英国のPSTI法導入とその影響
英国のPSTI法導入とその影響
インターネットに接続されるIoT製品の数は急速に増加しています。
総務省の令和4年度情報通信白書によれば、世界のIoT製品数について、2023年には358億台、2024年には400億台程度と、今後も増加の一途を辿ることが予想されています。そしてIoT製品数の増加に伴い、IoT製品の脆弱性を狙ったサイバー脅威も増加傾向にあります。
英国では、消費者向けIoT製品に対してセキュリティ対策の義務化を求めるPSTI法が2022年12月に可決、成立しました。
この内容の概要と、日本へ与える影響について記載します。
英国にて施行されるPSTI法についての概要
求められるセキュリティの要件
PSTI法は「Product Security and Telecommunication Infrastructure」の略です。
PSTI法は、英国にて施行される法律で、IoT製品のサイバーセキュリティ対策の向上を目的としています。英国にて2022年12月6日に可決、成立しました。2024年4月29日の施行が予定されています。
IoTとは、従来ネットワークに接続していなかった様々な機器(家電や家、自動車など)がネットワークに接続し、相互に情報のやりとりをする仕組みのことをいいます。IoT機器はネットワークに接続することが出来るようになった機器のことを指します。
従来、こういった機器はネットワークに接続していなかったことから、IoT製品のセキュリティに関するシステムや法律などがありませんでした。したがってこのIoT製品の脆弱性を狙うセキュリティ攻撃などが多発している現状があります。
この問題を打破するべく、英国はIoT製品に特化した法律を可決したわけです。
しかし今回成立したPSTI法の実際の文面には具体的なセキュリティ要件や経過措置の期間などは記載されておらず、具体的な内容については担当国務大臣(英国デジタル・文化・メディア・スポーツ相)に委ねられ、柔軟に現実に即した内容になると想像されました。
また、この法律は英国市場へ出荷するための要件に対するコンプライアンス宣言や違反時に課せられるペナルティが発生する旨も記載されたため、英国へIoT製品を輸出しようとする企業はこの法案の影響を少なからず受けることになります。
英国政府によれば、この制度は世界初とされ、EUから離脱した自由によって成立したものであり、EU加盟国のままでは不可能であっただろうと強調しています。
今後英国にIoT製品を輸出しようとする場合、サイバー犯罪の継続的な脅威に対処するためにも、一連の様々なセキュリティ保護を導入する必要があります。求められている措置は以下の通りです。
1. 出荷時に簡易なパスワード設定の禁止、初期パスワードからの変更の強制
消費者向けの通信可能な製品では、製品出荷時にデフォルトパスワードや、推測しやすいパスワードでの設定が禁止されます。例えば、「password」や「root」などの非常な簡易なパスワードなどです。
また、製品を使用する前にユーザーが個別に強固なパスワードを個別に設定しないと使用開始することが出来ない仕様を求めています。
2. 脆弱性情報の報告方法の提供
万が一脆弱性が発見された場合、その脆弱性に対する情報の通知をするために、製造者であるメーカーなどの連絡先情報を提供しなければなりません。この連絡先の設定が義務化されることとなりました。また同時に、脆弱性が判明したときに、その脆弱性の情報の開示をしなければならないと明示されました。
つまり、製品の出荷後のセキュリティ対応体制を常時各メーカーに求める内容となっており、製品がセキュリティ情報の更新を受けられる間は、ユーザーのメーカーに対する透明性を高めることになります。
上記の内容により今後は一般的にセキュリティ情報が標準化され、提供されることになります。このことは、消費者の購買意思決定により良い情報を提供することになるでしょう。
3. 製品のセキュリティサポート期間の明示
また、各種メーカーは、販売前に製品のセキュリティ更新サポート期間についてあらかじめ顧客に知らせることが義務づけされます。
従来多くのメーカーは製品の保証期間を1年、部品の保守期間を出荷後10年など、製品により個別に定めてきました。今後このハードウェア的な保守期間に加え、セキュリティの保守対応期間を新たに設定する必要があります。
このセキュリティ保守期間は必ずしもハードウェアなどの保証体制と同じように無償である必要はありませんが、従来の物理的な保守備品の在庫保管とは別に、製品自体の保守改修や出荷後のセキュリティの脆弱性への対応など、ソフトウェア的な保守体制を構築しておくことが必要となってきます。
上記のどの内容をとっても、文章にすれば至極真っ当なものしかないように思われますが、それでも中小のメーカーにとってはハードルが高いように思われます。
例えば、セキュリティ更新サポート期間は、一般的に当該製品の売れ行きやメーカーとしての経営状況に大きく左右されるものになります。それを実際に発売する前に定め、保証することが求められるからです。そのことに人件費や経費が従来よりもかかることになるでしょう。
また、こういった決して小さいとは言えない負担が積み重なり、結果として他国の製品の英国への新規参入や、国内でのイノベーションの阻害に繋がる可能性がないとはいいきれません。
対象となる製品について
また、この法律には、対象となる製品は具体的に記載がありません。
ただ、インターネットもしくはネットワークに接続する製品と記載されています。
現状、対象外とされているのは、既にセキュリティ要件の決まっている自動車および電気自動車用チャージステーション、医療機器などです。法律上明文されないということは、適応される製品が時代に合わせて増えていくという事が容易に想像できます。それは将来的な技術革新が現状想像できないからです。
したがって、この法律の対象となる製品は、現状法律に記載のあるとおり、「ネットワークに接続する全ての製品」と思っておいた方がいいと思われます。
対象者について
この法案の対象者は、以下となります。
- 英国で製品を製造し、商標などを登録して製造者であることを世の中に示す企業、またその製品をカスタマイズし市場に合わせ調整を行う企業や、他国から製品を輸入する企業
- 英国内で製品を販売する企業や代表者(オンラインでの販売を含む)
PSTI法の施行時期は、経過措置についても当初担当大臣に委ねられていましたが、「最低12カ月の対応準備期間を提供する」とだけ記載されていました。
IoT製品へのセキュリティ攻撃への防御は一刻を争います。したがって可決から施行まで1年半弱というかなり早いものとなりました。その裏で各種企業の大変な努力があったことでしょう。
米国やEUで導入される施策との違い
米国での導入検討内容について
PSTI法は英国で導入予定の法案ですが、世界各国でソフトウェアやハードウェアを問わずに、さまざまな製品の脆弱性をはじめとするセキュリティ上の問題についての製造者の責任を法的に問う動きが見られてきています。
例えば米国では、国家サイバーセキュリティ戦略(National Cybersecurity Strategy)の中で「悪い結果を防ぐために行動を起こせる能力を最も持っているステークホルダー(the stakeholders most capable of taking action to prevent bad outcomes)」を対象とした法規制を設ける予定であることが明記されています。
この内容は、英国のPSTI法とは違い、消費者や中小企業および重要なインフラ提供者から、セキュリティに対する責任を取り除くものであると想像されます。
その代わりに、企業による将来への投資の背後で何十億ドルもの利益を上げている世界的なソフトウェアおよびサービス提供者に、各種セキュリティ対策を含めた負担を課す予定であると表明しています。
これらの大企業に対して、製品設計や生産工程で安全な手法を取り入れるのはもちろんのこと、差し迫った攻撃やデータ漏えいのリスクを顧客にもたらす欠陥が発見された場合は完全かつ透明な開示するように求めています。
EUのサイバーレジリエンス法案について
また2023年12月EU内で、「サイバーレジリエンス法案(CRA: Cyber Resilience Act)」についての政治的合意がなされたと報道がありました。
これまであった製造物責任指令では対象外だったデジタル関連の製品やサービスについても、製造者責任を問えるように法律を改訂します。また、違反した際のペナルティも甚大です。したがって、EU市場に事業を展開する日本のメーカーにも影響は少なくないと思われます。
法案の目的は、ネットワークへ接続された機器やソフトウェアのセキュリティを強化することとされています。
以下にその主な内容を記載します。
- 製品の計画、設計、開発、製造、配送、保守などのすべてのフェーズにおいて、リスクアセスメントを実施すること。そして法が定めるセキュリティ要件を順守し設計、開発、製造を行うこと。
- 販売前に製品が欧州規格にて適合性評価を受けていることを明示すること。
- すべてのサイバーセキュリティのリスクについて文書化すること。
- メーカーや開発者は、脆弱性の発見やセキュリティインシデントが発生した場合、24時間以内に関連する国とEUのサイバーセキュリティ当局に報告すること。
- 製品を販売した後も、メーカーや開発者は、明示しているサポート期間中は脆弱性に対してわかりやすく明確に対処すること。
- 製品の使用について明確かつわかりやすい説明書を必ず用意すること。
- 製品が使われると想定される期間中(最低5年間)、セキュリティアップデートを提供すること
この法案の対象としてはEU市場で販売される全てのデジタル製品(ハードウェア・ソフトウェア)および付帯するサービス、デジタル製品が対象となります。
逆に現状でこの法案の対象外とされているのは、すでに既存の規制で本法案の求めるセキュリティ要件と同等の内容が定められている医療、航空、自動車といった分野の製品、エンドユーザが手にすることのない展示用品や試作品などに限られます。
したがってそれら以外の製品、ソリューションについては全てこの法案の対象となると考えておく必要があります。
その一方でEU内では、この法案自体が有志によって開発が行われているオープンソースコミュニティの健全性を危険にさらす問題があるとの指摘がでて、オープンソースソフトウェアに関しては現状対象外となりました。
この法案はIoT製品のみに限ったものではありませんが、EU内ではユーザーが各種セキュリティに係わる被害を受けた場合、事業者に対し責任を負わせるという方針にあるようです。その方針はIoT製品についても例外ではない、ということになります。
PSTI法の日本への影響について
同種法案の日本導入について
日本国内でも、IoT製品についての安全性確保に向けた取り組みはかねてより行われてきました。
IoT製品のメーカーに対し、セキュリティ対策を支援するガイドラインを経済産業省、総務省等、関係機関から複数発表しています。
経済産業省は、2022年11月から「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」を開催しており、現状の課題の洗い出し、適合性評価制度の構築、構築すべき適合性評価制度等について議論を行っています。
総務省では、2020年4月に端末設備等規則を一部改正しました。ネットワークに直接接続する同規則の施行後に販売されたIoT製品について、アクセス制御機能、初期パスワードの変更機能、ソフトウェアの更新機能の実装を原則義務化しました。
また、IoT製品を対象に含むセキュリティに関する認証制度を作成しています。
しかしこれらの各種取り組みではカバーできていない課題が存在しています。
例えば、IoT製品の安全性確保のためには、IoT製品ベンダーにおけるセキュリティ対策の取組が必要不可欠ですが、現状では、ベンダーにおけるセキュリティ対策の取組を調達者や利用者に明確にアピールする方法がありません。したがって、対策に要するコストを製品の販売価格に反映しづらくなっています。
そのため、各諸外国の取組も踏まえつつ、今後はより一層IoT製品の安全性を確保するためにも、セキュリティ要求基準に対するセキュリティ対策の適合性を今後も随時評価して、その結果を利用者や調達者に見える形で可視化する制度が求められています。
まとめ
比較的英国でのPSTI法の中身は使用者として求められるものとしては至極平易ではありますが、提供側となるメーカーなどについては、出荷前だけでなく、セキュリティ対応の保守体制の構築などコストがかかる面も含めて求められている点が多い様に見受けられます。
罰則の有無など細かい点においては各国差がありますが、求められるセキュリティの安全性についてはほぼ同様に見受けられます。日本国内ではまだ具体的な法案などは可決されていませんが、英国のPSTI法などの内容を確認しつつ、同種の内容が導入されることを想定しておく必要があると思われます。