本連載第54回では、2020年1月1日に施行された「カリフォルニア州IoT機器セキュリティ法」を取り上げた。その後、新型コロナウイルス感染症への緊急対応に直面した米国だが、IoT機器の製造・販売プロセスに焦点を当てたサイバーセキュリティ指針の整備が進んでいる。
本連載第54回で、2020年1月1日に施行された「カリフォルニア州IoT機器セキュリティ法」を取り上げた。その後、新型コロナウイルス感染症(COVID-19)緊急対応に直面した米国だが、IoT(モノのインターネット)機器の製造・販売プロセスに焦点を当てたサイバーセキュリティ指針の整備が進んでいる。
2020年5月29日、米国立標準技術研究所(NIST)は、「NISTIR 8259:IoT機器製造業者向けの基礎的サイバーセキュリティ活動」(関連情報)および「NISTIR 8259A:IoT機器サイバーセキュリティ機能コア・ベースライン」(関連情報)を公表した。本連載第48回で取り上げた「NIST IR 8228:インターネット・オブ・シングス(IoT)のサイバーセキュリティとプライバシーリスクを管理する際の考慮事項」(2019年6月25日公表、関連情報)をベースとして、IoT機器を顧客向けに製造・販売する製造業者がサイバーセキュリティに関して考慮すべき事項を取りまとめたものである。ここでいうIoT機器には、医療機器製品も非医療機器製品も含まれる。
IoT機器の場合、顧客(企業や個人)がサイバーセキュリティリスクを低減するのに役立つセキュリティ機能があらかじめ装備されていない問題がある。そこで、IoT機器の製造業者は、必要なサイバーセキュリティ機能を提供し、顧客が必要とするサイバーセキュリティ関連情報を提供することによって、製品のセキュリティレベル全体を向上させることができる。「NISTIR 8259:IoT機器製造業者向けの基礎的サイバーセキュリティ活動」では、IoT機器製造業者が、遂行すべきサイバーセキュリティ関連活動の推奨事項を提示している。
図1は、指針全体の基本構成となる、インパクトを与えるフェーズごとにグループ化した製造業者の活動を示している。
医療機器製造業者の活動は、「市販前」と「市販後」の2フェーズに大別されるのが一般的だ。今回の指針では、同様の考え方をIoT機器全般に拡張させており、以下の通り、総計6つの活動項目を提示している。
IoT機器の市販前フェーズにおける活動項目のうち、「活動1:想定顧客/ユーザーを特定し、想定ユースケースを定義する」では、想定顧客を特定するために、製造業者は以下の質問への回答を想定すべきであるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.