今年中に消費者向けワイヤレスIoT製品のセキュリティラベリング制度「U.S. Cyber Trust Mark」を運用開始へ 米ホワイトハウス
米ホワイトハウスは1月7日、消費者向けワイヤレスIoT製品のセキュリティラベリング制度「U.S. Cyber Trust Mark」(サイバー・トラスト・マーク)について今年中に開始すると発表しました。同制度は米国政府が認証する任意のサイバーセキュリティラベリング制度であり、当初は昨年中に開始される制度と見込まれていました。
IoT製品に対するセキュリティラベリング制度は世界で検討が進んでおり、シンガポールでは消費者向けIoT機器について任意のセキュリティラベリング制度を2020年10月に開始、ドイツやフィンランドそれぞれの類似制度との相互承認が実施されています。日本でも「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用が2025年3月から開始される予定です。英国ではラベリング制度ではありませんが2024年4月にPSTI法(Product Security and Telecommunications Infrastructure Act)が施行されIoT製品のセキュリティ強化を促しています。各国で制度が整備されている背景には、IoT製品の脆弱性を狙ったサイバー攻撃が増加していることがあります。ラベリング制度はセキュリティ性能の高い製品を企業が率先して製造・販売していくよう、インセンティブとなる認証ラベルを適合製品に付与するものです。
米国のサイバー・トラスト・マークは、スマート家電のほか消費カロリーや睡眠計測などを行うフィットネストラッカー、家庭用防犯カメラなど消費者向けワイヤレスIoT機器が対象です。マークのロゴとともに、詳細情報を取得できるQRコードを製品パッケージに表示します。技術的な適合基準は米国国立標準技術研究所(NIST)が2022年9月に公表したIR 8425(Profile of the IoT Core Baseline for Consumer IoT Products、消費者向けIoTコアベースラインのプロファイル)となります。
一方、制度の枠組みは米連邦通信委員会(FCC)が担い、関連するFCC規則が施行されています(47 CFR Subchapter A Cybersecurity Labeling for Internet of Things)。サイバー・トラスト・マークは第三者認証となりIoT製品はサイバーセキュリティラボ(CyberLAB)が検証した後、サイバーセキュリティラベル管理者(CLA)に申請します。FCCは2024年12月にCLAとして11社を認定、このうちUL LLC(UL Solutions)を主任管理者として選定しました。
また、ラベル付与製品が普及するよう、BestBuyやAmazonなどが消費者向けに同制度について啓蒙するほか、ラベル付き製品が目立つように陳列・表示する予定ということです。
