ネット接続機器の認証制度について、世界的にいろいろな動向があります。ここでは、米国と欧州の動向をまとめて、日本の動向をみてみます。それ以外にも、シンガポールとかの動向があるのは、いうまでもないことですが、それはさておきます。
1 米国
1.1 IoT Cybersecurity Improvement Act
IoT Cybersecurity Improvement Actは、 連邦政府におけるIoTデバイスの所有・管理に関して、連邦政府によるIoTデバイスの調達および運用を通じて積極的にサイバーセキュリティ措置を講じることによって、連邦政府におけるサイバーセキュリティを強化し、DXによる恩恵を最大化させる、ために2020年12月に制定されています。
構成
構成は、
- ショートタイトル
- 議会の認識
- 定義
- IoT機器の使用と管理に関するセキュリティ基準とガイドライン
- 情報システム(モノのインターネットデバイスを含む)に関するセキュリティ脆弱性の開示プロセスに関するガイドライン
- モノのインターネットデバイスを含む政府機関のシステムに関するセキュリティの脆弱性の協調された開示の実施
- 請負業者の協調されたセキュリティの脆弱性開示への準拠
となっています。
IoT機器の使用と管理に関するセキュリティ基準とガイドライン
第4条(a)は、
(a) 連邦機関によるモノのインターネット・デバイスの使用および管理に関する政府機関によるモノのインターネット・デバイスの使用に関する基準およびガイドラインの開発
(1) 一般規定 – 本法の制定日から90日以内に、研究所の所長は、国立標準技術研究所法(15 U. S.C. 278g- 3)連邦政府のための基準およびガイドラインを策定し、公表する。これには、当該デバイスに関連するサイバーセキュリティリスクを管理するための最低限の情報セキュリティ要件が含まれる。 (以下、略)
となっています。
でもって、NIST(National Institute of Standards and Technology. 米国国立標準技術研究所)は、
- SP 800-213 “IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements”(2021年11月公表。「連邦政府向けのIoTサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件策定」)
- SP 800-213A “The IoT Device Cybersecurity Requirements Catalog”(2021年11月公表。「IoTデバイスのサイバーセキュリティ要件カタログ」)
を公表しています。
なお、NISTは、
NISTIR 8259 “Foundational Cybersecurity Activities for IoT Device Manufacturers”(2020年5月公表。「IoTデバイス製造業者向けの基本的サイバーセキュリティ活動」)
NISTIR 8259A “IoT Device Cybersecurity Capability Core Baseline”(2020年5月公表。「IoTデバイスのサイバーセキュリティ機能コアベースライン」)
NISTIR 8259B “IoT Non-Technical Supporting Capability Core Baseline”(2021年8月。「IoT非技術的サポート機能のコアベースライン」)
を公表しています。
脆弱性の協調された開示のガイドラインと実施
また、IoT Cybersecurity Improvement Actで注目すべきは、強調された開示のガイドラインと実施についての規定が設けられていることです。なお、このブログでも米国のCVDについては、簡単にまとめています。
IoT Cybersecurity Improvement Actの規定は、第5条 情報システム(モノのインターネットデバイスを含む)に関するセキュリティ脆弱性の開示プロセスに関するガイドライン、第6条 モノのインターネットデバイスを含む政府機関のシステムに関するセキュリティの脆弱性の協調された開示の実施です。
第5条は、
(a) 本法律が制定された日から 180 日以内に、研究所長は、当該サイバーセキュリティ研究所の所長は、サイバーセキュリティの研究者や民間の業界専門家と協議の上 研究者及び民間業界の専門家と協議し、長官と協議の上 米国国立標準技術研究所法(15 U.S.C. 278g-3)第 20 条に基づき、以下のガイドラインを策定し、公表する。
(1)に関する情報の報告、調整、公表、および受領のためのガイドライン。 ガイドラインを公表する。
(A) 省庁が所有または管理する情報システムに関するセキュリティの脆弱性に関する情報の報告、調整、公表、受領に関するガイドライン (省庁が所有または管理するモノのインターネット・デバイス に関する情報を含む)
(B) 当該セキュリティ脆弱性の解決;
および
(2) 省庁に対して情報システム(モノのインターネット機器を含む)を提供するあらゆる階層の請負業者については
(A) 当該情報システムに関連する潜在的なセキュリティ脆弱性に関する情報を受領すること。
(B) 当該情報システムに関連するセキュリティ脆弱性の解決に関する情報を発信すること。
とされています((b)以下は省略)。
また、第6条は、モノのインターネットデバイスを含む政府機関のシステムに関するセキュリティの脆弱性の協調された開示の実施のタイトルのもと。
(a)政府機関ガイドラン必要-情報システム(モノのインターネットデバイスを含む)の脆弱性に対処するために必要となる可能性のある方針、原則、基準、またはガイドラインを策定し、その実施を監督する。
とされています。
第7条は、請負業者の協調されたセキュリティの脆弱性開示への準拠のタイトルのもと(a) では、調達および使用の禁止がなされており、
(1) 一般規定 – 政府機関の長官は、モノのインターネット(IoT)の調達または取得、調達または取得のための契約更新、 またはモノのインターネットデバイスの使用は。 またはモノのインターネットデバイスの使用は、当該機関の最高情報責任者が、 合衆国法典第40編第1319条(b)(1)(C)項において義務付けられている当該デバイスの契約の見直し、 当該デバイスの使用が第4条で策定された基準およびガイドライン、または第5条で策定された ガイドラインへの準拠を妨げる 判断した場合を除き、禁止される。
とされています。
NIST SP800-216等
連邦脆弱性開示ガイドライン(Recommendations for Federal Vulnerability Disclosure Guidelines)は、こちらです。丸山さんのところの翻訳はこちら
このドキュメントは、
脆弱性開示ガイドラインを定義するために、米国政府が脆弱性開示のための統一的かつ柔軟な収集・管理プロセスを確立・維持するための枠組みを説明するものである。
組織としては、連邦調整機関(FCB)と脆弱性情報公開プログラム事務局(VDPO)の2つが推奨されています。
FCBは、政府機関間で柔軟かつハイレベルな脆弱性開示の調整を行う協力メンバーの集合体である。
とされます。一方、
VDPOは、情報技術(IT)システムに責任を持ち、報告された脆弱性を特定し、解決し、勧告を発行するために他のアクターと調整する運用単位を表す。
機関は、提供される製品およびサービスに隣接するVDPOサービスを維持しながら、必要な脆弱性または技術の専門知識の不足を緩和するために、調整オフィス間でリソースを共有することも検討できる、とされています。
この開示調整プロセスにかかわる組織等の関係を図にすると、以下のようになります。
主要な政府機関は、連邦調整機関(FCB)と脆弱性情報公開プログラム事務局(VDPO)の2つになります。
FCBは、政府機関間で柔軟かつハイレベルな脆弱性開示の調整を行う協力メンバーの集合体でをいいます。重複する部分もありますが、FCBメンバーは、政府における典型的な分断線(例えば、軍事部門と民生部門の間)を反映した明確な責任分野を持ち、既存の脆弱性情報開示調整能力の現状を代表するものであるとされています。
VDPOは、情報技術(IT)システムに責任を持ち、報告された脆弱性を特定し、解決し、勧告を発行するために他のアクターと調整する運用単位を表します。理想的には、影響を受ける製品および/またはサービスに最も近い既存の脆弱性管理プログラムの一部であることとされます。大規模な組織では、FCBとVDPO間の脆弱性報告を調整するために、サブ機関または部門ごとに階層構造を利用することを選択することができ、さらに、実装技術、サポートレベル、およびミッション要件が大きく異なるため、1つの機関に多くのVDPOが存在する可能性があるとされます。
「外部コーディネーター」(EC)とは、FCBまたはVDPOの内部ではなく、ソース脆弱性報告を受け取る脆弱性開示機関を指します。ECは、政府とは無関係の民間、学術、または非営利の脆弱性プログラムである場合もあれば、政府内の別のVDPOである場合もあります。また、政府システムで使用される、または政府システムで使用される商用またはオープンソースソフトウェアの開発者である場合もあります。
取扱のプロセスの図解は、以下のとおりです。
この図は、準備として
- ソース脆弱性報告の受理
- レポーターとの安全な調整
- 連邦システムのサービス範囲の決定
- オプションとして-技術的な脆弱性分析および緩和チームの開発など
などのいくつかの基本方針と機能を開発する必要があることを示しています。
そのあとは、
- 受理
- ソース脆弱性報告のトリアージと優先順位付け
- 報告された脆弱なシステムの判定
- 報告された脆弱なソフトウェアの特定
- 脆弱性の確認と修復
- アドバイザリ発行の可否を判断する
というプロセスをへます。システムやソフトウエアの判定が出てくるのは、
報告が政府のシステムに該当しない場合(すなわち、報告が政府によって使用されていない政府外のソフトウェアに関連する場合)、適切なECに転送する必要がある。これは、業界に特化した脆弱性対応組織または担当ベンダーである可能性がある。報告者に解決策を通知した後、FCBがさらに関与する必要がない場合もある。
ということによります。
1.2 大統領令14028号 ”Improving the Nation’s Cybersecurity”(「米国のサイバーセキュリティを改善する」
消費者向けIoT製品のラベリング制度については、2021年5月、バイデン大統領から、大統領令14028号 が発付されています。これについては、ブログの「IoTラベリングのアプローチ-セキュリティ/セーフティと市場・認知バイアスそして介入のもつれ」という記事で分析しています。
- 大統領令14028 日本語の記事こちら
- NISTの「NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準」 日本語の記事は、こちら。
- NISTIR 8425 “Profile of the IoT Core Baseline for Consumer IoT Products”(2022年9月公表。「消費者向けIoT製品のためのIoTコアベースライン概略」)
- NIST, Consumer Cybersecurity Labeling Pilots:The Approach and Contributions (May 24, 2022)
- NIST, Identifying Standards and Guidance for Consumer IoT Product Development Handbook (2023)
などが、上がっています。でもって、具体的なラベリングの仕組みが現実化してきています。
1.3 U.S. Cyber Trust Mark
命令の発令
米国のIoTラベリングスキームに関してFCC(連邦通信委員会) のルールメイキング提案の報告・命令・通知がなされています。2024年3月15日のリリーススは、こちら。 同命令のもと
本日、我々は、無線コンシューマ向け IoT 製品を対象とした任意の IoT ラベリング・プログラムを設立する。参加は任意であるが、参加を選択したものは、サイバートラスト・マークを付したFCC IoTラベルを使用する権限を得るために、IoTラベリング・プログラムの要件を遵守しなければならない。
とされています。
この仕組みの対象は、「無線コンシューマ向けIoT製品」とされています。これは、
IoTラベリングプログラムは、「消費者がIoTの購入候補を評価する際に、デバイスのセキュリティに関して消費者に情報を提供することである。 この目的は、次のように定義される「消費者向けIoT製品」に焦点を当てることによって最もよく達成される。
とされています。
- 米国食品医薬品局(FDA)はすでに、そのような機器に特化した他の連邦法に基づく法定および規制のサイバーセキュリティ要件の対象になっているため、そのようなものは含めていない
- 米国運輸省道路交通安全局(NHTSA)が「サイバーセキュリティに関する自動車安全規制を公布する権限を有し、サイバーセキュリティの欠陥に関わるものを含め、安全性に関連する欠陥のある自動車および自動車機器のリコールを確保する執行権限を有する」ことから、自動車 および自動車機器を本プログラムから除外する。
- Secure and Trusted Communications Networks Act(安全で信頼できる通信ネットワーク法)に従って維持する対象リストに掲載されている通信機器、および後述する特定の他の事業者が製造する機器も、除外する。
- 有線のIoT機器を除外する
ということになります。仕組みとしては
- FCCは、ラベリングプログラムの特定の側面を管理し、FCCのIoT サイバーセキュリティラベリング規則に準拠した製品を製造するメーカーにサイバートラスト マークをライセンスする権限をFCCから与えられる、資格のあるサイバーセキュリティ ラベル管理者(ラベル管理者またはCLA)を承認します。
- また、FCCは、申請書の審査、 資格を有し認定を受けたサイバーセキュリティ試験所(CyberLAB)の認定、サイバートラス トマークに関する消費者教育の実施など(ただし、これらに限定されない)、さらなる管理責を担う主管者を選定する。
- また、主管庁は、必要に応じて、産官学およびその他関連分野の サイバー専門家と協力し、NISTの基準およびガイダンスに基づく、消費者向けIoTサイバーセ キュリティの技術基準および適合性評価基準を特定、開発、維持し、PSHSBに提出して検討・ 承認してもらい、必要な公示とコメントを経て、委員会の規則に採用します。
- 認定試験所(CyberLABs、 認証機関が運営する 試験所、または企業内部の試験所(インハウス試験所)であるとをとわない)について、基準および試験手順に関しては、主管庁が認めるが、そこにおいて製品試験がなされる。
なお、IoT ラベリングプログラムの黎明期という性質、ENERGY STAR において学んだ教訓、 およびサイバートラストマークが消費者から十分な信頼を得て、正確な情報の提供や製造事業者の参加 と見なされるようにする必要性に鑑みて、現時点では「自己認証」への道を認めることは適切ではない と判断するとされています。
命令の文言
------
付録A
最終規則
連邦通信委員会は、連邦規則集タイトル47のA章を以下のように改正する:
1. 合衆国法律集第 47 編第 151 条、第 152 条、第 153 条、第 154 条(i)~(j)、第 160 条、第 163 条、第 201 条、第 202 条、第 206 条、第 207 条、第 208 条、第 209 条、第 214 条、第 215 条、第 216 条、第 217 条、第 218 条、第 219 条、第 220 条、第 230 条、第 251 条、第 254 条、第 256 条、第 257 条、第 301 条、第 303 条、第 304 条、第 307 条、第 309 条、第 310 条、第 312 条、第 316 条、第 332 条、第 403 条、第 501 条、第 503 条、第 522 条、第 1302 条の権限に基づき、第 A 章の見出しを以下のように修正する:
第A章 一般
第8部:インターネットの保護と安全確保
2. 第 8 部の典拠の引用は、引き続き以下のとおりとする:
権限:合衆国法典第 47 編第 151 条、第 152 条、第 153 条、第 154 条、第 163 条、第 201 条、第 202 条、第 206 条、第 207 条、第 208 条、第 209 条、第 216 条、第 217 条、第 257 条、第 301 条、第 302a 条、第 303 条、第 304 条、第 307 条、第 309 条、第 312 条、第 316 条、第 332 条、第 403 条、第 501 条、第 503 条、第 522 条、第 1302 条、第 1753 条。
3. 第8部の見出しを上記のように修正する。
§8.1、8.2、8.3、8.6 [サブパートAに指定] 4.
4. 第 8.1 条、第 8.2 条、第 8.3 条、および第 8.6 条をサブパート A に指定する。
5. 新たに指定されたサブパート A の見出しを以下のように追加する:
サブパートA-インターネットの公開に関する規定
6. サブパートBを追加し、§8.201~8.222を次のように読み替える:
サブパート B-IoT製品に対するサイバーセキュリティ表示プログラム
§ 8.201 参照による組み込み。
特定の資料は、5 U.S.C. 552(a)および 1 CFR part 51 に従い、連邦官報長官の承認を得て、参照により本サブパートに組み込まれる。 承認された参照による組み込み(IBR)資料はすべて、FCCおよび米国公文書記録管理局(NARA)で閲覧可能である。 47CFR0.401(a)に示された住所の連邦通信委員会(FCCまたは委員会)、電話:(202) 418-0270に連絡すること。 NARAにおける本資料の入手可能性については、www.archives.gov/federal-register/cfr/ibr-locations、または電子メール(fr.inspection@nara.gov)でお問い合わせください。 この資料は、国際標準化機構(ISO)1, ch. De la Voie Creuse, CP 56, CH 1211, Geneva 20, Switzerland; www.iso.org; Tel: Tel: +41 22 749 01 11; Fax: +41 22 733 34 30; email: central@iso.org.
(a) ISO/IEC 17011:2017(E),適合性評価-適合性評価機関を認定する認定機関に対する要求事項,第 2 版,2017 年 11 月; IBR は§8.217 を承認した。
(b) ISO/IEC 17025:2017(E)「試験所及び校正機関の能力に関する一般要求事項」第 3 版,2017 年 11 月; IBR は§8.217; 8.220 について承認した。
(c) ISO/IEC 17065:2012(E),適合性評価-製品,プロセス及びサービスを認証する機関に対する要求事 項,第 1 版,2012-09-15;第 8.220 節について IBR が承認した。
8.201 節への備考 1:この節に記載した規格は,国際標準化機構(ISO)と共同発行している。1, ch. De la Voie-Creuse, CP 56, CH-1211, Geneva 20, Switzerland; www.iso.org; Tel: + 41 22 749 01 11; Fax: + 41 22 733 34 30; email:central@iso.org.
8.201節の備考2:ISO出版物は、米国規格協会(ANSI)のNSSN業務(www.nssn.org)を通じて、米国規格協会 (ANSI)Customer Service, American National Standards Institute, 25 West 43rd Street, New York, NY 10036, telephone (212)642-4900からも購入できる。
§ 8.202 基本と目的
連邦通信委員会は、国のサイバーセキュリティ態勢を向上させ、消費者に基本的なサイバーセキュリティに関 する保証を提供することにより、消費者向けインターネット接続(モノのインターネットまたは IoT)製品にお ける有害な無線周波数干渉のリスクに対処するため、消費者向け IoT 製品の表示プログラムを確立する。
§ 8.203 定義
(a)関連会社。本サブパートおよび IoT ラベリングプログラムにおいて、関連会社とは、(直接的または間接的 に)他者を所有または管理する者、他者に所有または管理される者、または他者と共通の所有また は管理下にある者と定義される。本サブパートの目的上、所有とは、10%以上の持分(またはそれに相当するもの)を所有することを意味する。
(b)消費者向け IoT 製品。企業用または産業用ではなく、主に消費者用の IoT 製品。消費者向けIoT製品は、米国食品医薬品局(FDA)が規制する医療機器を除外し、米国運輸省道路交通安全局(NHTSA)が規制する自動車および自動車機器を除外する。
(c)サイバーセキュリティ・ラベル管理者(CLA)。本サブパートにおける委員会の規則に従い、ラベリングプログラムを管理・運営する権限を委員会から付与された、認定された第三者機関。
(d)サイバーセキュリティ試験所(CyberLAB)。消費者向け IoT 製品がラベリング・プログラムの要件に準拠しているかどうかを評価するために、CLA によって認められ、認可された第三者機関。
(e)サイバートラストマーク。消費者向け IoT 製品が、ラベリング・プログラムのプログラム要件および本サブパートにおける委員会の最低サイバーセキュリティ要件に準拠していることを示す視覚的表示。
(f)FCC IoT ラベル。ラベリング・プログラムのプログラム要件に準拠する消費者向け IoT 製品とともに表示可能なバイナリ・ラベルであり、サイバートラスト・マークが付されたバイナリ・ラベル、および準拠する消費者向け IoT 製品に関する詳細情報を含むレジストリに消費者を誘導するスキャン可能な QR コード。
(g)意図的放射装置。放射または誘導によって意図的に高周波エネルギーを発生させ、放出する装置。
(h)インターネット接続機器。インターネットに接続し、インターネットを介して他のデバイスまたは集中システムとデータを交換できるデバイス。
(i)IoT デバイス。
(1) 物理的世界と直接相互作用するための少なくとも1つのトランスデューサ(センサまたはアクチュエータ)を有し、意図的に高周波エネルギーを放出することができるインターネット接続デバイス。
(2) デジタル世界と連動するための少なくとも1つのネットワークインターフェース(Wi-Fi、Bluetoothなど)。
(j)IoT 製品。IoT 機器と、基本的な動作機能を超えて IoT 機器を使用するために必要な追加的な製品 コンポーネント(バックエンド、ゲートウェイ、モバイルアプリなど)であり、この範囲外のコンポー ネントへのデータ通信リンク(連邦通信委員会 FCC 24-26 通信リンク)を含むが、それらの外部コンポー ネントおよび製造者の管理外にある外部サードパーティコンポーネントは除く。
(k)ラベリング・プログラム。準拠する消費者向け IoT 製品に FCC IoT ラベルを表示することを認める、消費者向け IoT 製品の自主的プログラム。
(l)主管理者。サイバーセキュリティ・ラベル管理者(Cybersecurity Label Administrator:CLA)の中からラベリング・プログラムの追加管理責任を遂行するために選ばれた CLA。
(m)製品コンポーネント。ハードウェアデバイスと、NISTIR 8425 に従って一般的に 3 つの主な種類に分類されるサポートコンポー ネント:特殊ネットワーキング/ゲートウェイハードウェア(例えば、IoT デバイスが使用されるシス テム内のハブ)、コンパニオンアプリケーションソフトウェア(例えば、IoT デバイスと通信するためのモバイルアプリ)、およびバックエンド(例えば、IoT デバイスからのデータを保存および/または処理するクラウドサービス、または複数のサービス)。製品コンポーネントが代替機能および代替インターフェイスを通じて他の IoT 製品もサポートする場合、これらの代替機能および代替インターフェイスは、リスク評価を通じて、認可の目的上、IoT 製品とは別個のものであり、IoT 製品の一部ではないものとみなされる可能性がある。
(n)レジストリ。レジストリは、準拠する消費者向け IoT 製品とともに表示される FCC IoT ラベルの QR コードからのリンクを通じて一般にアクセス可能であり、準拠する消費者向け IoT 製品、準拠する消費者向け IoT 製品の製造事業者、およびラベリング・プログラムの要求するその他の情報を含む。
§ 8.204 記載された供給源から製造された製品に対する FCC IoT ラベルの使用禁止。
本サブパートに記載された供給源によって製造されたすべての消費者向け IoT 製品は、本サブパートに基づく FCC IoT ラベルの使用を取得することが禁止される。これには以下が含まれる:
(a) 47 CFR 1.50002 に従って設定される対象リスト上のすべての通信機器;
(b) 本項(c)または(d)に記載される事業体によって製造された IoT 機器または製品コンポーネントを含むすべての IoT 製品;
(c) 47 CFR 1.50002 に従って設定される、対象機器を製造するものとして対象リストで特定される事業体、その関連会社、または子会社によって製造される IoT デバイスまたは IoT 製品;
(d) 商務省の企業リスト(15 CFR part 744、補足番号 4)および/または国防総省の中国軍需企業リスト (http://media.defense..gov/202/Oct/05/2003091660/-1/-1/0/1260H%20COMPANIES.PDF)で特定される事業体、その関連会社、または子会社によって製造される IoT デバイスまたは IoT 製品。
(e)連邦調達または財政的賞の受領を停止または免責された個人または団体が所有または管理する、またはそ の団体と関連する団体が製造する製品(General Service Administration’s System for Award Management において授与不適格として公表されたすべての団体および個人を含む)。
§ 第 8.205 サイバーセキュリティ表示認可
(a) サイバーセキュリティ・ラベリング認可とは、サイバーセキュリティ・ラベル管理者(CLA)により発行され、委員会の権限の下で認可される認可であり、CLAが決定するプログラム要件への準拠に基づき、準拠する消費者製品の関連包装にFCC IoTラベルを表示することを、準拠する消費者IoT製品の申請者に認めるものである。
(b) サイバーセキュリティ表示許可は、委員会が許可した許容的な変更またはその他の変更を除き、プログラム要件に準拠すると判断されたサンプルと同一(第 8.206 条を参照)であり、その後、付与対象者によって販売される準拠消費者向け IoT 製品のすべてのユニットに付与される。
§8.206 同一の定義。
本サブパートで使用される場合、同一という用語は、数量生産技術の結果として生じると予想されるばらつき の範囲内で同一であることを意味する。
§ 8.207 責任当事者。
FCC IoT ラベルの使用認可が付与された準拠する消費者向け IoT 製品の場合、サイバーセキュリ ティ・ラベルの認可が発行された申請者は、FCC IoT ラベルの継続的な使用に関するプログラム要件 の継続的な遵守に責任を負う。
§ 8.208 申請要件
(a) 消費者向け IoT 製品がラベリング・プログラムに適合していることを認証するための申請は、委員会 が規定する書式およびフォーマットで、サイバーセキュリティ・ラベリング管理者(CLA)に書面 で提出されなければならない。各申請書には、本サブパートが要求するすべての情報を添付しなければならない。
(b) 申請者は、ラベリング・プログラムのプログラム要件への準拠を判断するためにCLAが必要とするすべての情報を、申請書の中でCLAに提供する。
(c) 申請者は、偽証罪に基づき、以下の全てが真実かつ正確である旨の宣誓書を提出します:
(1) 申請者がサイバーセキュリティ認証を通じて FCC IoT ラベルの使用を求める製品は、IoT ラベリング・プログラムのすべての要件を満たしている。
(2) 申請者は、47 CFR 1.50002に従って設定された対象リストにおいて、対象通信機器を製造する事業者として特定されていないこと。
(3) 製品が、対象リスト上の「対象」機器で構成されていないこと。
(4) 商務省の企業リスト(15 CFR part 744, supplement no.4)および/または国防総省の中国軍需企業リスト(http://media.defense..gov/202/Oct/05/2003091660/-1/-1/0/1260H%20COMPANIES.PDF)に記載されている企業、その関連会社、または子会社によって生産されていないこと。
(5) 8.204節に記載されているように、General Service Administration’s System for Award Managementで授与不適格として公表されている全ての事業体及び個人を含め、連邦調達又は資金供与の受領を停止又は禁止されている個人又は事業体によって所有又は管理されていない、又はその関係者でないこと。
(6) 申請者は、安全な製品を作成するためにあらゆる合理的な手段を講じていること。
(7) 申請者は、レジストリに開示されたサポート期間終了日まで、自社製品の重大な脆弱性を真摯に特定し、セキュリティ障害から保護するために合理的に必要とされない場合を除き、それらを修正するソフトウェア・アップデートを速やかに発行すること。
(8) 申請者は、本宣言、FCC IoTラベルに記載された、または使用認可の取得もしくは維持の目的で行われたその他の表明および確約の実質的もしくは手続き上の強制力を、他方で否認したり、その他の方法で制限しようとしたりしないこと。
(d) 申請者は、CLAに対し、申請書に記載されたすべての陳述が、その知る限りおよび信じる限りにおいて、真実かつ正確である旨の書面による署名入りの宣誓書を提出するものとする。
(e) 各申請書(その補正を含む)、および関連する事実の陳述書、および委員会が要求する認可には、申請者またはその正式な代理人が署名するものとする。
(f) 申請者は、製品が合理的に安全であり、製品の最低サポート期間を通じて更新されることを宣言し、サポート期間の終了日を開示しなければならない。
(g) ラベリングプログラムへの参加を申請する消費者向け IoT 製品が、§8.204 に従い禁止されていないことを、偽証罪に問われな いことを宣言すること。
(h) 本セクションの(c)項により要求される宣言の日付後、FCC IoT ラベルの使用許可前に、第 8.204 条に基づき特定されたリストされたソースが変更された場合、申請者は、(c)項により要求される新たな宣言を行うものとする。
(i) 申請者は、申請者に代わって送達を受理する目的で、米国に所在する代理人を指定すること。
(1) 出願人は以下の証明書を提出しなければならない:
(i) 出願人及びその指定代理人(出願人と異なる場合)の双方が署名すること;
(ii) 適用される製品に関連する事項について,出願人の同意及び指定代理人の米国内の物理的住所及び電子メー ルアドレスで米国における送達を受理する指定代理人の義務を認めること。
(iii) 被付与者が米国内での該当機器の販売および輸入をすべて永久に終了するか、または、当該製品に関連する欧州委員会関連の行政手続きもしくは司法手続きが終了した後のいずれか遅い方の日から1年以上、米国における送達のための代理人を維持する義務を申請者が受諾したことを認めること。
(2) 米国内に所在する申請者は、自らを送達代理人に指定することができる。
(j) CLAに提出する技術試験データには、試験を実施または監督した者が署名しなければならない。 試験データに署名する者は、当該データの正確性を証明するものとします。 CLA は、試験データに署名する者に対し、その者が要求される測定を実施または監督する 資格があることを示す声明書の提出を要求することができる。
(k) 署名とは、本条で使用される場合、オリジナルの手書きの署名、又は申請者若しくは CLA が当該記号を署名とする意図で実行若しくは採用した記号(コンピ ュータ生成の電子インパルスによって形成された記号を含む)を意味する。
§ 8.209 FCC IoT ラベルの使用許可の付与。
(a) CLA は、消費者向け IoT 製品がプログラム要件に適合していることを、申請書および裏付けデ ータ、または CLA が公式に通知するその他の事項の審査から認める場合、サイバーセキュリティ・ラベ ルの認可を与える。
(b) 付与は、付与の発効日を記載した書面で行われる。
(c) 申請が交付されるまでは、いかなる製品にもサイバーセキュリティ認証は付与されず、サイバートラストマークの使用も有効とみなされない。
(d) 助成金は、認定日から有効となる。
(e) 付与は、認可を与えるCLAおよび発行機関としての委員会を特定するものとする。
(f) 紛争が生じた場合は、委員会が最終決定者となる。
§ 8.210 申請の却下
(a) 本サブパートの規定に従わない申請は却下することができる。
(b) いかなる申請も、申請者又はその代理人が署名した書面による要求があれば、要求された許 可を認めるか否かの決定前に却下することができる。
(c) 申請者が追加書類又は情報の提出を要求され,要求された資料を指定期間内に提出しな かった場合,申請は却下されることがある。
§ 8.211. 申請の却下
CLAが§8.209(a)に規定する所見を行うことができない場合、CLAは申請を却下する。申請者に対する却下の通知には、却下の理由が記載される。
§ 8.212 協会の決定の見直し
(a)CLA に対する審査請求。CLA の決定に不服のある当事者は、まず CLA に審査を求めなければならない。 CLAは、審査請求の受領後10営業日以内に、その決定に対する不服申立てに適時に回答すべきである。
(b)委員会への審査請求。CLAが行った措置に不服がある当事者は、CLAに再審査を求めた後、委員会に再審査を求めることができる。
(c)提出期限。
(1) 不利益を被った当事者が、CLAによるCLAの決定の見直しを求める場合、CLAが決定を下した日から60日以内に、かかる要請を提出しなければならない。 かかる請求は、CLAが受理した時点で提出されたものとみなされる。
(2) 委員会によるCLAの決定の見直しを求める不服当事者は、当事者の見直し要求に対してCLAが決定を下した日から60日以内にかかる要求を提出しなければならない。 当事者は、47 CFR 1.45に規定されている異議申し立てと答弁書の提出期間を遵守しなければならない。
(d)公共安全保障局または委員会による審査
(1) 連邦通信委員会に提出されたCLAの決定に対する審査請求は、公共安全・国土安全保障局によって検討され、処理されるものとする。ただし、事実、法律、または政策に関する新規の問題を提起する審査請求は、委員会全体によって検討されるものとする。
(2) 不利益を被った当事者は、47CFRパート1に規定される規則に従い、公安・国土安全保障局が委任された権限に基づいて下した決定の見直しを求めることができる。
(e)審査基準。
(1) 公安・国土安全保障局は、CLAが下した決定に対する審査請求について、デノボ審査を行う。
(2) 連邦通信委員会は、事実、法律、または政策に関する斬新な問題を含む、CLAによる決定の審査請求について、デ・ノボ審査を行う。
(f)CLAの決定に対する委員会の審査期間。
(1) 公安・国土安全保障局は、45日以内に、正当な権限を有するCLA決定の審査請求に対して措置を講じなければならない。公安・国土安全保障局は、CLA決定の審査請求に対する措置の期間を最長90日間延長することができる。また、委員会は、いつでも、公安国土安全保障局に係属中のCLA決定の再審査請求の措置期間を延長することができる。
(2) 委員会は、事実、法律、または政策に関する斬新な問題を含むCLA決定の審査請求に対し、45日以内に書面による決定を下すものとする。委員会は、CLA決定の審査請求に対する措置を講じるための期間を延長することができる。また、公安国土安全保障局は、CLA決定の審査請求に対する措置を最長90日間延長することができる。
(g)CLA審査保留中の不許可。当事者がCLA決定の見直しを求めている間は、委員会がFCC IoTラベルの使用を許可する最終決定を下すまで、FCC IoTラベルの使用は許可されない。
§ 8.213 条 FCC IoTラベルの使用許可に関する制限。
(a) FCC IoTラベルを使用する認可の付与は、破棄、取り消しもしくは撤回、取消し、引渡し、または委員会が別途終了日を定めるまで有効である。
(b) 何人も、広告、パンフレット等において、FCC IoT ラベルまたはサイバートラスト・マークを、欺瞞的ま たは誤解を招くような方法で使用または言及してはならない。
§ 8.214 条 IoT 製品の欠陥および/または設計変更。
消費者向けIoT製品がラベリング・プログラムに準拠していないことに関して、委員会に直接苦情が提出された場合、または、主管理者もしくはその他の当事者から委員会に苦情が提出された場合であって、その苦情が正当であると委員会が判断した場合、委員会は、当該被補助事業者に対し、当該苦情を調査し、20日以内に調査結果を委員会に報告するよう求めることができる。また、報告書には、今後の生産に関して、また、使用者、販売者及び流通業者の手元にある成形品に関して、欠陥を是正するために被付与者がどのような措置を講じたか、または講じる予定がある場合には、その旨を明記しなければならない。
§ 8.215 条 記録の保管
(a) FCC IoT ラベルの使用が許可された適合消費者向け IoT 製品について、被許可者は、 以下の記録を保持しなければならない:
(1) 本サブパートの基準および試験手順への準拠に影響を及ぼす可能性のある、準拠する消費者向け IoT 製品に対する当初の設計および仕様、ならびにすべての変更の記録。
(2) 本編の基準および試験手順への適合を確実にするために製造検査および試験に使用された手順の記録。
(3) 本章の該当する規制への適合を証明する試験結果の記録。
(b) 記録は、関連製品の販売が永久に中止された後 2 年間、または、被補助者が、その製品に関連する調査またはその他の行政手続きが開始されたことを公式に通知された場合は、調査または手続きが終了するまで保管するものとする。
§ 8.216 FCC IoTラベルの使用認可の終了。
(a) FCC IoT ラベルの使用許可は、8.214 節に規定される報告書の提出後、適切に是正されていない場合、局からの通知により自動的に終了する:
(1) 申請書、またはそれに関連して提出された資料もしくは回答、または 8.215 条により保管が義務付けられている記録において虚偽の記述または表明が行われた場合。
(2) その後の検査又は操作により、消費者用 IoT 製品が本款の該当する技術要件又は当初の申請書に記載された 表明事項に適合していないと判断された場合。
(3) FCC IoT ラベルの使用を許可しないことを正当化するような状況が委員会の知るところとなった場合。
(4) 付与対象者または関連会社が、8.204 節に記載されるようにリストアップされたため。
(b) [留保]。
§ 8.217 サイバーラボ
(a) FCC IoT ラベルを使用する認可の付与を求める製品の試験を提供するサイバーラボは、公認 認定機関によって認定されなければならず、その認定機関は、サイバーラボが以下を実証して いることを証明しなければならない:
(1) IoT 機器および製品のサイバーセキュリティ試験および適合性評価に関する技術的専門知識。
(2) ISO/IEC 17025(参照により組み込まれる、第 8.201 条を参照)に基づく認定要件への準拠。
(3) 製品適合性試験およびサイバーセキュリティ認証に関連する FCC 規則および手順の知識。
(4) IoT 機器及び製品のサイバーセキュリティ試験及び適合性評価を実施するために必要な設備、 施設及び要員。
(5) 適合性評価のための文書化された手順。
(6) 特に商業上の機密情報に関する潜在的な利益相反を排除するための管理の実施。
(7) 当該サイバーラボが、8.204 条に基づきリストアップされた禁止源によって特定された組織、その関連会社、または子会社でないこと。
(8) 認定を裏付けるために提出した全ての情報の真実性と正確性を証明したこと。
(b) 一旦認定又は承認されたサイバーラボは、ISO/IEC 17025 規格の要求事項を継続 的に遵守していることを確認するために、定期的に監査及び審査を受ける。
(c) 主管庁は、サイバーラボが§8.204のリストに掲載されていないことを確認します。
(d) 主管庁は、認定したサイバーラボのリストを管理し、一般に公開します。サイバーラボを認定リストに掲載することは、当該施設を委員会が承認することを意味しない。 ラベリング・プログラムの下でサイバーラボに与えられた認定は、その後「対象リスト」に掲載された事業体、第 8.204 条に基づき禁止源としてリストアップされた事業体、またはその事業体、その関連会社、もしくは子会社が、商務省によって 15 CFR 第 7.4 条に定義された外国の敵対国によって所有または管理されている事業体については、自動的に解除される。
(e) 本項(d)のリストに掲載されるためには、認定機関は、本項(e)(1)から(9)の情報を 主管庁に提出しなければならない:
(1) 試験所名、試験所の所在地、郵送先住所、連絡先;
(2) 認定機関名;
(3) 試験所認定の範囲;
(4) 認定の有効期限;
(5) 指定番号
(6) FCC登録番号(FRN);
(7) 試験所が契約ベースで試験を実施しているか否かの記述;
(8) 米国外の試験所については、当該試験所の認定が認められる取り決めの詳細。
(9) 委員会が要求するその他の情報。
(f) 試験を行う IoT 製品の種類に必要な測定を網羅する範囲の認定を受けた試験所は、サイバーセ キュリティ認証の対象となる IoT 製品の試験および試験データの提出を行う能力があるとみなされる。このような試験所は、ISO/IEC 17025 に基づき、公共安全・国土安全保障局が認定した認定機関に認定されなければならない。試験所を認定する組織は、ISO/IEC 17011(参照により組み込まれる、§8.201 を参照)に基づ いて当該認定を実施することを、公安国土安全保障局によって承認されていなければならない。試験施設の再評価の頻度、及び試験当事者によって提出又は保持されることが要求される情報は、 認定機関によって確立された要件に従うが、2 年を超えない間隔で実施されなければならない。
§ 8.218 条 CyberLAB 認定機関の承認
(a) 公共安全・国土安全保障局(PSHSB)が認定する試験所認定機関になることを希望する当事者は、 PSHSB の局長に、認定を要請する文書を提出しなければならない。 PSHSBは、承認要請を裏付けるために提供された情報に基づき判定を行う。
(b) 申請者は、§8.217(e)の要求事項に従い、委員会の要求事項に適合する機器を試験する試験所 の認定を行う資格と資格を証明するものとして、本項(b)(1)から(4)の情報を提供しなければならない。PSHSB は、申請者の資格及び資質を判断するため、必要に応じて追加情報又は提示を求めることができる。
(1) ISO/IEC 17011 のピアレビューに合格していること(例えば、欧州委員会が認める認定協定の 署名者であること)。
(2) ISO/IEC 17025 に適合性評価試験所を認定した経験。
(3) 委員会のサイバーセキュリティ認証規則および要求事項に関する特定の技術的経験を有する認定要 員/審査員。
(4) FCC のサイバーセキュリティ認証プログラムのための試験所の認定のために作成された手順と方針。
§ 8.219 サイバーセキュリティ・ラベル管理者の承認/認定。
(a) サイバーセキュリティ・ラベル管理者(CLA)になることを希望する認定された第三者機関は、委員会に申請書を提出しなければならない。委員会は、本項(b)の要件を満たすことで、認定された第三者事業体を、ラベリングプログラムを管理・運営するCLAとして委員会が承認し、認可するための申請書を承認することができる。 認定を受けた第三者事業体は、本サブパートの委員会規則に従い、表示プログラムを管理・運営することを委員会から認められ、認可される。
(b) 米国では、欧州委員会は、その手続きに従い、ISO/IEC 17065及びその他の資格基準に基づいて、適格な認定機関がCLAを認定することを認めている。 CLA は、§8.220 の要求事項に準拠しなければならない。
§8.220 CLA の要件 。
(a)一般的に。委員会が指定した、または委員会が認めた他の機関が指定したCLAは、本項の要件に準拠しなければならない。CLAとして活動する権限を求める各団体は、PSHSBによる検討のため、委員会に申請書を提出しなければならない。この申請書には、組織構造の説明、申請を処理する際に個人的および組織的な対立を回避する方法の説明、FCC IoTラベルの使用権限を求める申請の評価プロセスの説明、および本項(c)の基準を含むがこれに限定されない、CLAとして効果的に活動するために必要な専門知識の証明を含む。
(b)申請の審査方法。(1) CLA の申請書審査方法は、ISO/IEC 17065(参照により組み込まれる、第 8.201 節参照)に規定される型式試験に基づくものとする。
(2) CLA による FCC IoT ラベルの使用許可は、本編に規定されるすべての情報を含む申請書に基 づくものとする。 CLA は、本編における委員会の要件への準拠を判断するために申請書を審査し、第 8.208 条に従って製品サイバーセキュリティ認証の付与を発行するものとする。
(c)指定基準
(1) 本項に基づき CLA に指定されるためには、事業体は、IoT および IoT ラベリング要件に関す る業界の知識に加え、サイバーセキュリティに関する専門知識と能力を実証しなければならない。
(2) 当該事業体は、消費者向け IoT 製品のサイバーセキュリティのラベリングに関する NIST の推奨基準およびラベリング・プログラムのアプローチを含むがこれに限定されない、米国国立標準技術研究所(National Institute of Standards and Technology:NIST)のサイバーセキュリティ・ガイダンスの専門知識を実証しなければならない。
(3) 当該事業者は、製品適合試験および認証に関連する FCC 規則および手順に関する専門知識を実証すること。
(4) 当該事業者は、省庁の情報システムのセキュリティとプライバシーを管理する連邦法およびガイダンスの知識を実証しなければならない。
(5) 当該事業体は、大量の情報を安全に取り扱う能力を実証し、内部セキュリティ慣行を実証すること。
(6) FCCラベリング・プログラムの初期展開を促進するため、委員会は、採択された規格および試験手順により、発効日から6ヶ月以内に適切な範囲のISO/IEC 17065に関連するすべての要件に従って認定を取得し、その他FCCのIoTラベリング・プログラムの要件を満たすことを約束することを条件に、CLAとして指定されることを求める事業体からの申請を受理し、条件付きで承認する。 事業体はまた、特に商業上の機密情報に関して、(個人的および組織的の両方を含む)実際のまたは潜在的な利益相反を排除するための管理の実施を実証しなければならない。 事務局は、適切な範囲の ISO/IEC 17065 認定を受領し、証明した上で、事業体の申請を確定する。
(7) 当該事業体、またはその関連会社もしくは子会社が、欧州委員会の対象リスト、8.204条に基づく禁止源リスト、または15CFR7.4条に商務省が定義する外国敵対国によって所有もしくは管理されていないこと、またはその関連会社でないこと。
(8) 当該事業体は、特に商業上機微な情報に関して、実際のまたは潜在的な利害の対立(個人的及び組織的なものを含む)を排除するための管理を実施していることを証明しなければならない。これには、公平かつ偏りのない立場を維持し、特定の申請(例えば、申請行の飛び越し)を優遇することや、CLAのメンバーでない、またはCLAと連携していない事業体からの申請の精査を強化することを防止することが含まれるが、これらに限定されない。
(d)外部資源
(1) ISO/IEC 17065の外部資源(アウトソーシング)の規定に従い、製品又はその一部の評 価は、ISO/IEC 17025の該当する要求事項を満たす機関が行うことができる。 評価とは、適用される要求事項を選択し、それらの要求事項が満たされていると判断すること である。評価は、CLA の内部資源又は外部(外部委託)資源を用いて実施することができる。
(2) CLA は、審査または決定活動を外部委託してはならない。
(3) ラベリング対象製品の試験を含む評価機能を提供するために外部資源が使用される場合、 CLA は評価に責任を持ち、評価の信頼性を確保するために使用される外部資源の適切な監視を維持するものとする。 当該監督には、CLA が評価のために外部資源を使用する場合、試験された製品の定期的な監査及び ISO/IEC 17065 で要求されるその他の活動を含むものとする。
(e)委員会がCLAを承認する。
(1) 委員会は、CLAとして承認する:
(i) 本項の要件を満たす米国内のすべての事業体。
(ii) 欧州委員会は、8.204項に記載されている禁止事項に該当する組織、その関連会社、または子会社をCLAとして承認しない。
(2) 委員会は、CLAの指定または認定が取り消された場合、承認を取り消す正当な理由があると委員会が判断した場合、またはCLAからの要請があった場合、CLAの承認を取り消す。 委員会は、CLAの認定者が認定範囲を制限した場合、または委員会が正当な理由があると判断した場合、CLAが認定できる製品の範囲を制限する。 委員会は、CLAの認定を取り消すか、その範囲を限定する意向を書面にてCLAに通知し、CLAがこれに応じるために少なくとも60日間の猶予を与える。
(3) 委員会は、CLAが本サブパートの規則および方針に従ってラベリング・プログラムの責任を果たしていないという懸念または証拠がある場合、CLAに書面で通知し、明らかな欠陥について説明し是正するよう要請する。
(4) 公共安全・国土安全保障局は、CLAに対して、同局がCLAの権限を廃止することを提案する旨の通知を行い、廃止の可能性について決定を下す前に、CLAに相応の回答機会(20日を超えない)を与えるものとする。
(5) 欧州委員会がCLAの承認を取り消した場合、当該CLAが発行したすべての補助金は、欧州委員会が特に無効とするか、取り消さない限り、有効である。
(6) 承認されたCLAのリストは、委員会が公表する。
(f)責任の範囲。
(1) CLAは、申請対象製品にFCC IoTラベルを使用する権限を要求する申請書および裏付け資料を受理し、評価する。
(2) CLAは、委員会の規則および方針に従い、適合する消費者向けIoT製品にFCC IoTラベルを使用する権限を付与する。
(3) CLA は、ISO/IEC 17065 の要件に従い、主管理者が認める認定サイバーラボからの試験デー タを受け入れ、不必要に試験を繰り返してはならない。
(4) CLA は、申請書の処理及びその他委員会が要求する業務に対して料金を設定し、課すことができる。
(5) CLA は、CLA が受理した申請、または FCC IoT ラベルの使用を許可する認証書を発行した申請に対して のみ対応することができる。
(6) CLAは、本サブパートの規定に従っていない申請、または申請者が却下を要求した場合、申請を却下するものとし、申請者がCLAが要求した追加情報または試験サンプルを提出しない場合、申請を却下することができる。
(7) CLA は、製造業者がすべての必要な情報を IoT 登録簿にアクセスできるようにしなければならな い。
(8) CLA は、主管理者と協力して、消費者教育キャンペーンに参加すること。
(9) CLA は、FCC IoT ラベルが貼付された製品がサイバートラストマークが示すサイバーセキュリティ 基準を満たしていないとする苦情を受け、これらの苦情を公共安全・国土安全保障局に通 知する主管庁に照会するものとする。
(10) CLA は以下を行うことはできない:
(i) 方針の決定、法令または規則の不明瞭な規定の解釈、または議会の意図の解釈;
(ii) このサブパートの規則の免除を認めること。
(iii) 強制措置を取る。
(11) すべてのCLA措置は、委員会の審査に従う。
(g)市販後調査要件。
(1) ISO/IEC 17065に従い、認証機関は適切な市販後調査活動を実施しなければならない。 これらの活動は、CLA がラベルの使用を認証した製品の全種類から一定数のサンプルの型式試験 に基づくものとする。
(2) PSHSBは、FCC IoTラベルの使用権限を付与された被付与者に対し、市販後調査の一環として、被付与者の申請を評価したCLAに製品サンプルを直接提出するよう要請することができる。 委員会が要求し、CLAが検査した製品サンプルは、CLAが市場調査後の要件を満たすために検査しなければならない最小サンプル数に算入される。
(3) CLAは、CLAがFCC IoTラベルの使用を認証した製品のサンプルをCLAに直接提出するよう、被認証者に要求することもできる。
(4) 準拠する消費者向けIoT製品の市販後調査において、CLAが、当該製品が当該製品の技術規定(またはその他のFCC要件)に適合していないと判断した場合、CLAは、直ちに、その調査結果を書面で被補助事業者および委員会に通知するものとする。 被補助事業者は、8.216条に規定されるとおり、状況を是正するために取られた措置を記載した報告書をCLAに提出し、CLAは、30日以内に、これらの措置に関する報告書を委員会に提出するものとする。
(5) CLAは、市販後調査活動及び調査結果について、委員会が指定する様式及び期日までに、委員会に定期報告書を提出しなければならない。
§ 8.221 主管庁の要件
(a)主管理者の設置。複数の適格な事業体が委員会によりCLAに選定された場合、委員会は、主管理者を選定する。 主管理者は、以下を行うものとする:
(1) FCC IoTラベルが貼付された製品が、欧州委員会の表示プログラムの要件を満たしていないと申し立てるすべての苦情を同局に提出することを含むが、これに限定されない;
(2) CLAと調整し、関係者会合の司会を務める;
(3) FCC IoTラベルを貼付する権限の申請を裏付けるのに必要な適合性試験を実施する権限を与えられた試験所として認定を求める試験所からの申請を受理、審査、承認または却下し、主管理者が認定した試験所の一般公開リストおよび認定を失った試験所のリストを維持する;
(4) 主管理者に選出されてから 90 日以内に、主管理者は、CLA および関係者(産官学のサイ バー専門家など)と協力して、以下のことを行う:
(i) IoTラベリングプログラムの対象となる少なくとも1つのクラスのIoT製品に関して、委員会が検討すべき技術基準および試験手順を特定および/または開発するための勧告を事務局に提出する。 同局は勧告を評価し、必要な公示と意見表明を経て、本サブパートの委員会規則に採用する;
(ii) 特定のクラスの IoT 製品が、FCC IoT ラベルを貼付する権限の更新を行う頻度(製品の種類に依存する可能性がある)に関する勧告を同局に提出し、当該勧告を、IoT 製品または IoT 製品のクラスに関する関連規格の勧告と関連付けて提出すること。同局は勧告を評価し、同局がその勧告を承認した場合、必要な公示と意見表明に従い、本サブパートの委員会規則に採用する;
(iii) CLAによる市販後サーベイランスの手順に関する勧告を同局に提出する。 同局は勧告を評価し、同局がその勧告を承認した場合、必要な公示とコメントを経て、本サブパートの委員会規則に採用する;
(iv) レジストリの更新に関して、レジストリの言語を追加すべきかどうか、また追加する場合は特定の言語を推奨するかどうかを含め、事務局に勧告を行う。
(v) ラベルのデザインおよび配置(サイズや余白、製品パッケージなど)、特定の製品または製品カテゴリーのラベルに製品サポート終了日を記載するかどうかなど、FCC IoTラベルのデザインに関する勧告を同局に提出する。同局は、勧告を評価し、同局がその勧告を承認した場合、必要な公示と意見表明を行った上で、本サブパートの委員会規則に採用する;
(5) NISTガイドラインの更新や変更が公表された場合、あるいはNISTが新たなガイドラインを採択した場合、45日以内に、CLAやその他の利害関係者と協力して、NISTガイドラインとの整合性を保つために、ラベリングプログラムの基準や試験手順に適切な修正を加えるよう勧告する;
(6) CLAの市販後調査活動および調査結果に関する報告書を、公共安全・国土安全保障局が指定する書式および期日までに、委員会に提出すること;
(7) 関係者と協力して消費者教育キャンペーンを策定し、その計画を公安局に提出し、消費者教育に参加すること;
(8) レジストリに関する消費者の苦情を含むがこれに限定されない、ラベリング・プログラムに関する苦情を受理し、レジストリの情報への消費者のアクセスに関連する技術的問題を解決するために製造業者と調整する;
(9) CLA間の調整を促進すること。
(10) 委員会の要請があった場合、またはこのサブパートの委員会規則で義務付けられている場合、委員会にその他の報告書を提出すること。
(b)指定基準。CLA申請情報の記入に加え、主管理者になろうとする主体は、以下を含む主管理者の職務をどのように遂行するかについての説明を提出する:
(1) IoT サイバーセキュリティにおける過去の経験;
(2) IoTラベリングにおいてどのような役割を果たしてきたか(もしあれば);
(3) 主管理者の職務を遂行する能力;
(4) 局の勧告を特定または策定するために、利害関係者とどのように関わり、協力するか;
(5) 消費者教育キャンペーン案。
(6) 主管者となるべき理由を示すと申請者が考える追加情報。
§8.222 条 IoT レジストリの設置
(a) FCC IoT ラベルを使用する権限を付与された被付与者は、準拠する消費者向け IoT 製品に関する情報を一般に提供しなければならない。 被認証者が提供する情報は、設計上安全な共通のアプリケーション・プログラミング・インタフェース (API)を通じて、動的で分散化された一般にアクセス可能なレジストリで公開されるものとする。
(b) FCC IoT ラベルを使用する権限を付与された被付与者は、共通の API を通じて、以下の情報をレジストリに公開するものとする:
(1) 製品名;
(2) 製造者名;
(3) 製品がラベルを貼付する認可(すなわち、サイバーセキュリティ認証)を受けた日付および認可の現 在の状況(該当する場合);
(4) FCC IoT ラベルの使用を認可した CLA の名称および連絡先;
(5) 適合性試験を実施した試験所名;
(6) デフォルト・パスワードの変更方法に関する説明(デフォルト・パスワードが変更できない場合は具体的に記載すること);
(7) デバイスを安全に設定する方法に関する追加情報の情報(またはリンク);
(8) ソフトウェアの更新およびパッチが自動的であるかどうか、および自動的でない場合のセキュリティ更新/パッチへのアクセス方法に関する情報;
(9) そのようなアップデートがサイバーセキュリティの障害から保護するために合理的に必要でない場合を除き、事業者が製品の重要な脆弱性を真摯に特定し、それらを修正するソフトウェアアップデートを速やかに発行することを約束する期日(すなわち、最低サポート期間);
(10) 製造者がハードウェア部品表(HBOM)および/またはソフトウェア部品表(SBOM)を保持しているかどうかの開示。
(11) 当局が必要と判断するその他のデータ要素。
-----
命令の登録
上記の命令が、2024年7月30日に、登録されています。
2 欧州の動向
「ネット接続機器 EUサイバー対策義務化」という記事がでています。日経新聞は、こちらです(2023年12月2日付け)。
2.1 欧州理事会と欧州議会の合意
EU理事会(Council of the EU)のプレスリリース(2023年11月30日)は、こちらです。
—
サイバーレジリエンス法 欧州理事会と欧州議会、デジタル製品のセキュリティ要件で合意
欧州理事会議長国と欧州議会の交渉担当者は、コネクテッド・ホーム・カメラ、冷蔵庫、テレビ、玩具などの製品が市場に出回る前に安全であることを保証することを目的とした、デジタル要素を含む製品のサイバーセキュリティ要件に関する法律案(サイバーレジリエンス法)について暫定合意に達した。
ホセ・ルイス・エスクリバ、スペイン・デジタル変革担当大臣
本日の合意は、欧州における安全でセキュアなデジタル単一市場に向けたマイルストーンとなる。コネクテッドデバイスがEU域内で販売される際には、基本的なレベルのサイバーセキュリティが必要であり、企業と消費者がサイバー脅威から適切に保護されることが保証される。これはまさに、サイバーレジリエンス法が発効されれば達成されることである
—
という感じです。この経過をサイバーレジリエンス法の提案から遡ってみていきます。
2.2 欧州議会の最終文
欧州議会を通過した最終テキストは、こちらです(2024年3月12日)。
2.3 文案の分析
サイバーレジリエンス法の提案と概要
欧州で提案されているサイバーレジリエンス法については、2022年の年末のブログである「IoTラベリングのアプローチ-セキュリティ/セーフティと市場・認知バイアスそして介入のもつれ」で紹介しています。サイバーレジリエンス法の提案(2022年9月)については、こちらです。
ポイントとしては、以下の図になります。
修正内容
上記合意についてのプレスリリースは、
欧州委員会提案の大筋は維持
暫定的に合意された文書は、欧州委員会の提案の大筋を維持している:
として
- サイバーセキュリティのリスク評価の提供、適合宣言書の発行、所轄当局との協力など、一定の義務を果たさなければならない製造業者に対して、コンプライアンス(法令順守)の責任を分散させるための規則
- 製造業者がデジタル製品のサイバーセキュリティを確保するための脆弱性対応プロセス、およびこれらのプロセスに関連する輸入業者や販売業者などの経済事業者の義務
- 消費者および企業ユーザーに対する、ハードウェアおよびソフトウェア製品のセキュリティに関する透明性を向上させるための措置
- 規則を実施するための市場監視の枠組み
が維持されたことを述べています。
その一方で、共同議員団は、欧州委員会の提案の一部について、主に以下の点でさまざまな修正を提案しました。それらの点は、
- 新規制の対象となるデジタル製品の分類をより単純化した方法論による、提案されている法規制の範囲
- 製造者による製品の予想耐用年数の決定: デジタル製品のサポート期間は、その製品の予想耐用年数に対応するという原則は変わらないが、使用期間がより短いと予想される製品を除き、少なくとも5年間のサポート期間が示される。
- 積極的に悪用された脆弱性やインシデントに関する報告義務:管轄の国家当局がそのような報告の最初の受領者となるが、EUのサイバーセキュリティ機関(ENISA)の役割は強化される。
- 新規則は法律発効から3年後に適用されるため、製造業者は新しい要件に適応するための十分な時間が得られるはずである。
- 小規模・零細企業に対する追加的な支援措置が合意され、具体的な啓発・訓練活動や、試験・適合性評価手続きに対する支援が含まれる。
とされています。
——
4. この提案に関する議論は、2022年9月21日にサイバー問題に関する水平作業部会(HWPCI)で開始され、2022年10月26日に全文通読が完了した。 この通読の結果、加盟国は本規則案を大筋で歓迎し、若干の留保はあるものの、その全体的な目的を概ね支持した。提案の範囲、脆弱性ハンドリング要件と連動した製品寿命、自由移動条項、他の関連法規との相互作用、中小企業や新興企業への影響、報告規定など、さまざまなトピックについて、さらなる明確化と議論が必要だった。2022年12月6日、理事会はチェコ議長国での進展に留意した(14477/22)。
5. スウェーデン議長国の優先事項は、一般的なアプローチに向けて可能な限り議論を進めることであった。これらの議論を構造化し、代表団に十分な精査時間を与えるため、議長国は、条文を4つの主要なブロックに分け、その議論の具体的なスケジュールを記載した詳細な作業スケジュールを配布した。2023年6月末までに、スウェーデン議長国は合計11回のHWPCI専門会合を開催し、その結果、規則全文を網羅する4つの妥協案がまとまった。
6. スペイン議長国は、2023 年 7 月 3 日に妥協案を修正し、7 月 10 日のサイバー問題に関する水平作業部会で議論した。各代表団は総じてこの妥協案を歓迎し、欧州議会との交渉開始の委任を受けるため、いくつかのさらなる修正を加えてこの案を常設代表委員会に提出することに合意した。修正された議長国妥協案は本ノートの付属文書に掲載されている。欧州委員会の提案と比較したすべての変更点は、太字または取り消し線で示されている。
7. 理事会での議論の中で、規則案には、特にその適用範囲と関連する製品カテゴリー(第6条と第6a条、付属書IIIとIIIa)に関するいくつかの重要な修正が導入された。また、報告義務(第11条)についても、ENISAが管理・維持する単一の報告プラットフォームの設置や、コンピュータセキュリティインシデント対応チーム(CSIRT)およびCSIRTsネットワークの役割の拡大などの改正が行われた。さらに、オープンソースコンポーネントやSaaS(Software-as-a-Service)の地位を含む、デュアルユース製品やソフトウェアに関する規定が明確化された。また、提案されている規制が零細・中小企業(SMEs)に与える影響を緩和するための十分な配慮がなされた(第24条a)。その他の改正点は、製造者の義務(第10条)、特に予想される製品寿命の決定に関するものである。スペアパーツの取り扱い(第2条(4a))と適合性評価規定(第24条)がさらに明確化された。
8. 欧州議会では、この案件が産業・研究・エネルギー委員会(ITRE)に割り当てられ、ニコラ・ダンティ欧州議会議員(Renew、イタリア)が報告者に任命された。域内市場・消費者保護委員会(IMCO)および自由権・司法・内務委員会(LIBE)にも意見が求められている。IMCOは第7条と第9条に関する排他的権限を有し、第4条、第8条、第21条、第22条、第25条から第40条に関する共有権限を有する。 LIBEは第41条5項に関する共同管轄権を有し、意見を述べないことを決定した。ITREでの投票は2023年7月19日に行われる予定である。
9. 欧州経済社会委員会(EESC)は2022年12月14日、サイバー・レジリエンス法に関する意見を採択した。
とされています。その後、欧州議会での採択をへており、上記検討した規則提案と議会での採択案とを比較していくと、以下のようになります。
欧州議会での採択案との比較
以下、実際に議会で採択された規則と提案されていた規則を比較します。
2.3.1 製品カテゴリーの整理(大事な(important)製品 (7条)、重要(critical)な製品(8条))
従来は、デジダル要素をもつ製品のなかに、デジタル要素をもつ重要な製品があり、それがクラスⅠおよびⅡにわかれていたところ、デジタル要素をもつ製品がさらに、大事な(important))製品と重要な(critical)な製品にわかれるようになりました。大事な(important))製品がさらにクラスⅠおよびⅡにわかれています。
これを図解するとこのような感じになります(規制枠組については、概要)。
具体的な製品とそれに対する適合性の確保の手段については、以下のような表のとおりになります。
第7条 デジタル要素を有する大事な(important)製品 附属書IIIに定めるクラスI | 第7条 デジタル要素を有する大事な(important)製品 附属書IIIに定めるクラスII | 第8条 デジタル要素を有する重要(critical)製品 | |
具体例等 | 1. ID 管理システム ▌ および特権アクセス管理ソフトウェアおよびハードウェア(バイオメトリクス リーダーを含む認証およびアクセス制御リーダーを含む) 2. スタンドアロンおよび組み込みブラウザ 3. パスワードマネージャー 4. 悪意のあるソフトウェアを検索、削除、隔離するソフトウェア 5. 仮想プライベートネットワーク(VPN)の機能を持つデジタル要素を持つ製品 6. ネットワーク管理システム 7. セキュリティ情報・イベント管理(SIEM)システム ▌ 8 ブートマネージャー 9. 公開鍵基盤およびデジタル証明書発行ソフトウェア ▌ 9.(ママ) 物理的および仮想ネットワークインターフェース ▌ 10. オペレーティングシステム ▌ 11. ルータ、インターネット接続用モデム及びスイッチ ▌ 12. セキュリティ関連機能を有するマイクロプロセッサ ▌ 13. セキュリティ関連機能を有するマイクロコントローラ ▌ 14. セキュリティ関連機能を有する特定用途向け集積回路(ASIC)及び フィールドプログラマブルゲートアレイ(FPGA)▌ 15. スマートホーム汎用バーチャル・アシスタント 16 スマートドアロック、防犯カメラ、ベビーモニターシステム、警報システムなど、セキュリ ティ機能を有するスマートホーム製品 17欧州議会・理事会指令2009/48/EC指令の対象となるインターネット接続玩具で、ソーシャルインタラクティブ機能(会話や撮影など)を有するもの、または位置追跡機 能を有するもの 18.規則(EU)2017/745または規則(EU)2017/746が適用されない、健康監視(追跡など)を目的とし、人体に装着または設置される個人用ウェアラブル製品、 または子供による使用および子供のための使用を意図した個人用ウェアラブル製品。 |
1.オペレーティングシステムおよび類似環境の仮想化実行をサポートするハイパーバイザーおよびコンテナランタイムシステム 2. ファイアウォール、侵入検知・防止システム 3. 耐タンパーマイクロプロセッサ 4. 耐タンパーマイクロコントローラ |
1. セキュリティボックスを有するハードウエア機器 2 欧州議会および理事会指令(EU)2019/944 の第 2 条(23)に定義されるスマートメータシステム内のスマートメータゲートウェイおよびセキュアな暗号処理用を含む高度なセキュリティ目的のその他のデバイス;3. セキュアエレメントを含むスマートカードまたは同様のデバイス。 |
適合性手続(32条(2)・(3)) | 適合性手続(32条(2)・(3)) | ||
(a) 附属書 VIII に定める EU タイプの審査手順(モジュール B に基づく)、続いて附属書 VIII に定める内部製造管理に基づく EU タイプへの適合(モジュール C に基づく)、または (b) 附属書 VIII に定める完全品質保証に基づく適合性評価(モジュール H に基づく)。 |
(a) 附属書 VIII に定める EU タイプの審査手順(モジュール B に基づく)、続いて附属書 VIII に定める内部製造管理に基づく EU タイプへの適合(モジュール C に基づく) ▌ (b) 附属書 VIII に定める完全品質保証に基づく適合性評価(モジュール H に基づく) ▝ (c) 利用可能で適用可能な場合は、規則(EU)2019/881 に基づき、少なくとも「実質的」な保証レベルで、本規則第 27条(9)に基づく欧州サイバーセキュリティ認証スキーム。 |
欧州サイバーセキュリティ認証制度/第 8 条(1)の条件を満たさない場合、本条第 3 項に言及される手続 |
2.3.2 報告義務(第14条)
第11条 製造者の報告義務 | 第 14 条 製造者の報告義務 |
1 製造者は、過度の遅滞なく、いかなる場合にもその認識から24時間以内に、デジタル要素を有する製品に含まれる積極的に悪用される脆弱性をENISAに通知するものとする。通知には、当該脆弱性に関する詳細と、該当する場合、講じられた是正又は軽減措置が含まれるものとする。 ENISAは、サイバーセキュリティリスクに関連する正当な理由がない限り、過度の遅滞なく、通知を受領次第、当該加盟国の指令[指令XXX/XXXX(NIS2)]の[第X条]に従い、脆弱性の協調開示を目的として指定されたCSIRTに転送し、市場監視当局に通知した脆弱性について通知するものとします。 |
製造者は、デジタル要素を含む製品に含まれる積極的に悪用される脆弱性を認識した場 合、本条第 7 項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知するものとする。製造者は、第 16条に従って確立された単一報告プラットフォームを通じて、当該積極的に悪用され た脆弱性を通知するものとする。 |
2. 第 1 項の通知のために、製造者は以下を提出するものとする: (a)積極的に悪用される脆弱性の早期警告通知を、過度の遅滞なく、かつ、製造者がそれを認識してからいかなる場合でも24時間以内に提出する; (b)関連する情報が既に提供されている場合を除き、過度の遅滞なく、いかなる場合であっても、製造者が積極的に悪用された脆弱性に気づいてから72時間以内に、脆弱性に関する 通知を行う。この通知には、当該デジタル要素を有する製品に関する一般的な情報、悪用の一般的な性質及び当該脆弱性、並びに講じられた是正措置又 は緩和措置、及びユーザが講じることができる是正措置又は緩和措置を可能な限り提供するものとし、また、該当する場合には、製造者が通知された情 報をどの程度機微であるとみなしているかを示すものとする; (c) 関連する情報が既に提供されている場合を除き、是正措置または緩和措置が利用可能になってから 14日以内に、少なくとも以下を含む最終報告書を提出すること: (i) 脆弱性の重大性と影響を含む脆弱性の説明 (ii) 可能な場合は、脆弱性を悪用した、または悪用している悪意のある行為者に関する情報 (iii) 脆弱性を是正するために利用可能となったセキュリティ更新プログラムまたはその他の是正措置の詳細。 |
|
2. 製造者は、デジタル要素を有する製品のセキュリティに影響を及ぼす事象が発生した場合、不当な遅延なく、いかなる場合にもその認識から24時間以内に、ENISAに通知するものとする。ENISAは、サイバーセキュリティリスクに関連する正当な理由がない限り、過度の遅滞なく、通知を関係加盟国の指令XXX/XXXX (NIS2) の[第X条]に従って指定された単一窓口に転送し、通知された事故について市場監視当局に通知しなければならない。市場監視当局に通知する。インシデントの通知は、インシデントの重大性及び影響に関する情報を含むものとし、該当する場合には製造者が、インシデントの原因が不法行為または悪意ある行為であると疑っているか、または、インシデントの原因が不法行為または悪意ある行為であると考えているかを示すこ と。違法行為または悪意ある行為に起因すると考えられるか、または国境を越えた影響を有すると考えられるかを示すものとします。 |
3. 製造者は、デジタル要素を含む製品のセキュリティに影響を及ぼす重大なインシデントが発生したことを ▌ 認識した場合、本条第 7項に従い、コーディネータとして指定された CSIRT 及び ENISA に同時に通知しなければならない。製造者は、第 16条に従って確立された単一報告プラットフォームを通じて、当該インシデントを通知するものとする。 |
3. ENISAは、指令[指令XXX/XXXX(NIS2)]の[第X条]により設立された欧州サイバー危機連絡組織ネットワーク(EUCyCLONe)に対し、当該情報が大規模なサイバーセキュリティ事件及び危機の運用レベルでの協調管理に関連している場合には、第1項及び第2項に従って通知された情報を提出するものとする。 |
4. 第 3 項の通知のために、製造者は以下を提出するものとする: (a) デジタル要素付き製品のセキュリティに影響を及ぼす重大なインシデントの早期警告通知を、過度の遅滞なく、かつ、いかなる場合であっても、製造者がそのインシデントを認識してから24時間以内に、少なくとも、そのインシデントが違法行為または悪意ある行為に起因する疑いがあるか否かを含め、提出する; (b) 関連情報が既に提供されている場合を除き、過度の遅滞なく、いかなる場合であっても、製造者がインシデントを認識してから72時間以内に、インシデント通知を行う。インシデント通知には、インシデントの性質、インシデントの初期評価、講じられた是正措置又は緩和措置、及び利用者が講じることができる是正措置又は緩和措置に関する一般的な情報を提供するものとし、また、該当する場合には、製造者が通知された情報をどの程度機微であるとみなしているかを示すものとする; (c) 関連情報が既に提供されている場合を除き、(b)に基づくインシデントの届出後1ヶ月以内に、少なくとも以下を含む最終報告書を提出すること: (i) 重大性及び影響を含むインシデントの詳細な説明 (ii) インシデントの引き金となったと思われる脅威の種類又は根本原因 (iii) 適用済み及び継続中の緩和措置。 |
4. 製造者は、デジタル要素を含む製品の使用者に対し、過度の遅滞なく、また認識した後に、インシデントについて、及び必要に応じて、インシデントの影響を軽減するために使用 者が展開できる是正措置について通知しなければならない。 |
5. 第 3項の適用上、デジタル要素を含む製品のセキュリティに影響を及ぼすインシデントは、以下の場合に深刻であるとみなされるものとする:
(a)デジタル要素付き製品が機密データ又は重要データ若しくは機能の可用性、真正性、完全性若しくは機密性を保護する能力に悪影響を及ぼすか、又は悪影響を及ぼす可能性がある場合、又は(b)デジタル要素付き製品又はデジタル要素付き製品のユーザのネットワーク及び情報システムに悪意のあるコードを導入若しくは実行させることにつながったか、又はつながる可能性がある場合。 |
2.3.3 オープンソースソフトウェアに関する規定の明確化
あと、興味深い規定としては、オープンソースソフトウエアに関する規定が明確化されたことがあると思います。定義規定(3条(14))において
「オープンソースソフトウェアのスチュワード」とは、製造者以外の法人であって、フリーかつオープンソースソフトウェアとして適格であり、商業活動を目的とするデジタル要素を有する特定の製品の開発に対して、継続的に体系的な支援を提供する目的又は目標を有し、かつ、それらの製品の実行可能性を確保する法人をいう
と定義がなされています。
その上で、第24条 オープンソースソフトウェアのスチュワードの義務 で
1. オープンソースソフトウェアのスチュワードは、デジタル要素を含む安全な製品の開発と、その製品の開発者による脆弱性の効果的な取り扱いを促進するために、サイバーセキュリティポリシーを定め、検証可能な方法で文書化しなければならない。この方針はまた、当該製品の開発者による第 15 条に定める脆弱性の自発的な報告を促進し、オープンソースソフトウェアのスチュワードの特定の性質と、そのスチュワードが従う法的および組織的な取り決めを考慮に入れなければならない。(以下略)
と定められています。また、市場監視当局への協力義務(2項)、報告義務の準用(同3項)などがあります。
4 次のステップ
2024年後半に施行される予定であり、製造業者は、製品を2027年までに適合するようにしなければならないとされています(リンク)。