はじめに
カリフォルニア州では2018年10月ブラウン知事の元「SB-327 Information privacy: connected devices」という法律が成立しました。これはインターネットに接続するデバイスのセキュリティ強化を狙ったもので、デバイスが満たすべきセキュリティ上の要件を義務という形で初めて示したものになります。この法律は2020年1月1日より施行されるため、IT機器の製造にかかわる企業はそれまでに法律に適合できるような対策が求められます。本記事では、法律の具体的な内容を紹介するとともに、なぜデバイスのセキュリティ強化が求められているのかという背景を解説していきます。
新法律の対象
新しい法律は、カリフォルニアで販売されるデバイスの「製造業者」を対象としています。したがって、カリフォルニア州で販売されている製品である場合、カリフォルニア州外の製造業者に対しても適用されます。
新法律の内容
今回の法律では、不正なアクセスや内容の変更、情報漏えいを防ぐためのセキュリティ機能をデバイスに備える義務を取り決めています。では、求められているセキュリティ機能とは具体的にはどういうものなのでしょうか?端的に説明すると、メーカーが出荷時に共通の初期パスワードをデバイスに設定することを禁じています。あるいは、製品を入手したユーザーが固有のパスワードを設定しなければ使用不可となるような設定が強制されます。
初期パスワードの危険性
なぜ今回の法律では初期パスワードに具体的な取り決めを行っているのでしょうか?実は、セキュリティの弱いデバイスを利用したサイバー攻撃が近年問題となっています。そして、デバイスに最初から設定されているデフォルトパスワードが脆弱なセキュリティの代表例なのです。単純なパスワードがデフォルトパスワードとして設定された状態で工場出荷されることや、特定のメーカーや製品ラインの間で同じパスワードが使われていることは一般的に行われていました。そして、このようなパスワードは説明書に記載されていることもあれば、インターネットで一覧を簡単に入手できることもあります。
マルウェアと呼ばれる悪意のあるソフトウェアはそれらデフォルトパスワードを利用してデバイスを乗っ取り、そのデバイスをサイバー攻撃の道具として使ってしまうのです。サイバー攻撃の例として、過去にはアメリカの緊急警報システム(EAS)に何者かが侵入して偽の警報を流したこともあります。
このような背景を受けてUS-CERTがデフォルトパスワードの危険性に関する警告を発表、利用者にも生産者にも対応を求めていました。
指摘されている問題点
この法律はセキュリティ対策の面で大きな前進ですが、完ぺきとはいえません。なぜなら、デバイスに対する証明書の発行、コードへのデジタル署名、IoT デバイスのメーカーが海外業者から購入する下位レベル部品の監査のようなもっと踏み込んだ規制なくしては十分とは言えないのです。実際に、サイバーセキュリティの専門家であるロバート・グラハム氏は「悪意のあるものを取り除く代わりに『良い』機能を追加することばかりに焦点を当てており、セキュリティ上の問題を後退させている」と危機感を示しています。
とはいうものの、今回の法律はセキュリティ強化への一歩であり、アメリカ政府に先んじた動きといえます。
アメリカ政府の動き
アメリカ政府の議会にもセキュリティ対策の議案は以下の通り複数立ち上げられています。しかしながら、なかなか成立まで至らないのが実情のようです。
SMART IoT Act:アメリカ商務省に IoT 業界を調査するようはたらきかけるもの
DIGIT Act:報告書の提出を目的として調査チームを招集するもの
Cybersecurity Improvement Act of 2017:デバイスを購入する政府機関に対する契約規定
Security IoT Act of 2017:アメリカ連邦通信委員会 (FCC) が無線機器を認可する際のサイバーセキュリティ基準を追加するもの
Cyber Shield Act of 2017:アメリカ商務省に自主的な評価システムの作成を要求するもの
IoT Consumer TIPS Act of 2017:消費者が IoT 機器を購入する際の手引きをアメリカ連邦取引委員会が作成することを定めるもの
今後について
カリフォルニア州はアメリカ政府に先んずる形で、インターネットに接続されたデバイスの規制を進めています。
今回の新法は2020年1月1日より有効で、現状は、あくまでカリフォルニア州内の販売に限定されたものです。ただしカリフォルニア州内でデバイスを販売しているメーカーの製品が各地に広まることは容易に予想できます。将来的にはアメリカ国内の広い部分に影響を与えることでしょう。
※本記事の記載内容は、執筆日現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。
執筆者:弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所 代表弁護士
企業の海外展開支援を得意とし、日本語・英語の契約審査サービス「契約審査ダイレクト」を提供している。
また、ECビジネス・Web 通販事業の法務を強みとし、EC事業立上げ・利用規約等作成・規制対応・販売促進・越境ECなどを一貫して支援する「EC・通販法務サービス」を運営している。
著書「60分でわかる!ECビジネスのための法律 超入門」
当事務所のご支援事例
業種で探す | ウェブ通販・越境EC | IT・AI | メーカー・商社 | 小売業 |
---|
サービスで探す | 販路開拓 | 不動産 | 契約支援 | 現地法人運営 | 海外コンプライアンス |
---|
ご相談のご予約はこちら
弁護士法人ファースト&タンデムスプリント法律事務所
(代表弁護士 小野智博 東京弁護士会所属)
03-4405-4611
*受付時間 9:00~18:00