英国のIoT向け「セキュリティー・バイ・デザイン」法がスマホも対象に

今回は「英国のIoT向け「セキュリティー・バイ・デザイン」法がスマホも対象に」についてご紹介します。

関連ワード （IoT、イギリス、スマートフォン等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

英国の消費者向けデバイスのセキュリティ向上を目的として計画されている「security by design（セキュリティ・バイ・デザイン）」法の対象に、スマートフォンも入ることになった。政府が英国時間4月20日に発表した。

発表は、モノのインターネット（IoT）が長年引きずっている最もゆるいセキュリティ慣行に取り組む法制計画に関する質問への回答の中で行われた。

政府はIoTデバイス製造メーカー向けのセキュリティ実務指針を2018年に導入した。しかし、この度の法案は、そこに一連の法的拘束要件を追加することを意図している。

法案の草稿は閣僚らによって2019年に公開された。政府が焦点を当てたウェブカメラや赤ちゃんモニターなどのIoTデバイスは、最もひどいデバイスセキュリティ慣行としばしば結び付けられてきた。

今回の計画では、事実上すべてのスマートデバイスが、法的拘束力のあるセキュリティ要件の対象となり、政府が参照した消費者グループ 「Which?」の調査によると、3分の1の人々が携帯電話を4年以上使っており、メーカーの中にはセキュリティアップデートを2年以上実施していないところもある。

この法案は、スマートフォンやデバイスのメーカー、たとえばApple（アップル）やSamsung（サムスン）に対し、ソフトウェアアップデートを受けられる期間を、販売時点で消費者に通知することを義務づけている。

さらに、メーカーが容易に推測できてセキュリティの意味をなさない共通デフォルトパスワード（「password」や「admin」）を工場設定で埋め込むことを禁止する。

すでにカリフォルニア州では、そのようなパスワードを禁止する法案が2018年に通過し、2020年法制化された。

関連記事：カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

来たるべき英国法の下で、メーカーは誰もが簡単に脆弱性を報告できる公開連絡窓口を提供することも義務づけられる。

政府は同法案を議会日程が許す限り迅速に提出すると語った。

デジタルインフラストラクチャー担当大臣のMatt Warman（マット・ワーマン）氏は声明で次のように語った。「私たちの携帯電話やスマートデバイスはデータを盗もうと狙っているハッカーにとって宝の山ですが、未だに多くの人達がセキュリティシステムに穴のある古いソフトウェアを使っています」。

「私たちは法を改訂し、買おうとしている製品がいつまで必要なセキュリティアップデートのサポートを受けられるのかを購入者が知り、簡単に推測できるデフォルトパスワードを禁止することでデバイスへの侵入を困難にします」。

「この改訂は、世界中のテクノロジー団体の支援を受けており、オンライン犯罪者の行動を打ち砕き、パンデミックから安全を取り戻すという私たちの使命を後押しするものです」。

デジタル・文化・メディア・スポーツ省（DCMS）広報官は、ノートパソコン、デスクトップパソコン、および携帯通信機能を持たないタブレットや、中古品は本法案の対象外であることを確認した。ただし、その意図は対象範囲を柔軟にし、今後デバイスを襲うかもしれない新たな脅威に追随することにあると付け加えた。

画像クレジット：Karl Tapales / Getty Images

【原文】

Smartphones will be included in the scope of a planned “security by design” U.K. law aimed at beefing up the security of consumer devices, the government said today.

It made the announcement in its response to a consultation on legislative plans aimed at tackling some of the most lax security practices long-associated with the Internet of Things (IoT).

The government introduced a security code of practice for IoT device manufacturers back in 2018 — but the forthcoming legislation is intended to build on that with a set of legally binding requirements.

A draft law was aired by ministers in 2019 — with the government focused on IoT devices, such as webcams and baby monitors, which have often been associated with the most egregious device security practices.

Its plan now is for virtually all smart devices to be covered by legally binding security requirements, with the government pointing to research from consumer group “Which?” that found that a third of people kept their last phone for four years, while some brands only offer security updates for just over two years.

The forthcoming legislation will require smartphone and device makers like Apple and Samsung to inform customers of the duration of time for which a device will receive software updates at the point of sale.

It will also ban manufacturers from using universal default passwords (such as “password” or “admin”), which are often preset in a device’s factory settings and easily guessable — making them meaningless in security terms.

California already passed legislation banning such passwords in 2018 with the law coming into force last year.

Under the incoming U.K. law, manufacturers will additionally be required to provide a public point of contact to make it simpler for anyone to report a vulnerability.

The government said it will introduce legislation as soon as parliamentary time allows.

Commenting in a statement, digital infrastructure minister Matt Warman added: “Our phones and smart devices can be a gold mine for hackers looking to steal data, yet a great number still run older software with holes in their security systems.

“We are changing the law to ensure shoppers know how long products are supported with vital security updates before they buy and are making devices harder to break into by banning easily guessable default passwords.

“The reforms, backed by tech associations around the world, will torpedo the efforts of online criminals and boost our mission to build back safer from the pandemic.”

A DCMS spokesman confirmed that laptops, PCs and tablets with no cellular connection will not be covered by the law, nor will secondhand products. Although he added that the intention is for the scope to be adaptive, to ensure the law can keep pace with new threats that may emerge around devices.

（文：Natasha Lomas、翻訳：Nob Takahashi / facebook ）