スマートホームの標準規格「Matter」の開発を手がけるConnectivity Standards Alliance(CSA)が2024年3月19日、IoTデバイス向けのセキュリティ標準規格「IoT Device Security Specification 1.0」とそれに付随する認証プログラムの「Product Security Verified Mark」の導入を発表しました。

The Connectivity Standards Alliance Product Security Working Group Launches the IoT Device Security Specification 1.0 - CSA-IOThttps://csa-iot.org/newsroom/the-connectivity-standards-alliance-product-security-working-group-launches-the-iot-device-security-specification-1-0/Watch Out for This Blue Badge on The Next Smart Home Device You Buy | PCMaghttps://www.pcmag.com/news/watch-out-for-this-blue-badge-on-the-next-smart-home-device-you-buyThe CSA launches an IoT Device Security Specification and certification program for smart home devices - The Vergehttps://www.theverge.com/2024/3/18/24104906/csa-iot-device-security-specification-product-security-verification-mark近年ではスマートインターホンのハッキングやスマートオーブンの遠隔起動など、IoTデバイスのハッキングによる被害が相次いでいます。しかし、これまでにIoT製品のセキュリティレベルを評価する基準や方法は存在しませんでした。そこで、CSAは消費者向けIoTデバイスに世界的に認められた単一のセキュリティ認証を提供することを目的とした、基本的なサイバーセキュリティ標準「IoT Device Security Specification 1.0」および認証プログラムの「Product Security Verified Mark」を発表しました。CSAが定める仕様に準拠し、認証プロセスを経たデバイスメーカーは、その製品に対してProduct Security Verified Mark(PSVマーク)を付けることができます。つまり、購入する防犯カメラやスマート電球にPSVマークが付いていれば、プライバシーに影響を与えかねない悪意のあるハッキングの試みやその他の侵入から保護するための要件を満たしていることがわかるというわけです。CSAがデバイスメーカーに求める要件の例が以下。・各IoTデバイスに一意のIDが設定されているか・デフォルトのパスワードがハードコーディングされていないか・デバイス上の機密データは安全に保存されているか・セキュリティ関連情報は安全に通信できるか・サポート期間中に定期的なソフトウェアアップデートが実施されるか・脆弱(ぜいじゃく)性管理を含む安全な開発プロセスを経たか・サポート機関を含むセキュリティに関する文章が公開されているかこれらの要件を満たした製品には、CSAから検証済みマークを製品のパッケージや宣伝に利用できるお墨付きが得られます。Googleのモバイルセキュリティ戦略ディレクターであるユージーン・リダーマン氏は「調査によると、消費者はセキュリティをデバイス購入の重要な要素として評価していますが、セキュリティの観点からどの製品を購入したらよいのか判別が付かないのが現状です。今回のPSVマークを含む一連のプログラムは、消費者がIoTデバイスを探す際に役立つシンプルで簡単に識別できる指標になるでしょう」と述べています。CSAはPSVマークを政府のセキュリティラベルプログラムと相互運用することを目指しており、2024年3月18日にシンガポール政府との相互承認協定を結んでいます。CSAのトビン・リチャードソンCEOは「PSVマークは、さまざまな政府機関やプログラムの要求事項を基に作成しました」と語りました。また、リチャードソン氏はPSVマークが付いた製品が、早ければ2024年末にも登場する可能性を示唆しています。加えてリチャードソン氏は「製品のセキュリティを重視する企業にとって、PSVマークの承認は競合他社との差別化を図る手段になります」と述べ、「プログラムが開始されればすぐに認証プロセスに入ってほしい」との見解を示しました。