各国のIoT製品セキュリティ確保のための取り組み:英国―PSTI法(Product Security and Telecommunication Infrastructure Bill)―

PSTI法とは

PSTI法(Product Security and Telecommunications Infrastructure bill:製品セキュリティおよび電気通信インフラストラクチャ)とは、英国におけるIoT製品のセキュリティ制度で、2023年9月14日に法律として成立し、2024年4月29日に発行が予定されている、製品のセキュリティと通信インフラを強化するための法案です。消費者向けのデジタル製品やサービスのサイバーセキュリティを向上させることを目的としており、特にインターネットに接続されるIoT機器の安全性に焦点を当てています。本コラムでは、PSTI法の概要、目的と消費者や企業に与える影響について詳しく解説します。

日本経済新聞 2024/3/11付朝刊

出典:https://www.nikkei.com/nkd/industry/article/?DisplayType=1&n_m_code=155&ng=DGKKZO79125440Q4A310C2TCJ000

イノベーションの影に潜むリスク

私たちの生活は、IoTの進化によってかつてないほど便利になりました。自宅の照明をスマートフォンから操作したり、ウェアラブルデバイスで健康状態をモニタリングしたりするのは、もはや珍しいことではありません。この便利さの裏では、セキュリティの脅威が静かに、しかし確実に高まっています。例えば、2023年には、英国の組織ごとのIoT機器に対するサイバーセキュリティ攻撃の発生数は、前年度から41%増加しています。これは、英国内の消費者が直面しているリスクを物語っているといえます。

英国におけるIoT機器セキュリティ対策の動向

英国政府は、2018年にIoT製品のセキュリティに関する行動規範であるCode of Practice for Consumer IoT Securityを公開しました。2019年にはこの規範をEU全体に普及させるため、技術仕様の国際標準化を欧州電気通信標準協会(ETSI)に提案し、同規範に基づく欧州規格EN 303 645が発表されました。2024年4月施行のPSTI法は、以下の二つの法律により構成されています。

1. 2022年に適用された製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法パート1
2. 2023年に適用された製品セキュリティおよび電気通信インフラストラクチャ(関連する接続可能な製品のセキュリティ要件)規制

Code of Practice for Consumer IoT Security

出典:https://assets.publishing.service.gov.uk/media/60576f54e90e0724c0df4631/Code_of_Practice_for_Consumer_IoT_Security_October_2018_V2.pdf

PSTI法対象製品

PSTI法はさまざまなIoT製品に適用され、以下の製品が含まれますがこれらに限定されません。

  • スマートフォン
  • ゲーム機
  • スマートカメラ
  • スマートTV
  • スマート家電
  • スマートホーム支援機器
  • ドアロック、火災検知器、煙探知機
  • ウェアラブルデバイス
  • IoTのベースとなる複数デバイスが接続する基地局、ハブ

PSTI法の対象者

PSTI法の制度上の義務が適用されるのは、対象製品の製造業者、輸入業者、および販売業者です。

セキュリティ要件

対象製品のサプライチェーン内の関係会社が対策を講じる必要のある、接続可能な関連製品が準拠すべき具体的な基準については、2023年に適用された規制スケジュール1で設定されています。

1. 出荷時簡易パスワード設定の禁止

対象製品には、それぞれ異なる固有のパスワードが設定されるか、あるいはユーザーによって設定可能であることが求められます。これらは増分カウンターや公開情報、またはそれに由来する情報に基づいたものであってはならず、業界で認められた暗号化手法やキー付きハッシュアルゴリズムを用いなければなりません。製品の一意識別子に基づいたもの、そこから派生したもの、簡単に推測されるものは禁止されています。

2. 脆弱性情報の報告方法の提供

対象製品の製造者は、セキュリティ問題の報告手段に関する情報を提供する義務があります。また製造者は、報告されたセキュリティ問題の受け付け確認と、解決までの進捗状況の更新情報を提供することが求められます。

3. 製品のセキュリティサポート期間の明示

対象製品の製造者は、セキュリティサポートの最短期間を公開し、消費者がアクセス可能な状態にすることが求められます。この期間は、セキュリティ更新プログラムの終了日を含む最短期間である必要があります。

英国PSTIに学ぶIoTセキュリティの未来

2024年4月29日に英国の消費者向けIoT製品のセキュリティ制度であるPSTI法の施行に伴い、対象製品のサプライチェーン内の企業は本法案への準拠が求められます。つまりこの法案により、IoT製品の製造業者は、より高いセキュリティ基準を満たすことが要求されます。PSTI法に違反した場合、OPSSにより最大1,000万ポンドまたは世界売上高の4%の罰金が科される見込みです。PSTI法は、英国がテクノロジーの進展と市場の需要の増大に適応するための取り組みの一環であり、国内の通信インフラの強化とサイバーセキュリティの向上を目指しています。これは、サイバーセキュリティを国家レベルで重視する動きの一例と言えるでしょう。

お気軽相談をする
製品情報

デバイス脆弱性テスト

IoT機器セキュリティ検証サービス

あらゆる機器のファジングから規格準拠支援までエキスパートが伴走
製品ページを見る
製品情報

高精度バイナリSCAソリューション

CodeSentry

バイナリファイルに含まれるOSSコンポーネントを検出し、脆弱性をレポート
製品ページを見る
製品情報

高精度静的解析ツール

CodeSonar

世界トップレベルの解析能力で不具合や脆弱性の原因となるソースコードのバグを検出
製品ページを見る
ソフトウェアテストの新常識:ファジング入門

ソフトウェアテストの新常識:ファジング入門

2024.04.17

コラムを読む
各国のIoT製品セキュリティ確保のための取り組み:欧州

各国のIoT製品セキュリティ確保のための取り組み:欧州

2024.01.26

コラムを読む
JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

JIS T 81001-5-1に準拠した医療機器のセキュリティ対策

2023.12.19

コラムを読む
各国のIoT製品セキュリティ確保のための取り組み:米国

各国のIoT製品セキュリティ確保のための取り組み:米国

2023.12.18

コラムを読む
サプライチェーン攻撃と脆弱性テスト

サプライチェーン攻撃と脆弱性テスト

2023.12.14

コラムを読む
セキュリティ規格について

セキュリティ規格について

2023.09.01

コラムを読む
ファジングとは?

ファジングとは?

2023.09.01

コラムを読む
脆弱性検証―何をどこまで実施すれば良い?

脆弱性検証―何をどこまで実施すれば良い?

2023.09.01

コラムを読む
HEMS機器の脆弱性検証

HEMS機器の脆弱性検証

2023.07.14

コラムを読む
ファジングの限界

ファジングの限界

2023.07.14

コラムを読む
コラム トップに戻る