英国のIoT向け「セキュリティー・バイ・デザイン」法がスマホも対象に

今回は「英国のIoT向け「セキュリティー・バイ・デザイン」法がスマホも対象に」についてご紹介します。

関連ワード (IoT、イギリス、スマートフォン等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


英国の消費者向けデバイスのセキュリティ向上を目的として計画されている「security by design(セキュリティ・バイ・デザイン)」法の対象に、スマートフォンも入ることになった。政府が英国時間4月20日に発表した。

発表は、モノのインターネット(IoT)が長年引きずっている最もゆるいセキュリティ慣行に取り組む法制計画に関する質問への回答の中で行われた。

政府はIoTデバイス製造メーカー向けのセキュリティ実務指針を2018年に導入した。しかし、この度の法案は、そこに一連の法的拘束要件を追加することを意図している。

法案の草稿は閣僚らによって2019年に公開された。政府が焦点を当てたウェブカメラや赤ちゃんモニターなどのIoTデバイスは、最もひどいデバイスセキュリティ慣行としばしば結び付けられてきた。

今回の計画では、事実上すべてのスマートデバイスが、法的拘束力のあるセキュリティ要件の対象となり、政府が参照した消費者グループ 「Which?」の調査によると、3分の1の人々が携帯電話を4年以上使っており、メーカーの中にはセキュリティアップデートを2年以上実施していないところもある。

この法案は、スマートフォンやデバイスのメーカー、たとえばApple(アップル)やSamsung(サムスン)に対し、ソフトウェアアップデートを受けられる期間を、販売時点で消費者に通知することを義務づけている。

さらに、メーカーが容易に推測できてセキュリティの意味をなさない共通デフォルトパスワード(「password」や「admin」)を工場設定で埋め込むことを禁止する。

すでにカリフォルニア州では、そのようなパスワードを禁止する法案が2018年に通過し、2020年法制化された。

関連記事:カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

来たるべき英国法の下で、メーカーは誰もが簡単に脆弱性を報告できる公開連絡窓口を提供することも義務づけられる。

政府は同法案を議会日程が許す限り迅速に提出すると語った。

デジタルインフラストラクチャー担当大臣のMatt Warman(マット・ワーマン)氏は声明で次のように語った。「私たちの携帯電話やスマートデバイスはデータを盗もうと狙っているハッカーにとって宝の山ですが、未だに多くの人達がセキュリティシステムに穴のある古いソフトウェアを使っています」。

「私たちは法を改訂し、買おうとしている製品がいつまで必要なセキュリティアップデートのサポートを受けられるのかを購入者が知り、簡単に推測できるデフォルトパスワードを禁止することでデバイスへの侵入を困難にします」。

「この改訂は、世界中のテクノロジー団体の支援を受けており、オンライン犯罪者の行動を打ち砕き、パンデミックから安全を取り戻すという私たちの使命を後押しするものです」。

デジタル・文化・メディア・スポーツ省(DCMS)広報官は、ノートパソコン、デスクトップパソコン、および携帯通信機能を持たないタブレットや、中古品は本法案の対象外であることを確認した。ただし、その意図は対象範囲を柔軟にし、今後デバイスを襲うかもしれない新たな脅威に追随することにあると付け加えた。

画像クレジット:Karl Tapales / Getty Images


【原文】

Smartphones will be included in the scope of a planned “security by design” U.K. law aimed at beefing up the security of consumer devices, the government said today.

It made the announcement in its response to a consultation on legislative plans aimed at tackling some of the most lax security practices long-associated with the Internet of Things (IoT).

The government introduced a security code of practice for IoT device manufacturers back in 2018 — but the forthcoming legislation is intended to build on that with a set of legally binding requirements.

A draft law was aired by ministers in 2019 — with the government focused on IoT devices, such as webcams and baby monitors, which have often been associated with the most egregious device security practices.

Its plan now is for virtually all smart devices to be covered by legally binding security requirements, with the government pointing to research from consumer group “Which?” that found that a third of people kept their last phone for four years, while some brands only offer security updates for just over two years.

The forthcoming legislation will require smartphone and device makers like Apple and Samsung to inform customers of the duration of time for which a device will receive software updates at the point of sale.

It will also ban manufacturers from using universal default passwords (such as “password” or “admin”), which are often preset in a device’s factory settings and easily guessable — making them meaningless in security terms.

California already passed legislation banning such passwords in 2018 with the law coming into force last year.

Under the incoming U.K. law, manufacturers will additionally be required to provide a public point of contact to make it simpler for anyone to report a vulnerability.

The government said it will introduce legislation as soon as parliamentary time allows.

Commenting in a statement, digital infrastructure minister Matt Warman added: “Our phones and smart devices can be a gold mine for hackers looking to steal data, yet a great number still run older software with holes in their security systems.

“We are changing the law to ensure shoppers know how long products are supported with vital security updates before they buy and are making devices harder to break into by banning easily guessable default passwords.

“The reforms, backed by tech associations around the world, will torpedo the efforts of online criminals and boost our mission to build back safer from the pandemic.”

A DCMS spokesman confirmed that laptops, PCs and tablets with no cellular connection will not be covered by the law, nor will secondhand products. Although he added that the intention is for the scope to be adaptive, to ensure the law can keep pace with new threats that may emerge around devices.

(文:Natasha Lomas、翻訳:Nob Takahashi / facebook )

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ランサムウェア被害のスコットランド環境保護庁、身代金支払い拒否でファイル暴露される
IT関連
2021-01-25 20:17
ネットワン、ネットワーク特化の独自LLMを開発へ–エンジニア業務の効率化・品質向上を目指す
IT関連
2023-10-27 08:36
日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで「復旧困難」
セキュリティ
2021-08-18 01:39
AWS、コードレビュー自動化の「CodeGuru Reviewer」に新機能–Log4Shellに類似した脆弱性検出
IT関連
2022-02-19 11:31
LegalOn Technologies、「LegalOn Cloud」で「案件ラベル生成」「参考情報検索」のベータ版を提供
IT関連
2024-05-17 06:44
次期MacBook Proの14インチと16インチ、早ければ今年の初夏に発売? M1後継の最大メモリは64GB、GPUコアは最大4倍に
IT関連
2021-05-20 20:05
近畿大、24時間営業の無人決済コンビニ開業–学生の活動に寄り添う
IT関連
2023-03-26 18:35
医療機関向け業務効率化サービス「AI問診ユビー」が全国47都道府県・400超の医療機関で導入達成
ヘルステック
2021-05-22 21:07
自分の言葉でクラウドを語れる人を育てたい–日立のクラウド人財育成記
IT関連
2023-08-30 03:20
Twitter、アカウントを検索から隠すなど4つの新機能を検討
企業・業界動向
2021-07-08 05:15
オルツと日本M&Aセンター、AIクローン技術によるM&Aマッチングの実用化に挑戦
IT関連
2025-01-10 01:26
「Windows 10」新プレビュー、エクスプローラーのアイコンを刷新–ビルド21343で
IT関連
2021-03-26 14:23
AmazonのCEO、生成AIがクラウド以来の最大の技術革新になる可能性を指摘
IT関連
2024-04-13 13:24
Facebook、5.33億人のユーザー情報公開問題について説明(謝罪はなし)
企業・業界動向
2021-04-08 01:20