セキュリティ対策のないコーヒーマシンがホワイトハウスを脅かす（2）

前半の記事はこちら

湧き上がる疑問

このことは米国における消費者向けIoTデバイスのセキュリティについて多くの疑問を投げかけるものだ。連邦政府に販売される製品に対するセキュリティ向上が、個人の消費者にどうプラスに働くのだろうか？連邦政府向けに販売しないすべてのベンダーのIoT製品も同様の水準を保つことになるのか？ベンダーは販売する製品を、連邦政府向けか一般消費者向けかで選り分けるようになるのだろうか？あらゆる製品やテクノロジー、特に個人情報を収集するデバイスについて、標準となる規定が定められることになるのだろうか？

今回の議案は消費者とベンダーにとって試されるものだ。懸念されるのは本当の危険性をIoTデバイスが普通のコンピュータ以上に及ぼしうることだ。というのは、IoTデバイスは現実世界のシステムを操作できるということだ。頻繁に見られることだが、IoTデバイスの浸透は急速に伸びており、製造者はその競争に勝ち残ろうと消費者を喜ばせることを第一に決断や製造を行っており、セキュリティは二の次になりがちである。より安い製品を早く市場に送り出すことが第一になっており、セキュリティが見落とされている。

結果として、消費者は製品やサービスの利便性と引き換えに、セキュリティとプライバシーを犠牲にしている。むしろ我々は、そういった利便性が安全性を犠牲にするだけの価値があるのかどうかを自身に問うべきだろう。IoTデバイスを市場に送り出す人たちに、我々はセキュリティこそ第一であるということを求めるべきだ。

善意ある者に与えられる許可

今回提出された議案の興味深い点は研究者向けの配慮だ。もし議案が通過すれば、「サイバーセキュリティ研究者がコンピュータ不正行為防止法および、デジタルミレニアム著作権法に基づき、善意のもとでガイドラインに基づいた脆弱性を開示する研究が許される」ことになる。
善意に基づいたハッキング行為などを通して、IoTデバイスの脆弱性を発見する上での自由が研究者たちに与えられるということだ。結果、より多くの研究者たちにより倫理的に脆弱性やセキュリティ上の懸念が明らかにされることだろう。

今のところ、この議案がテクノロジーの急速な発展に即したセキュリティ上の要件を満たせる長期的戦略の取り組みになるかどうかが問われるところだ。残念ながら試行錯誤の末にその答えは時間とともに明らかになるだろう。

著者はSecureAuth社の情報セキュリティ責任者である。スタートアップ企業やForbes 500に名を連ねる企業のベンダーセキュリティリスク診断を15年以上指揮してきた経験を彼女は、SecureAuth社のリスクベース認証や情報セキュリティソリューションの指針を策定している。ガバナンス・リスクマネジメント・コンプライアンスフレームワークに関わっていることでも知られている。

DANIELLE JACKSON
[原文4]