英国の消費者向けデバイスのセキュリティ向上を目的として計画されている「security by design(セキュリティ・バイ・デザイン)」法の対象に、スマートフォンも入ることになった。政府が英国時間4月20日に発表した。
発表は、モノのインターネット(IoT)が長年引きずっている最もゆるいセキュリティ慣行に取り組む法制計画に関する質問への回答の中で行われた。
政府はIoTデバイス製造メーカー向けのセキュリティ実務指針を2018年に導入した。しかし、この度の法案は、そこに一連の法的拘束要件を追加することを意図している。
法案の草稿は閣僚らによって2019年に公開された。政府が焦点を当てたウェブカメラや赤ちゃんモニターなどのIoTデバイスは、最もひどいデバイスセキュリティ慣行としばしば結び付けられてきた。
今回の計画では、事実上すべてのスマートデバイスが、法的拘束力のあるセキュリティ要件の対象となり、政府が参照した消費者グループ 「Which?」の調査によると、3分の1の人々が携帯電話を4年以上使っており、メーカーの中にはセキュリティアップデートを2年以上実施していないところもある。
この法案は、スマートフォンやデバイスのメーカー、たとえばApple(アップル)やSamsung(サムスン)に対し、ソフトウェアアップデートを受けられる期間を、販売時点で消費者に通知することを義務づけている。
さらに、メーカーが容易に推測できてセキュリティの意味をなさない共通デフォルトパスワード(「password」や「admin」)を工場設定で埋め込むことを禁止する。
すでにカリフォルニア州では、そのようなパスワードを禁止する法案が2018年に通過し、2020年法制化された。
関連記事:カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立
来たるべき英国法の下で、メーカーは誰もが簡単に脆弱性を報告できる公開連絡窓口を提供することも義務づけられる。
政府は同法案を議会日程が許す限り迅速に提出すると語った。
デジタルインフラストラクチャー担当大臣のMatt Warman(マット・ワーマン)氏は声明で次のように語った。「私たちの携帯電話やスマートデバイスはデータを盗もうと狙っているハッカーにとって宝の山ですが、未だに多くの人達がセキュリティシステムに穴のある古いソフトウェアを使っています」。
「私たちは法を改訂し、買おうとしている製品がいつまで必要なセキュリティアップデートのサポートを受けられるのかを購入者が知り、簡単に推測できるデフォルトパスワードを禁止することでデバイスへの侵入を困難にします」。
「この改訂は、世界中のテクノロジー団体の支援を受けており、オンライン犯罪者の行動を打ち砕き、パンデミックから安全を取り戻すという私たちの使命を後押しするものです」。
デジタル・文化・メディア・スポーツ省(DCMS)広報官は、ノートパソコン、デスクトップパソコン、および携帯通信機能を持たないタブレットや、中古品は本法案の対象外であることを確認した。ただし、その意図は対象範囲を柔軟にし、今後デバイスを襲うかもしれない新たな脅威に追随することにあると付け加えた。
カテゴリー:セキュリティ
タグ:イギリス、スマートフォン、IoT
画像クレジット:Karl Tapales / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Nob Takahashi / facebook )
