あなたの製品は防水かもしれないが、インターネットの深層に対応できているのでしょうか?
1962年の名作「ドクター・ノー」で初代ジェームズ・ボンドを演じたショーン・コネリーは、ロレックス・サブマリーナ・リファレンス6538を着用していました。この象徴的な時計は、水柱200mに相当する圧力に耐えられるように作られており、カーチェイスや暗殺者、火炎放射器と格闘する人たちにとって賢明な選択でした。
現代のジェームズ・ボンドは、そのすべてに対応できる時計を必要としています。さらに、冷戦時代の先達が決して悩まなかった、サイバー攻撃にも対応できる時計が必要なのです。
サイバーセキュリティ:製品開発者にとって最も差し迫った安全性の問題であることは間違いない。
腕時計のようにオフラインであったものが、今ではどんどんつながっています。例えば、ホームセキュリティーのような、オンラインで報告することができる新しい製品カテゴリーが存在するのです。これらを総称して「IoT(Internet of Things)」と呼びます。IoTという言葉は1999年に生まれましたが、本格的に普及するまでには長い年月がかかりました。現在、私たちは何百億というウェアラブル機器やガジェットに囲まれており、その成長はすぐには止まりそうにありません。
サイバー保証 -製品開発者の新たな挑戦
製品にインターネット接続機能を付加することは、同時にリスクも付加することになります。そして、リスクには管理が必要です。だから、道路を作るときには、安全対策を埋め込むのです。白線と破線。ガードレール。速度制限。停止表示。
そしてもちろん、クルマ自体にも安全装置が搭載されています。いくつかは、直感的にそうすることが理にかなっているから付けられたのでしょう。3点式シートベルトやエアバッグのように、事故を受けて発明された機能もあります。
同じように、IoTデバイスも基本的な安全機能を備えていますが、正直に言うと、オオカミは藁と棒でできた小屋を相手にすることがほとんどでした。そして、その努力は見事に報われたのです。私たちはそれに応えてきたのでしょうか?
確かに、企業レベルでは場当たり的な対策がとられてきましたが、政府を含むIoT業界全体では、サイバー脅威の堅牢性を保証する方法について明確なガイドラインは定義されていませんでした。
今までは。
Read more: Guide for Product Developers: 6 Steps From Idea to Market
“IoTエコシステムにおいてより良いレベルのセキュリティを確保するためには、政府、産業界、消費者が共通の到達目標に向かって協力することが必要であり、ETSIなどの標準化機関はこの規格のためにそれを達成するための適切なプラットフォームを提供しています。”
Mahmoud Ghaddar, CISO Standardization,
quoted in Infosecurity magazine (2020)
欧州規格「Cyber Security for Consumer Internet of Things: Baseline Requirements」(ETSI/EN 303 645)が2020年6月に発行されました。この規格は、「基本的な設計上の弱点(容易に推測可能なパスワードの使用など)に対する基本的な攻撃から保護することを意図した」サイバーセキュリティのベースラインを確立する13の条項を定義しています。
企業や組織は、この規格が義務化される前であっても、この規格の認証を受けることを検討することができますし、またそうすべきです。実際、英国やフィンランドのように、すでにこの規格を参照している国家制度もあります。
"現在までに、フィットネスウォッチ、ホームオートメーションデバイス、スマートハブなど、いくつかの製品にラベルを付与しています。(中略)企業やハッカーからのフィードバックは、今のところ非常にポジティブなものです。"
Juhani Eronen from Traficom to ETSI.org
製品開発者であれば、製品に物理的なストレスを与えるテストに慣れていることでしょう。製品を市場に投入する方法に関する包括的なガイドをお読みになった方は、私たちが何を言っているのかご存じでしょう。
同様に、製品の安全性に関する試験や認証の範囲には、今やサイバーセキュリティも含まれます。IoTデバイスに関連する無数のサイバーセキュリティインシデントを受け、開発者は自社製品の安全性を確認することが賢明でしょう。先ほども触れたように、親会社が攻撃を受けた場合の直接的、間接的なコストは途方もないものになる可能性があります。ステークホルダーの信頼を失えば、彼らのビジネスも失うことになるのです。
“当社のラベルは、EN 303 645に基づく認証基準を満たしたネットワーキング・スマートデバイスに
付与され、消費者が十分に安全なIoTデバイスを識別するのに役立ちます。”
Juhani Eronen from Traficom to ETSI.org
要は、IoT製品を開発する場合、物理的なストレスに対するのと同じように、サイバーセキュリティのテストと認証を行う必要がある、ということです。
顧客の中に007はいないかもしれませんが、顧客のデータを適切に保護しなければスカイフォールに巻き込まれることになります。