA、FCC、その他の関係者と協力して消費者教育キャンペーンを開発・実施する主管理者も選出される。
Interested parties can file applications to serve in these roles within the program.  The public notice with more information about program qualifications, the application process, and other key details is available here.	関心のある当事者は、プログラム内でこれらの役割を果たすために申請書を提出することができる。プログラムの資格、申請プロセス、その他の重要な詳細に関する公告はこちらで入手できる。

 

 申請手続き...

・FCC Announces IoT Labeling Administrator Application Filing Window

・[DOCX][PDF]

 

---

 

ちなみに、FAQ's

・U.S. Cyber Trust Mark

Cyber Trust Mark Program FAQs	サイバートラストマークプログラムFAQ
When was the U.S. Cyber Trust Mark program created?	米国のサイバートラストマークプログラムはいつ創設されたのか？
In August 2023, the FCC sought public comment on how to create the Cyber Trust Mark program. In March 2024, based on public input, we adopted rules establishing the framework for the program.	2023年8月、FCCはサイバートラストマークプログラムの創設方法についてパブリックコメントを求めた。2024年3月、パブリック・インプットに基づき、プログラムの枠組みを定める規則を採択した。
We are now in the process of standing up this comprehensive program. As we move forward, we will make additional announcements and will seek further public input on specific implementation details.	現在、この包括的なプログラムを立ち上げているところである。今後、さらなる発表を行うとともに、具体的な実施内容に関するパブリック・インプットを求める予定である。
How will the U.S. Cyber Trust Mark program work?	米国サイバートラストマーク・プログラムはどのように機能するのか？
Here is an overview:	以下はその概要である：
・The U.S. Cyber Trust Mark logo will appear on wireless consumer IoT products that meet the program’s cybersecurity standards.	・U.S. サイバートラスト・マークのロゴは、このプログラムのサイバーセキュリティ基準を満たした消費者向けワイヤレスIoT製品に表示される。
・The logo will be accompanied by a QR code that consumers can scan, linking to a registry of information with easy-to-understand details about the security of the product, such as the support period for the product and whether software patches and security updates are automatic.	・このロゴには、消費者がスキャンできるQRコードが添付され、製品のサポート期間や、ソフトウェア・パッチやセキュリティ・アップデートの自動更新の有無など、製品のセキュリティに関する詳細がわかりやすく記載されたレジストリにリンクされる。
・The voluntary program will rely on public-private collaboration, with the FCC providing oversight and approved third-party cybersecurity label administrators managing activities such as evaluating product applications, authorizing use of the label, and supporting consumer education.	・この自主プログラムは、官民の協力により実施され、FCCが監督を行い、承認された第三者のサイバーセキュリティ・ラベル管理者が、製品申請の評価、ラベル使用の承認、消費者教育の支援などの活動を管理する。
・Compliance testing will be handled by accredited labs	・コンプライアンス試験は認定ラボが行う。
・Examples of eligible products may include internet-connected home security cameras, voice-activated shopping devices, smart appliances, fitness trackers, garage door openers, and baby monitors.	・対象となる製品の例としては、インターネットに接続されたホームセキュリティカメラ、音声で操作できるショッピング機器、スマート家電、フィットネストラッカー、ガレージドアオープナー、ベビーモニターなどが挙げられる。
・While the program is voluntary, participants must follow the FCC’s program requirements.	・このプログラムは任意であるが、参加者はFCCのプログラム要件に従わなければならない。
・The FCC will work with other federal agencies to develop international recognition of the FCC’s IoT Label and mutual recognition of international labels.	・FCCは、他の連邦政府機関と協力して、FCCのIoTラベルの国際的な承認と国際的なラベルの相互承認を開発する予定である。
Which products will be included in the program?	プログラムの対象となる製品は？
The program applies to consumer wireless IoT products.	このプログラムは、消費者向けワイヤレスIoT製品に適用される。
Examples of eligible products include internet-connected home security cameras, voice-activated shopping devices, smart appliances, fitness trackers, garage door openers, and baby monitors.	対象となる製品の例としては、インターネットに接続されたホームセキュリティカメラ、音声で操作できるショッピング機器、スマート家電、フィットネストラッカー、ガレージドアオープナー、ベビーモニターなどがある。
Which products will not be included in the program?	プログラムに含まれない製品は？
The FCC’s Cyber Trust Mark program does not include:	FCCのサイバートラストマークプログラムには、以下の製品は含まれない：
・Medical devices regulated by the Food and Drug Administration	・食品医薬品局が規制する医療機器
・Motor vehicles and equipment regulated by the National Highway Traffic Safety Administration	・米国道路交通安全局が規制する自動車および機器
・Wired devices	・有線機器
・Products primarily used for manufacturing, industrial control or enterprise applications	・主に製造、産業制御、企業向けアプリケーションに使用される製品
・Equipment on the FCC’s Covered List and equipment produced by an entity on the covered list	F・CCの対象リストに掲載されている機器および対象リストに掲載されている企業が製造した機器
・IoT products from a company on other lists addressing national security	・国家安全保障に対処する他のリストに掲載されている企業のIoT製品
・IoT products produced by entities banned from Federal procurement	・連邦調達が禁止されている企業が製造したIoT製品
Our program, which is based largely on criteria established by the National Institute of Standards and Technology (NIST), initially focuses on wireless consumer IoT products but may evolve over time.  It does not include personal computers, smartphones, and routers. NIST is working to define cybersecurity requirements for consumer-grade routers.	米国国立標準技術研究所（NIST）が策定した基準に基づいている我々のプログラムは、当初は無線コンシューマ向けIoT製品に焦点を当てているが、時間の経過とともに進化する可能性がある。 パソコン、スマートフォン、ルーターは含まれない。NISTは、コンシューマーグレードのルーターに対するサイバーセキュリティ要件の定義に取り組んでいる。
What role will the third-party administrators play?	第三者管理者はどのような役割を果たすのか？
The Cyber Trust Mark program is owned by the Commission and will by supported by third party administrators. Their duties are spelled out in an FCC Order. In brief:	サイバートラストマーク・プログラムは委員会が所有し、サードパーティの管理者がサポートする。その任務はFCCオーダーに明記されている。簡単に説明する：
・The Lead Administrator will be responsible for collaborating with stakeholders and will recommend to the Commission cybersecurity standards, testing procedures, and label design. It will also be responsible for developing a consumer education campaign.	・主管理者は、利害関係者との協力に責任を持ち、委員会に対してサイバーセキュリティ基準、試験手順、ラベルのデザインを推奨する。また、消費者教育キャンペーンを展開する責任も負う。
・The Cybersecurity Label Administrators will be responsible for day-to-day management of the program, including accepting and reviewing applications and approving or denying use of the FCC IoT Label.	・サイバーセキュリティ・ラベル管理者は、申請書の受理と審査、FCC IoTラベルの使用の承認または拒否を含む、プログラムの日々の管理に責任を負う。
・And the CyberLABs will test products to demonstrate they meet the program's cybersecurity requirements.	・また、CyberLABは、製品がプログラムのサイバーセキュリティ要件を満たしていることを実証するための試験を行う。
The Lead Administrator, Cybersecurity Label Administrators, and CyberLABs must be accredited to international (ISO/IEC) standards.	主管理者、サイバーセキュリティ・ラベル管理者、サイバーラボは、国際（ISO/IEC）規格の認定を受けなければならない。
What are the next steps to launch the program?	プログラム立ち上げのための次のステップは？
There are many steps to standing up such a comprehensive program.  Much of this is described in the FCC's Order, but in brief:	このような包括的なプログラムを立ち上げるには、多くのステップがある。 その多くはFCCのオーダーに記載されているが、簡単に説明する：
・We have been doing extensive stakeholder outreach to increase awareness and understanding of the new program. This should ultimately help increase participation in all aspects of program.	・新プログラムに対する認識と理解を高めるため、関係者への広範な働きかけを行っている。これにより、最終的にはプログラムのあらゆる側面への参加が増えるはずである。
・We are also engaging with stakeholders on the details of the program (for example, standards and label design) to promote an efficient and timely rollout of the U.S Cyber Trust Mark.	・また、米国サイバートラストマークの効率的かつタイムリーな展開を促進するため、プログラムの詳細（例えば、基準やラベルデザイン）について利害関係者と協力している。
・We are reviewing public input on certain implementation details for the program—for example, matters related to the structure of the registry.	・私たちは、レジストリの構造に関する事項など、プログラムの実施に関する詳細について、一般からの意見を検討している。
・We will also provide instructions for applicants seeking to serve as administrators and announce when we are accepting these applications.	・また、管理者としての役割を果たそうとする申請者に対する指示を提供し、いつこれらの申請を受け付けるかを発表する予定である。
・After a review and selection process, we will announce the administrators and select a Lead Administrator.	・審査と選考の後、管理者を発表し、主任管理者を選出する。
・The Lead Administrator will engage with stakeholders to develop recommendations for the FCC on issues including standards and testing procedures, label design, and post-market surveillance.	・主任管理者は、規格や試験方法、ラベルデザイン、市販後調査などの問題について、利害関係者と協力してFCCへの勧告を作成する。
・There will be an announcement when the program is ready to accept applications for products to bear the label.	・ラベルを貼付する製品の申請を受け付ける準備が整い次第、発表する予定である。
・Meanwhile, we are reviewing the public input in response to the Further Notice of Proposed Rulemaking regarding additional potential disclosures related to national security.	・一方、国家安全保障に関連する追加的な情報開示の可能性については、提案された規則案に対する一般からの意見を検討中である。
・There will be some intermediary steps as well, and we will be communicating new developments as we move forward.	・また、中間的なステップもあり、新たな進展があればお知らせする予定である。
How will a manufacturer apply to use the U.S. Cyber Trust Mark?	製造業者はどのようにU.S. サイバートラスト・マークの使用を申請するのか？
Once the U.S. Cyber Trust Mark is launched:	米国サイバートラストマークが開始されたら：
・The applicant (e.g., manufacturer) must have its product tested by an accredited and FCC- recognized CyberLAB to ensure it meets the program’s cybersecurity requirements.	・申請者（製造業者など）は、その製品がプログラムのサイバーセキュリティ要件を満たしていることを確認するため、認定を受け、FCCに認定されたCyberLABによる試験を受けなければならない。
・The applicant would then submit an application with supporting documents to a Cybersecurity Label Administrator.	・その後、申請者は申請書を添付書類とともにサイバーセキュリティ・ラベル管理者に提出する。
・The Cybersecurity Label Administrator will review the application and determine whether the IoT product meets the program requirements.	・サイバーセキュリティ・ラベル管理者は申請書を審査し、IoT製品がプログラムの要件を満たしているかどうかを判断する。
・The Cybersecurity Label Administrator will then either approve or deny the application.	・その後、Cybersecurity Label Administratorは申請を承認または却下する。
What will happen when consumers scan the QR code that accompanies the U.S. Cyber Trust Mark?	消費者がU.S. Cyber Trust Markに添付されたQRコードをスキャンするとどうなるのか？
Once the U.S. Cyber Trust Mark label is on products, it will be accompanied by a QR code that you can scan with your wireless phone to read easy-to-understand, security-related information about that particular product.  This information will include:	米国サイバートラスト・マークのラベルが製品に貼付されると、QRコードが添付され、ワイヤレス・フォンでスキャンすることで、その特定の製品に関する分かりやすいセキュリティ関連情報を読むことができる。 この情報には以下が含まれる：
・How to change the default password	・デフォルト・パスワードの変更方法
・How to configure the device securely	・デバイスを安全に設定する方法
・Whether updates/patches are automatic and if not, how consumers can access them	・アップデート／パッチが自動的に適用されるかどうか、適用されない場合、消費者はどのようにアップデートにアクセスできるか。
・The product's minimum support period end date or a statement that the device is not supported by the manufacturer and the consumer should not rely on the manufacturer to release security updates	・製品の最低サポート期間の終了日、またはデバイスが製造業者によってサポートされておらず、消費者は製造業者によるセキュリティ・アップデートのリリースに依存すべきではない旨の記述

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

 

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム（サイバートラストマーク）の規則を採択 (2024.03.14)

米国...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー ：消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー ：消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー（ドラフト）：消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト（Ver.2）を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 （固定時間制認証制度）

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会