海の向こうの“セキュリティ”
EU離脱で実現? 英国が2024年に施行する新たな「最低限のセキュリティ基準」
2023年6月8日 11:50
英国におけるインターネット接続する製品に要求される最低限のセキュリティ基準
2023年4月の記事でも紹介したように、ソフトウェアやハードウェアを問わず、さまざまな製品の脆弱性をはじめとするセキュリティ上の問題について、製造者の責任を法的に問う動きが見られてきています。米国では国家サイバーセキュリティ戦略(National Cybersecurity Strategy)の中で「悪い結果を防ぐために行動を起こせる能力を最も持っているステークホルダー(the stakeholders most capable of taking action to prevent bad outcomes)」を対象とした法規制を設ける予定であることが明記されています。また、EUでは「サイバーレジリエンス法案(CRA:Cyber Resilience Act)」がすでに検討されているほか、これまでの製造者責任法では対象外だったデジタル関連の製品やサービスについても製造者責任を問えるように法律を改訂することも検討されています。その一方でEUの動きに対しては、オープンソースコミュニティの健全性を危険にさらす問題があるとの指摘も出ています。
このような中、英国では、インターネットに接続される全ての消費者向け製品を対象とした、新たな最低限のセキュリティ基準が2024年4月29日に施行されることになり、その日に向けたカウントダウンが始まりました。英国政府によれば、このような制度は世界初であり、EUから離脱して得た自由によって実現したもので、EU加盟国のままでは不可能だっただろうと強調しています。
この新たな基準の主要なポイントは以下の4点で、米国やEUで検討されている法規制とは観点が少々異なっています。
- 消費者が接続可能な製品において、全てに共通したデフォルトパスワードおよび容易に推測可能なデフォルトパスワードを禁止すること。
- 製品がセキュリティ更新を受けられる期間についてメーカーの透明性を高める。これによって標準化されたセキュリティ情報が提供され、消費者の購買意思決定に、より良い情報を提供することになる。
- メーカーは、メーカーのウェブサイトにおいて、製品購入を許可する前に、製品のセキュリティ更新サポート期間について顧客に知らせることが義務付けられる。
- デバイスメーカーは、デバイスに関連する脆弱性の報告を受け付けるための連絡先を公表することが義務付けられる。
いずれの項目も至極もっともなもので、この全てが実現できれば、それは確かに素晴らしいことです。また、米国やEUで検討されている法規制について現時点で明らかになっている内容やレベルと比べると、シンプルで実現可能性が高く、大手のメーカーであればすでにこのレベルは達成できているところもあるでしょう。それでも、中小のメーカーにとっては、このレベルでも負担が軽いとは限らず、例えば、セキュリティ更新サポート期間は、一般的に当該製品の売れ行きやメーカーとしての経営状況に大きく左右されるものであるにもかかわらず、それを実際に発売する前に定め、保証することが求められるのはかなり厳しいのではないかと思います。そして、こういった小さくない負担が結果として新規参入やイノベーションの阻害につながる可能性もないとは言えません。いずれにせよ、今回の英国の動きは米国やEUの今後の法規制にも影響を与える可能性があるのは間違いなく、施行までのメーカー側の対応状況をはじめ、動向は注視する必要があるでしょう。
- GOV.UK(2023年4月29日)
Starting gun fired on preparations for new product security regime - https://www.gov.uk/government/news/starting-gun-fired-on-preparations-for-new-product-security-regime
- まるちゃんの情報セキュリティ気まぐれ日記 (2023年5月4日)
英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ~ (2023.04.29) - http://maruyama-mitsuhiko.cocolog-nifty.com/security/2023/05/post-f8a505.html
- PwC Japan(2022年10月21日)
欧州サイバーレジリエンス法案(EU Cyber Resilience Act)概説~日本の製造業への影響と最低限押さえるべき要点~ - https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/eu-cyber-resilience-act.html
- Publickey(2023年4月20日)
オープンソースの開発者が製造責任や賠償責任を負う可能性があるとして、EUのサイバーレジリエンス法案にPython Software FoundationとEclipse Foundationらが異議を表明 - https://www.publickey1.jp/blog/23/eupython_software_foundationeclipse_foundation.html
- ITmedia(2023年5月21日)
CISAとパートナー機関がセキュア・バイ・デザインの原則を発表 ソフトウェア業界にどのような影響が - https://www.itmedia.co.jp/enterprise/articles/2305/21/news015.html
- ITmedia(2023年5月27日)
「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の“戦術”とは? 全20項目を紹介 - https://www.itmedia.co.jp/enterprise/articles/2305/26/news241.html
- INTERNET Watch(2023年4月6日)
CISAが事業者に要求する「セキュリティ・バイ・デザイン」、多要素認証の必須化やメモリセーフなプログラミング言語への切り替えなどを推奨 - https://internet.watch.impress.co.jp/docs/column/security/1491039.html
大規模情報漏えいをいかにして乗り切るか
米サンフランシスコで現地時間2023年4月24日から27日まで開催された「RSA Conference 2023」のパネル「Survive the Breach」において、パネリストたちが大規模情報漏えいのインシデントを乗り切った実体験に基づいたアドバイスを披露しました。
その内容自体は専門家にとって当たり前のものですが、重要なポイントを含んでいます。
- FBIのような通報・相談先など、関係者の連絡先をメモしておき、システムがダウンしても参照できる場所に保管しておく。
- 専門知識がない従業員であってもインシデント対応に加わりたがるのは自然なことであり、その結果、許可なくメディアに発言したり、組織的な対応の前に顧客に対して発言したりすることがありえることを予想し、彼らの全エネルギーを注ぎ込む適切な場所を用意することも大事。
- 法律顧問を近くに置いておくことを推奨。
- 企業の価値観が正しい行動を取るための指針となる。顧客第一主義を貫くCEOは、そうでないCEOよりも優れており、顧客はそれを求めて戻ってくる。
なお、登壇者によるアドバイスとして、
ランサムウェア(の身代金)の支払いに備えてビットコインウォレットを用意したり、交渉のプロと関係を築いたり、顧問弁護士とともに対応策を検討したりする。
も挙げられていますが、ランサム(身代金)の支払いやそれに関する交渉は、犯罪者と関わりを持つことになるので法的にはかなりデリケートな問題であり、必ずしも適切なアドバイスとは言えないかもしれません。
当然ながら、今回紹介した項目は大規模情報漏えいへの対応(備えおよび事後対応)の肝の全てではありませんが、見落とされがちな点が挙げられています。自組織のポリシーやマニュアルなどの見直しの際には上記の点も考慮に入れることを強くお勧めします。
- RSA Conference 2023(2023年4月26日)
Survive the Breach-Protecting People & the Company When the Worst Happens - https://www.rsaconference.com/usa/agenda/session/Survive-the-BreachProtecting-People--the-Company-When-the-Worst-Happens
- Dark Reading(2023年4月28日)
CISO Survival Guide for Cyberattacks - https://www.darkreading.com/vulnerabilities-threats/ciso-survival-guide-for-cyberattacks
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。