セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

セキュリティーとプライバシーに関する5つの常識的なIoT規制

人類の歴史の大部分において商取引の力関係は圧倒的に売り手が優勢でした。”caveat emptor”即ち「買い手の責任」、古代ローマでもこう言われたのです。

一方で、代償を社会に押し付けることで利益を増やす、そんな悪質な売り手から買い手を守るために人々が団結力を発揮してきたという歴史もあります。
歴史上最も古い消費者安全法は約4000年前のハンムラビ法典に見ることができます。その内容は些か苛烈ではありますが。

ある者の家の建築を請け負った建築者が、その家を適切に建築せず、家が崩れて持ち主を殺したならば、その建築者は死罪となる。

ですが、今日私達が知る消費者安全法は比較的新しい発明です。米国で「消費者製品安全法(CPSA)」が制定されたのは1972年で、英国で「消費者保護法(CPA)」が制定されたのは1987年です。

今日の法律は厳しい罰則を規定しています。例えば英国のCPAは製品の安全性に関する違反責任に対して最大6ヶ月の懲役と上限無しの罰金を科します。またこれらの法律は、製品の基準、購入、及びテストの規定、更に販売者と製造業者を訴える権限を執行機関に対して与えています。

つまり、あなたが販売した家庭用デバイスが誰かに身体的な傷害をもたらした場合、あなたは自身のビジネスと個人の自由に関する重大なリスクに直面します。ところが、あなたの販売したデバイスがもたらしたものが精神的な傷害や市民権の侵害、あるいはプライバシーを危険に晒したことで生じた身体的な傷害である場合は、少々事情が異なります。これらのケースでは、最も厳しく処分されたとしてもあなたは軽く罰せられるに過ぎません。

EUでなんらかのビジネスを行っている全ての企業にとっては、この状況は2018年5月末※1にEUで「一般データ保護規則(GDPR)」が施行される時に変わるでしょう。GDPRは2つの脅威(ただし怠慢なベンダーにとっての)をもたらします。

  • 罰金の可能性 – 全世界の売上高の2%以内2000万ユーロ、または全世界の売上高4%の高額な方※2
  • データ侵害が生じた際の有罪推定 – 職務上の怠慢が無かったことをベンダー側が示さねばならない

しかし、GDPRはデジタル消費財、つまりIoT「スマート」デバイスを明確に規制していません。
「あなたの持つ一般的なIoTデバイスは、セキュリティーとプライバシーの両面で酷い代物だ。」「『スマートデバイス』イコール『脆弱なデバイス』」―我らがMikko Hypponenの言葉です。
あるいは、「『スマートデバイス』イコール『脆弱な監視デバイス』」という、Fennel Corollaryの表現の方が好みでしょうか。

現在のIoT市場は、消費者安全法導入前の家庭用製品市場のようなものです。だからこそ私は、イギリス政府の「Secure by Design:消費者IoTのサイバーセキュリティー向上に関する報告書」のような新提案が見られたことに喜びを覚えます。報告書には沢山の論点がありますが、セキュリティーとプライバシーの領域にも確固たる消費者保護法を付加することが必要であることは明らかです。

では、もし英国の提案が十分に満足いくものでなければ、IoTセキュリティーとプライバシーに関する常識的な規制として私にどのような提案ができるでしょうか?私は、この規定に不可欠な5項目をここに提示します。

  1. 消費者安全法は、危険な製品を消費者に提供するいかなる企業(そしてその取締役)に対しても厳しい罰則を適用する、領域の広い法律です。更に、消費者に代わって企業を訴える、資金と意欲を備えた政府の消費者保護機関も機能しています。それと同様の正確さ、厳格さ、そして資金源の仕組みが、デジタル・身体の両面で消費者に危険をもたらすIoT機器に対しても必要です。
  2. IoT機器がもたらす消費者の危機は、安全性の領域だけでなくプライバシーの領域にも及びます。私は、プライバシーバイデザインに対して同様の規定をしなければならないと強く感じます。それには、デバイスやサービスを通じて「消費者が認識している」機能を提供するためには不要であるにも関わらず、(ターゲティング広告のための直接的、間接的な利用を問わず)あらゆる形で行われる消費者の個人情報の収集、保管、販売に対して厳しい罰則を科すことも含めねばなりません。
  3. 同様に、この規定はあらゆるバックドアを厳しく禁止すべきです。政府や法執行機関がユーザーデータや使用情報へアクセスしたり、デバイスの制御を実施したりすることに対しても同様です。更に言えば、そのような情報や制御法を提供することに関する、政府や法執行機関・代理機関とベンダーとの「紳士協定」もまた厳しく禁止されるべきです。
  4. セキュリティーとプライバシーに関して法律に書かれている具体的要件は常に時代遅れで不完全です。ですから、私ならこの件に関しては独立した標準機関に委任するでしょう。インターネットを管理する他の標準機関と同じ方法です。こうした形の好例としては、CA/BrowserフォーラムによるTLS証明書のセキュリティー規定管理が挙げられます。
  5. 要件の中で、IoTベンダーがデバイス(及び/または)ソフトウェアの更新を終了したり、ビジネスをやめたりする状況についても取り上げておかなければなりません。最低限のソフトウェアアップデート継続期間の規定や、ベンダーがサポートを中断するにあたっては最新のファームウェアや更新ツールをオープンソースとして提供し、ユーザーやサードパーティーによってサポートが継続できるようにするといったことを規定しなければなりません。

物理的、ソフトウェア的にセキュリティーコントロールをハックしようと決めた人間は、常にその方法を見出します。それと同様、いかなる規制も抜け穴が見つけられるでしょう。しかし、「脆弱な」消費者を保護しようと試みることは、問題が存在しないかのように振る舞うより余程誠実です。あまつさえ、セキュリティーやプライバシーに関する危険性に対してインフォームド・コンセントを行うための現実的な選択肢も、更にはその可能性も持たないユーザーの責任に帰するなど以ての外なのです。

脚注

※1 原文では”at the end of May 2017″ですが、文脈を考慮の上2018年5月末と訳しています。
※2 原文では”up to 2% of worldwide turnover”ですが、GDPRの罰則内容に基づいて訳しています。(2018年5月28日修正)

オリジナル記事情報

    5 Common Sense Security and Privacy IoT Regulations | F-Secure Safe and Savvy Blog
    掲載日:2018年4月18日
    執筆者:Fennel Aurora
本記事はF-Secure KKの許諾のもと、オリジナル記事を日本語に翻訳・編集したものです。

当社では、F-Secure社のエンドポイントセキュリティソフト、エフセキュア プロテクションサービス ビジネスを取り扱っております。
F-Secure

記事一覧に戻る