検索
連載

医療機器よりも難題!? Non-SaMDに影響が及ぶ米国のIoTセキュリティ政策海外医療技術トレンド(106)(1/3 ページ)

米国では、本連載第98回で取り上げた消費者IoT製品向け認証/ラベリングプログラム「U.S.サイバートラストマーク」の導入準備など、非医療機器/Non-SaMD(Software as a Medical Device)を取り巻く動きが加速している。

Share
Tweet
LINE
Hatena

 米国では、本連載第98回で取り上げた消費者IoT(モノのインターネット)製品向け認証/ラベリングプログラム「U.S.サイバートラストマーク」の導入準備など、非医療機器/Non-SaMD(Software as a Medical Device)を取り巻く動きが加速している。

⇒連載「海外医療技術トレンド」バックナンバー

米国NISTが家庭用ルーターのサイバーセキュリティ要求事項を明確化

 米国立標準技術研究所(NIST)は、IoTにおける信頼性を醸成し、標準規格やガイダンスおよび関連ツールを通して地球規模のイノベーションを実現する環境を促進することを目的として、IoTサイバーセキュリティプログラム(図1)を展開してきた。

図1
図1 米国NISTのIoTサイバーセキュリティプログラム[クリックで拡大] 出所:National Institute of Standards and Technology (NIST)「NIST Cybersecurity for IoT Program

 NISTは、このプログラムの一環として2024年4月3日、「製品開発サイバーセキュリティハンドブック:IoT製品製造業者向けの概念と考慮事項」初期公開草案(関連情報)を公表している。その中で、IoT製品には該当しないが、家庭用ネットワークインフラストラクチャを支える要素として、Wi-FiルーターやIoTゲートウェイを挙げている。

 米国大統領行政府が2023年7月18日付で発表したスマートデバイス向けサイバーセキュリティラベリングプログラム施策(関連情報)を受けて、NISTは、消費者グレードのルーターのサイバーセキュリティ要求事項を明確化する取り組みを進め、以下のような成果物を策定/公開してきた。

  • 「消費者IoT製品向けNISTベースライン・プロファイル(NIST IR 8425)開発に向けた考慮事項」(2023年8月23日)(関連情報、PDF
  • 「消費者グレードルーター・サイバーセキュリティ標準規格の消費者IoT製品向けNISTベースラインに対するクロスワーク」(2023年10月25日)(関連情報
  • 「消費者グレードルーター製品向けに推奨されるサイバーセキュリティ要求事項 - 第1次初期草案」(2023年11月30日)(関連情報、PDF
  • 「消費者IoT製品開発ハンドブック向け標準規格とガイダンスの特定」(2023年11月30日)(関連情報、PDF
  • 「消費者グレードルーター製品向けに推奨されるサイバーセキュリティ要求事項 - 第2次初期草案」(2024年 2月15日)(関連情報、PDF

 これらのうち、直近に公開された「消費者グレードルーター製品向けに推奨されるサイバーセキュリティ要求事項 - 第2次初期草案」について見ると、以下のような構成になっている。

  1. イントロダクション
  2. 消費者グレードルーターのスコープ
  3. 結論
  • 参考文献
  • 附表A.技術アウトカムと消費者グレードルーターのサイバーセキュリティおよびファームウェア要求事項の間のクロスウォーク
    • A.1.資産の特定
    • A.2.製品の構成
    • A.3.データの保護
    • A.4.インタフェースのアクセス制御1
    • A.5.インタフェースのアクセス制御2
    • A.6.ソフトウェアのアップデート
    • A.7.サイバーセキュリティ状態の認識
  • 附表B.技術以外のアウトカムの考慮事項
  • 附表C.消費者グレードルーターの調達シナリオに関する議論
  • 附表D.セキュアなソフトウェア開発タスクと消費者グレードルーター製品タイプのクロスウォーク
  • 附表E.シンボル、頭字語、略語
  • 附表F.用語集

この文書草案では、消費者グレードルーターについて、もともと家庭での利用を意図した、消費者がインストールできるネットワーク機器であり、ネットワーク接続されたシステム間で、データパケット、共通のインターネットプロトコル(IP)パケットを転送すると定義している。ただし、サイバーセキュリティの推奨事項上、その製品が消費者によって所有されているか、インターネットサービスプロバイダーからリースしたものかについて、特に区別していない。

 消費者グレードルーターのセキュリティにおいて、重要な役割を果たすものにファームウェアがある。ファームウェアは、ルーターを含むデジタル製品の重要基盤を構成する反面、そこに脆弱性があると、重大なサイバーセキュリティ上の懸念をもたらす可能性がある。一般家庭の場合、メーカーやインターネットサービスプロバイダーからファームウェアの脆弱性情報が公開されても、アップデート/パッチをしないまま使い続けるケースが見受けられる。また、初期設定時のデフォルトパスワードを変更しないまま使用していたり、サポート期限切れ後も使い続けていたりするケースも依然として見受けられる。

 米国に限らず、家庭での利用を想定した非医療機器/non-SaMDの場合、消費者グレードルーターの安全性が担保されていることを前提とした開発を行うのが一般的であり、ルーターの製造業者やリースするインターネットサービスプロバイダーとの間で、ファームウェアの脆弱性や対応策など、サイバーセキュリティに関する評価や情報共有/連携活動を継続的に行う必要があろう。

 なお、前述のNIST IoTサイバーセキュリティプログラムでは、消費者に加えて、製造業者や連邦政府機関向けのIoTセキュリティ対策についても整理/公開している。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る