IoTサイバーセキュリティ法によりデバイスメーカーにセキュリティ負担が課される

IoT サイバーセキュリティ法は、IoT 専門家がデバイスにさらに多くのセキュリティ機能を実装するための良いスタートとなります。ただし、脆弱性評価や開示プログラムなどの事前対策を通じて資産を保護することは、悪者との戦いにおいて広範なビルダー コミュニティを支援できる選択肢となります。

2020 年 XNUMX 月に署名され、 超党派の立法 政府のお金で購入したモノのインターネット (IoT) デバイスに強制的に 最低限のセキュリティ基準を満たしている.

この法律により、政府はより安全な IoT デバイスを期待できるようになりますが、デバイスのセキュリティを強化する責任はビルダーとデバイス メーカーにあります。

ビルダーはデバイスを保護するために今すぐ行動する必要があります

より広範な IoT 環境は厳格で共通のセキュリティ基準が欠如しているため、西部開拓時代のように特徴付けられることもありますが、政府に供給する企業にとってセキュリティ対策の導入はより重要になっています。

しかし、それにもかかわらず、デバイスメーカーが今すぐサイバーセキュリティ対策を導入することが非常に重要だと、IoTセキュリティソフトウェア会社BG Networksの創設者兼最高経営責任者（CEO）のコリン・ダガン氏は強調した。同氏は、IoTデバイスが悪意のある活動の主な標的になると警告した。

現在および将来、犯罪者や敵対国家が、現在 IT システムの弱点を暴露しているのと同じように、ネットワークに接続された IoT デバイスの弱点を探し、暴露していることには全く疑いの余地がないと同氏は述べた。

Duggan 氏は、悪意のある攻撃者がターゲットの限界を常にテストすることを提案しました。 Verkada 防犯カメラハッキングs 疑惑のイデオロギー的観点がデバイスへの侵入への欲求を引き起こしたため、これらの攻撃者は背後に明確な動機を必要としていないことを強調します。

米国国立標準技術研究所 (NIST) は、 サイバーセキュリティフレームワーク, しかし、これは画一的なアプローチではありません。

ビルダーやデバイスメーカーは、一部のデバイスは他のデバイスよりも安全性を高める必要があることに留意する必要がある。デバイスに含まれるデータの機密性が高いか、多くの IoT デバイスが物理的なものや動作を制御するため、侵害によって潜在的な安全性や運用上の問題が発生する可能性がある、とダガン氏は述べた。

Vdooの事業開発担当副社長ヤニブ・ニッセンボイム氏もダガン氏と同じ意見で、デバイスメーカーは「今すぐこれらのガイドラインへの対応」を開始し、新しい規制が実際に形になった際に行動を起こして緩和できるようにするべきだと示唆した。

IoT サイバーセキュリティ法の長期的な影響

短期的には、IoT デバイスのサイバーセキュリティはもはや後回しとは考えられなくなり、その例として民間市場が空から輝く光を与えられるようになるでしょう。

ただし、この法律の長期的な影響により、デバイス メーカーにはセキュリティの実装について真剣に検討するというより大きな負担が課せられます。

Cyber​​Ark のビジネス開発ディレクターであるブライアン・カーペンター氏は、デバイスのメーカーや製造者は、これらの保留中の規制がどのように施行されるか、また顧客が IoT デバイスとの間の接続をどのように管理および保護できるかを検討する必要があると強調しました。

「顧客は、リスクの一部を管理するこれ以上サイロ化されたセキュリティ ソリューションを望んでいません。リスクを適切に管理するには、リスクを 1 つのビューで確認する必要があるのです」とカーペンター氏は述べています。

安全なファームウェアのアップデート、パッチ、ID管理など、効果的な対策を強化したデバイスを開発するIoTビルダーは、顧客のリスク軽減戦略に適合し、競争上の優位性を得ることができるだろうと同氏は述べた。

米国の超党派の政治家が、ならず者国家による国の技術インフラへの干渉を抑制することを目的とした大量の規制変更を行った後、建設業者や機器メーカーはこの法案の焦点では​​なかった。この問題は時間の経過とともに大きくなり、次のようなものによって引き起こされる大混乱を抑制することを目的としたいくつかの法律が制定されています。 ロシア, 中国, イラン, 北朝鮮、この特定の変更は、長期的には間違いなく建築業者に役立ちます。

何が強力なセキュリティを構成するのかについてのガイドラインを提供することで、メーカーは最終的に顧客のニーズを満たす必要があり、NISTのガイドラインは連邦レベルまたは州レベルで新たな法律となる可能性が高いとカーペンター氏は示唆した。

広義の定義は適切な定義です

ダガン氏は、IoT デバイスに対するこの法律の定義は「ネットワーク インターフェイスを備えたデバイスはネットワークに脆弱性を追加する可能性があるため、適切である」と述べました。

IoTサイバーセキュリティ法 IoT デバイスを構成するものの定義 デバイスは「物理世界と直接対話するために少なくとも 1 つのトランスデューサー (センサーまたはアクチュエーター) を備え、少なくとも 1 つのネットワーク インターフェイスを備えている」必要があると述べています。

ダガン氏は、これはこの法律が広範囲に及ぶことを意味すると同時に、「サイバーセキュリティ機能の実装はすでによく理解されている」ためスマートフォンやラップトップが含まれていないことも明確であると述べた。

しかし、彼が指摘した限界は、政府機関にデバイスへのサイバーセキュリティの追加を強制する特定の権限の欠如に関するものでした。

ダガン氏は国連欧州経済委員会（UNECE）に言及した。 WP.29 自動車規制、2024 年 XNUMX 月までにすべての新車が生産されると記載されています。 セキュリティバイデザインのアプローチに基づいたサイバーセキュリティを含める必要がある ソフトウェアのアップデートを実行できます。

同氏は、IoTサイバーセキュリティ法は「UNECEの要件ほど強力ではない」と述べ、セキュリティの向上という点では、UNECEが行っていることに一致することが良い一歩となるだろうと述べた。 「その[UNECE]規制は、自動車業界に必要なサイバーセキュリティを自動車に広く実装するよう変化を強いています」と彼は付け加えた。

デバイスメーカーや製造業者に課せられるその他の制限に関して、ニッセンボイム氏は、この法律は連邦政府にIoTデバイスを販売する企業にのみ適用されることを思い出させた。しかし、それにもかかわらず、州政府や民間企業もその原則とガイドラインの採用を検討するだろうと同氏は認めた。

同氏は、「さらに、開発中の国際的なIoTサイバーセキュリティ標準と規制が増えている」と述べ、この規制は、さまざまな分野で毎年生産される数十億台の接続デバイスに対してより高いセキュリティレベルを強制するのに役立つと付け加えた。

IoTサイバーセキュリティ法で解決すべき課題

この規制はオブザーバーによって賞賛されているが、デバイスメーカーや製造業者、特に米国政府に販売していないメーカーにとっては問題が残っている。

建設業者は、この法律の今後の影響を評価するために一歩下がって評価する必要がある。法律はデバイスのセキュリティ評価の実施を強制していませんが、攻撃数が急増しているため、違反を回避するためにガイダンスが必要になる可能性があります。

ニッセンボイム氏は、こうした分析と監視は自動化され、これらの重要なプロセスを担当する製品セキュリティとエンジニアリング関係者の両方が管理する必要があると述べた。

Cyber​​Ark のカーペンター氏は、IoT デバイスへのリモート接続には、ファームウェアの更新、認証情報の管理、メンテナンスの点で依然として大きな課題があると警告しました。

カーペンター氏は、現在規制されていない問題に関連するものが最終ガイドラインに盛り込まれることに期待を表明した。 「特に労働力が増加し続けている中で」と彼は付け加えた。