/ Flickr /アルキング/ cc
本質は何ですか
情報セキュリティ:Connected Devicesと呼ばれるSB-327は 、昨年2月からカリフォルニア州上院議員によって開発されました。 この場合の「接続されたデバイス」とは、インターネット接続、IPアドレス、またはBluetoothを備えたすべてのガジェットを指します。
法案の著者であるハンナ・ベス・ジャクソン上院議員は、そのような法律は長い間存在するべきだったと述べた。 彼女によると、開発者はセキュリティの脆弱性を排除するために急いでいないため、普通の消費者は購入するガジェットのセキュリティ問題にほとんど関心を持ちません。
特に重要なのは、子供のおもちゃの場合の問題です。 一例として、法案に加えて、上院議員は、My Friend Cayla人形の状況を引用しています(18/28/18の元老院フロア分析 )。 彼らは、たとえば質問を分析してその答えを見つけるために、子供とコミュニケーションを取り、メーカーのサーバーに記録を転送する方法を知っています。 これにより、子供の個人データに潜在的な脆弱性が生じます。 このため、ドイツではそのような人形の販売は一般的に禁止されていました。
カリフォルニア州法の主な要件は、IoTデバイスの各メーカーがガジェットに「適切な保護装置」を提供する必要があることです。 保護の程度は、デバイスの機能と、デバイスが使用および送信する情報に依存します。
法律は「適切な保護」の意味を述べていませんが、認証メカニズムの要件は明記されています。 接続されたデバイスがインターネットにアクセスできる場合、その認証システムは2つの基準のいずれかを満たす必要があります。 最初に、製造業者自身が個々のデバイスごとにログインとパスワードの一意の組み合わせを作成します。 2番目-開発者は、最初に機器を使用するときに、入力用の標準工場データを変更するよう購入者に義務付けます。
この法律は、カリフォルニアでIoTデバイスを製造または販売するすべての企業を対象としています。 SB-327は2020年1月1日に発効します。
法律に関する意見
新しい法律はあいまいに満たされました。 一部のユーザーと専門家は、標準パスワードを少なくともわずかに禁止すると、IoTデバイスのセキュリティが向上することに同意しました。 しかし、製造業者に対する他の特定の要件の欠如は、コミュニティを混乱させました。
サイバーセキュリティの専門家は懐疑的に法律を可決しました。 主な批判者の1人は、Errata Securityのサイバーセキュリティの専門家であるRobert Grahamでした。 ロバートは 、「救済策」の文言はあいまいすぎるため、組織がこの法律の要件を満たすための基準を決定することは難しいと書いています。
さらに、新しい種類の攻撃が絶えず出現するため、特定の脅威に対抗する方法を法律で指定することは不可能です。 Grahamは、IoTを保護する方法を法律で定義することはできず、SB-327はスマートデバイスの製造コストを増やすだけだと考えています。
この法律は、アーミス製品の副社長であるジョー・リーの意見でも役に立たない。 彼の会社は、IoTネットワークを保護するプラットフォームを作成しています。 ジョーによると、モノのインターネットの安全性は、デバイスのパスワードの問題に限定されない複雑な業界です。
多くの情報セキュリティの専門家が新しい法案を支持しました。 そのような人の一人は、アトランティックカウンシルのシンクタンクのセキュリティスペシャリストであるボーウッズでした。 彼によると、法律のあいまいな表現は意図的に使用されていました。 これにより、企業はデバイス保護要件を独自に開発できます。
多くの専門家は、不完全な法律でさえ不在よりも優れていると考えています。 サイバーセキュリティの本の著者であり暗号学者のブルース・シュナイアーは、 SB-327は正しい方向への一歩であると述べたが、この文書はIoTを完全に規制するには不十分である。
「法律は、デバイスへの不正アクセスの問題の解決に役立つはずです。 ただし、万能薬ではありません-1cloud.ruクラウドのインフラストラクチャレンタルサービス開発部門の責任者であるセルゲイベルキンはコメントしました。 -一意で強力なパスワードは、通常の辞書検索を利用してスマートガジェットのハッキングを複雑にする必要があります。 ただし、 DNS再バインドなど、デバイスにアクセスする方法は他にもたくさんあります。 この種の攻撃は、世界中の5億以上のIoTデバイスに影響を与えています。」
ユーザーは通常、カリフォルニア州政府のイニシアチブをサポートしています。 Hacker Newsの住民は、メーカーのパスワードは予測しすぎてシリアル番号と一致する可能性があることに注意しています。 ただし、このソリューションは、同じモデルのすべてのデバイスの標準パスワードよりも優れています。
一部のユーザーは、この法律を無意味だと感じています。 Slashdotのコメント者は 、ほとんどの場合、IoTデバイスのセキュリティ問題はパスワードを変更しても解決されず、ファームウェアおよびソフトウェアモジュールの脆弱性に関連付けられることを示しました。 たとえば、2017年に、IoTデバイスのメーカーが使用するgSOAPライブラリでバグが発見されました。 デモ中に、セキュリティの専門家が自宅のカメラに侵入し、そこから画像を受け取りました。
IoTの法案を作成しているのは誰ですか
モノのインターネットの保護に取り組んでいるのは、カリフォルニアだけではありません。 過去1年間、この主題に関するいくつかのプロジェクトが米国議会に提出されました。 その中には、2017年のIoTのセキュリティ保護法と2017年のモノのインターネットサイバーセキュリティ改善法があります。これは、連邦政府機関にIoTデバイスの標準セキュリティ要件を開発することを要求しています。
これに先立ち、米国政府はスマートデバイスのメーカー向けのガイドラインを発行し、ユーザーの個人データを保護するための推奨事項を収集しました。 たとえば、そのような文書は、2015年に連邦取引委員会(FTC)によって公開されました。
/ Flickr / 針葉樹 / CC
ヨーロッパでは、同様の文書、特に2016年7月に採択されたネットワークと情報システムの安全性に関する指令(NIS指令)もあります。 モノのインターネットに直接対処するのではなく、エネルギー、金融、医療、運輸業界などの重要な分野で企業システムを保護するための要件を定めています。 このドキュメントにはルールのリストのみが含まれており、欧州連合の各州は独自に実装方法を決定する必要があります。
IoTデバイスの保護に関する法律もオーストラリア政府によって開発されています。 政治家によると、消費者を保護し、IoTのイノベーションを制限しないバランスの取れたドキュメントを作成しようとしています。 これを行うために、規制当局は業界の代表者と対話しています。 これまでのところ、政治家はスマートデバイスメーカーの要件についてのみ議論しています。
したがって、カリフォルニア州の法律は、IoTデバイスのすべてのメーカーの一般的な要件を策定した最初の法律です。 また、不完全ではありますが、この指令は他国の指針となり、スマートガジェットの安全性に関する積極的な取り組みが開始されると考えられています。