11/15/2018

新しいIoTセキュリティ規制

シュナイアーのブログより

絶え間なく進化する技術の進歩により、メーカーは、玩具から電球、主要な家電製品に至るまで、消費財をインターネットに猛烈なスピードで接続しています。これはモノのインターネットであり、セキュリティの悪夢です。

モノのインターネットは、通信技術と製品を融合させ、日々の生活を楽にします。AmazonのAlexaは、質問に答えて音楽を再生するだけでなく、自宅の照明や空調を制御することもできます。あるいは現行世代の埋め込み式ペースメーカーは、コマンドを受け取り、インターネットを介して医師に情報を送ることができます。

しかし、ほぼ全てのイノベーションがそうであるように、リスクが伴います。モノのインターネットから生まれた製品について、これは個人情報を盗まれる危険性がある、あるいはデバイスが乗っ取られて遠隔制御されるリスクを意味します。車、ペースメーカー、空調など、直接的な物理的な方法で世界に影響を与えるデバイスの場合、リスクには人命や財産の損失が含まれます。

より高度なセキュリティ機能を開発し、これらの製品に組み込むことで、ハッキングを回避することができます。問題は、企業が製品を安全に保つために必要なサイバーセキュリティ対策に投資する金銭的インセンティブがないことです。消費者は、適切なセキュリティ機能を持たずに製品を購入しても、その情報が脆弱であることに気付きません。また、現在の法律では、企業のソフトウェア・セキュリティに対する責任を負わせることは困難です。

消費者を守る法律の制定は、議員の肩にかかっています。米政府は消費者保護の分野ではほとんど不在ですが、カリフォルニア州は最近、州内で販売されているモノのインターネットあるいは「IoT」デバイスの規制に踏み入れ、開始し、すぐにその影響は世界的に感じられるでしょう。

カリフォルニア州の新しいSB 327法は、2020年1月に施行される予定で、全ての「接続されたデバイス」に「合理的なセキュリティ機能」が必要です。良いニュースは、「コネクテッド・デバイス」という用語が、インターネットに接続されている全てのものを含むように広く定義されていることです。あまり良くないニュースは、コンプライアンスを回避しようとする企業が法律が法的強制力無いと主張できるように、「合理的なセキュリティ」が定められているということです。

この法律では、セキュリティ機能は、様々な脅威からデバイスとその情報を保護し、デバイスの性質と収集する情報の両方に適切でなければならないと要求しています。カリフォルニア州検事総長は、法律を解釈し、具体的な内容を定義することになります。これは確実にハイテク企業の多くのロビー活動の対象になるでしょう。

検事総長の解釈の対象ではない法律上の特定のものがあります。デフォルトのパスワードは許可されていません。これは良いことです。そもそも、これは恐ろしいセキュリティ実践です。しかし、これはIoTデバイスでよく見られる何十ものひどい「セキュリティ」対策の1つに過ぎません。

この法律は万能薬ではありません。しかし、どこかで始める必要があり、これはスタートです。

この法律はカリフォルニア州のみを対象としていますが、その影響はさらに大きくなります。ソフトウェアが書かれ、販売される方針のために、私たち全員が米国内やその他の国々で恩恵を受ける可能性があります。

自動車メーカーは世界中で車を販売していますが、現地市場向けにカスタマイズされています。米国で購入する自動車は、地元の環境法が同じではなく、メーカーが製品の販売場所に基づいてエンジンを最適化するため、メキシコで販売される同じモデルとは異なります。自動車の組み立てと販売の経済性は、この差別化を容易に可能にします。

しかし、ソフトウェアは異なります。カリフォルニア州がIoTデバイスに関する最低限のセキュリティ基準を設定すると、製造業者はソフトウェアを書き直して準拠する必要があります。その時点では、2つのバージョンを持つことは理にかなっていません: 1つはカリフォルニア州、もう1つは他の場所です。一つのより安全なバージョンを維持し、どこにでも販売する方がはるかに簡単です。

ウェブサイト上に現れる迷惑な警告と合意を実装した欧州一般データ保護規制(GDPR)は、物理的な境界線をはるかに超えた法律のもう一つの例です。あなたは、ウェブサイトのプライバシーポリシーを読んで同意したことを認める強制ウェブサイトが増えたことに気付いたかも知れません。これは、GDPRの保護対象となるユーザー、つまりEU内の物理的な人々、EUの市民がどこにいても、そうでない人たちを区別するのは難しいからです。全ての人に保護を拡大する方が簡単です。

この種の分類が可能になると、企業は公正なゲームをしている人たちに対して収益性の高い監視資本主義の実践に戻ることになります。監視は依然としてインターネットの主要なビジネスモデルであり、企業は私たちと私たちの活動を可能な限りスパイして、より多くのものを販売し、行動について知っているものを収益化することができます。

あなたが世界的にそれを取り除くことができる場合にのみ、不安が利益をもたらします。 すぐにできなければ、開き直るかも知れません。誰もがデータセキュリティを伴うGDPRの遵守の部分から利益を得られるように、世界中のあらゆる市場で制定されている同様のセキュリティ規制のため、カリフォルニアの規制から誰もが利益を得ることができます。

最も重要なことには、これらの法律はサイバーセキュリティにおけるイノベーションを促します。今、私たちは市場に不具合があります。 裁判所は伝統的にソフトウェアメーカーに脆弱性に対する責任を負わせないため、そして、消費者は安全な製品と安全でない製品を区別する専門知識を持たないため、メーカーは低価格を優先順位付けし、デバイスを市場に迅速に出して、後でセキュリティ上の追加機能を提供しています。

しかし、政府が一歩踏み込んで、より厳しいセキュリティ規制を課すと、企業はこれらの基準をすばやく、安く、効果的に満たすインセンティブを得ることができます。これは、新しいアイデアや新製品の市場が存在するため、より多くのセキュリティ革新が生まれる事を意味します。私たちはこのパターンを安全とセキュリティ工学の中で何度も見てきました。私たちはモノのインターネットでも目にするでしょう。

IoTデバイスは、私たちの周りの世界を感知し、直接、物理的な方法でその世界に影響を及ぼすため、従来のコンピュータよりも危険です。これらの機器のサイバーセキュリティを強化することが最も重要であり、米国連邦政府が責任を放棄しているところで、個々の州と欧州連合の両方のステップを見ることで勇気づけられています。しかし、私たちはより多くの規制を、すぐに必要としています。

このエッセイのオリジナルは、CNN.comに掲載された