PSTI法
掲載:2024年08月01日
執筆者:チーフコンサルタント 竹下 仁
ガイドライン
近年、インターネット接続機器の普及に伴い、サイバー攻撃のリスクも高まっています。特に、IoT製品はセキュリティ対策が脆弱な場合が多く、容易にハッキングされてしまう可能性があります。
英国政府は、こうした状況を踏まえ、2024年4月にProduct Security and Telecommunications Infrastructure Act(PSTI法)を施行しました。PSTI法は、インターネット接続機器のセキュリティ対策を強化し、消費者の安全とプライバシーを保護することを目的とした法律です。
本解説では、PSTI法について詳細に解説するとともに、日本企業への影響と取るべき対応について考察します。
PSTI法の概要
PSTI法は、英国で販売されるIoT製品を含むインターネット接続機器に対して、セキュリティ要件を遵守することを義務付ける法律です。
近年、IoT製品を踏み台にした大規模なDDoS攻撃が増加傾向にあり、従来のメーカーとしての自主規制では十分な対策が講じられていないケースも多く、政府による法規制が必要とされていました。このような背景から、2021年11月24日に法案を提出、2022年12月6日に可決され、2024年4月29日に施行されました。本法律の対象者はインターネット接続機器を製造している企業だけでなく、製品を仕入販売する企業も含みます。ただし規制の対象物は、英国内で販売する製品に限定されていますが、一般消費者向けではないものも対象とみなされる場合があるので注意が必要です。
PSTI法の目的は以下の2つに集約されます。
- 消費者向けのインターネット接続機器のサイバーセキュリティ対策を強化すること
- 消費者の安全とプライバシーを保護すること
具体的には、「出荷時の共通パスワード禁止」、「脆弱性情報の報告」、「セキュリティサポート期間の明示」、「厳しい罰則」の4つの特徴があります。
出荷時の共通パスワードの禁止 | 従来、多くのインターネット接続機器では、出荷時に設定されているパスワードは推測しやすいものが使用されていました。PSTI法では、このような脆弱なパスワードの使用を禁止することで、初期段階での不正アクセスを防ぎます。 |
---|---|
脆弱性情報の報告 | 製品に脆弱性が発見された場合、メーカーは速やかに当局に報告する必要があります。これにより、脆弱性が悪用される前に対策を講じることが可能になります。 |
セキュリティサポート期間の明示 | メーカーは、製品に対して提供されるセキュリティ更新プログラムの期間を明示する必要があります。これにより、ユーザーは製品がいつまで安全に使用できるのかを判断することができます。 |
厳しい罰則 | PSTI法に違反した場合、最大1000万ポンドまたは全世界年間売上高の4%のいずれか高い方の制裁金が科される可能性があります。これは、企業にとって非常に厳しい罰則であり、法令遵守を徹底するよう促す効果があります。 |
PSTI法の適用範囲
PSTI法は、英国市場で販売されるすべてのインターネット接続機器に適用されます。具体的には、以下のような機器が対象となります。
スマート家電 | スマートテレビ、スマート冷蔵庫、スマート洗濯機、スマートスピーカーなど |
---|---|
ウェアラブルデバイス | スマートウォッチ、フィットネスバンドなど |
セキュリティカメラ | 屋内カメラ、屋外カメラなど |
ルーター | 家庭用ルーター、企業向けルーターなど |
また、上記以外にもインターネットに接続されるすべての製品が今後対象となる可能性があります。
インターネット接続製品のリスク事例
インターネット接続製品の中でも、特にIoT製品はインターネットに接続することにより、データの共有や相互連携が実現し、新たな価値や利便性を生み出す半面、製品特有のリスクに晒される可能性があります。PSTI法はまさにこのようなリスクから消費者を守るために重要な役割を果たすと言えるでしょう。いくつか例をご紹介します。
監視カメラが第三者に乗っ取られるケース
乗っ取られたカメラはサイバー攻撃者によって不正に操作されるだけでなく、家の中等のプライベートな場所がすべて見られてしまう可能性があります。過去には世界中の監視カメラの映像に不正アクセスできるWebサイトが話題となったり、アメリカでは子供を見守るための子守用カメラが相次いで乗っ取られ、サイバー攻撃者が子供に話しかけたり、罵声を浴びせるといった事例も報告されています。
スマートメーター
電力供給など生活インフラもIoT化が進むほど、サイバー犯罪のリスクが高まる可能性があります。2009年にプエルトリコでは企業や一般家庭に普及していたスマートメーターのプログラムがサイバー攻撃者によってハッキングされ、不正に書き換えられるという事例がありました。この不正プログラムは、請求される電気料金を通常の50~75%の割引価格に不正に変更し、電力会社が受け取るはずの電気料金を激減させて、莫大な損害をおよぼしたといわれています。このようにスマートメーターに不正介入、情報の取得ができるとすると、電気料金や住人の生活パターンがサイバー攻撃者に筒抜けになり、最悪の場合は長期の留守期間を把握され、泥棒に入られてしまう危険性があります。
自動車のデジタルキー
鍵を使用せずに自動車の解錠や施錠が可能なデジタルキーは、日本国内の自動車でも採用事例が多くなってきていますが、実はその脆弱性から自動車の盗難事件が起こっています。通常、スマートフォン内のアプリ操作により鍵を開け、エンジンをかけることができます。しかし、サイバー攻撃者達はその間で送信されている通信を不正に傍受し、車の所有者が持っているキーの通信を複製して自動車に受信させます。これによってドアの解錠やエンジンを始動させることが可能になり、盗難などの被害に遭ってしまいます。
企業への影響
PSTI法は、英国市場で製品を販売する全ての企業に影響を与えます。前述の通り、影響を受ける企業はインターネット接続機器の製造業者だけでなく、販売業者も対象となることに注目しましょう。もちろん、日本企業も対象となります。
PSTI法の対象となる企業は、製品の設計、製造、販売、サポートなどのプロセスを変更する必要があり、受ける影響にはポジティブとネガティブの両側面があります。
ポジティブな影響
- 製品セキュリティの向上
- 消費者のIoT製品に対する信頼を獲得する
- セキュリティ対策ソリューションなどの新たなビジネスチャンスが生まれる
ネガティブな影響
- 製品設計、製造、販売、サポートにかかるコストが増加する可能性がある
- 製品開発に時間がかかる可能性がある
- 製品価格が上昇する可能性がある
- 法令遵守のための事務作業が増加する
企業が取るべき対応
PSTI法への対応は以下の4ステップで実施します。
1. 対象製品の特定
まず、自社の製品がPSTI法の対象となるかどうかを特定する必要があります。英国市場で販売しているすべてのインターネット接続機器を洗い出し、対象製品をリストアップします。
2. ギャップ分析
次に、対象製品がPSTI法の要件を満たしているかどうかを分析します。ギャップ分析を行い、不足している対策項目を特定します。
3. 対策の実施
ギャップ分析の結果に基づいて、必要な対策を実施します。
- 製品のセキュリティリスク評価の実施
- 脆弱性対策
- アクセス制御
- データ暗号化
- セキュリティアップデートの提供
- 製品のセキュリティに関する情報の提供
対策の実施にあたっては、社内体制の整備やコンサルタントの活用も検討する必要があります。
4. 継続的なモニタリング
PSTI法は、施行後も改正や追加要件などが検討される可能性があります。そのため、常に最新の情報に注意し、製品のセキュリティ対策を継続的に見直していくことが重要です。
まとめ
PSTI法は、英国市場で販売されるインターネット接続機器のセキュリティ対策を強化する重要な法律です。日本企業も対象となるため、該当する企業は早急に対応する必要があります。しかし、PSTI法も万能ではありません。サイバー攻撃の手法は常に進化しており、企業は常に最新の脅威情報に注意し、適切な対策を講じていく必要があります。
英国でのビジネスを展開されている企業は必須ですが、それ以外でもインターネット接続機器を扱っている企業は、この機会にPSTI法の要件を理解することが重要でしょう。さらに日本でもIoT製品に対するセキュリティ適合性評価の制度構築が進んでいることや、シンガポールやドイツなどで導入が進むIoTセキュリティラベリング制度といった別の制度との関連性や連動性についても今後、注視していくことが必要です。