ULのIoTセキュリティレーティングを使用することで、製品のセキュリティを市場に向けて実証することが可能に

GE Appliancesが、ゴールドレベルの評価を獲得した初の家電機器ブランドに

個々のスマートデバイスの数は年々増えており、リサーチ会社Statistaによると、世界のスマートホーム市場は2022年までに534億5千万ドルにまで成長することが予測されています。しかしながら、この成長によって課題が生まれており、米国連邦捜査局(FBI)が2019年12月3日に発表した警告では、デジタル保護対策が不十分な多数のデバイスが列挙されています。これらはすべて、モノのインターネット(IoT)によって接続されます。

FBIが発表したガイドラインには、IoTデバイスを自宅に持ち込む際に何を行うべきか、消費者に向けた非常に重要な注意喚起が示されています。デフォルトのパスワードを変更する、自宅用ネットワークのセキュリティを確保する、コネクテッドデバイスのソフトウェアを定期的に更新するといったことは、誰にとっても有効なアドバイスです。いずれにしろ、セキュリティは自宅から始まると言いますから。

しかし、ULサイバーセキュリティアシュアランス部門ソリューションリーダーであるローレンス・ファン・オイエンはこれに同意しないでしょう。IoTセキュリティはデバイスの設計から始まります。つまり、サイバーセキュリティは、製品と、これが接続するIoTエコシステムに「組み込まれている」必要があるのです。しかし、多くの製造業者にとって、機能、費用対効果、迅速な市場投入などの他の価値提案に比べ、セキュリティは優先順位が低くなっています。

また、デバイスやコネクテッド製品のエコシステムの完全性を担保するため十分な対策を講じていると考えている製造業者もいるでしょう。ただし、この場合も、製品に組み込まれたセキュリティ対策の信頼性を検証するために必要な、すべての手順を実施していないことは往々にしてあります。

「IoT製品のセキュリティの課題は、技術上の問題ではありません」と、ファン・オイエンは述べています。「これは、ビジネス上の問題なのです。コネクテッド製品にセキュリティを組み込むには、時間とコストがかかります。これまで、このような投資から見返りを得たり、製品のセキュリティ機能を市場やエンドユーザーに示したりするための手段はありませんでした。」

将来に向けた取り組み
このようなビジネス上の課題を克服できるように製造業者を支援するため、ULではIoT製品を対象としたセキュリティ検証/ラベリングソリューションであるIoTセキュリティレーティングサービスを開始しました。このサービスでは、製品の5段階(ブロンズ、シルバー、ゴールド、プラチナ、ダイアモンド)の評価を行います。検証済みの製品は、差別化のため、達成したセキュリティレベルを示すUL検証済みマークのセキュリティラベルが付与され、ULによる継続的な審査を受けます。

ULのソリューションは、実績のあるセキュリティのベストプラクティスを活用し、IoT製品のセキュリティレベルを評価することにより、メーカーと開発者が自社製品のセキュリティデューデリジェンスを実証することに役立ちます。また、カリフォルニア州とオレゴン州で2020年1月に施行されたサイバーセキュリティ法では、消費者向けIoT製品に対して法的拘束力を持つ初の規制が制定されており、製造業者に合理的なセキュリティ機能のしきい値を満たすことを求めています。ULのIoTセキュリティレーティングは、このセキュリティ上のコンプライアンスを実証するためにも役立ちます。

ULのIoTセキュリティレーティングは、セキュリティフレームワークである「UL MCV 1376、マーケティングメッセージ(広告表示)の検証方法:ブロンズ/シルバー/ゴールド/プラチナ/ダイアモンドのレベルで評価するセキュリティ機能」に基づいて作成されています。このフレームワークでは、各評価レベルの具体的な要求事項と試験方法について規定し、世界的な業界フレームワークやベストプラクティスに合致した、基準値となるセキュリティ機能を対象にしています。

「UL MCV 1376セキュリティフレームワークは公開されており、無料でダウンロードできます。誰でもアクセス可能です」とファン・オイエンは述べています。「このフレームワークでは、どのような種類のセキュリティ機能を製品に組み込むべきかについて、製造業者にガイダンスを提供します。また、IoTセキュリティレーティングでは、製品のセキュリティ対策を評価し、規制機関、小売業者、エンドカスタマー(最終消費者)に対して実証するための手段を提供します。さらに、製造業者は未検証の他のIoTデバイスや、レーティングの低いIoTデバイスに対して、自社製品を差別化することができます」

IoTの定義
IoTとは、有線ネットワークまたはワイヤレスネットワーク経由で接続される、1つ以上の物理コンポーネントを備えた機能の集合体を指し、さらにこの集合体のすべての構成要素として考えます。その構成要素には、物理コンポーネント、さまざまなコンピューティング要素内のソフトウェア、およびモバイルアプリやクラウドに配置されたソフトウェアなどがあります。そのため、Bluetoothスピーカー、イヤフォン、ヘッドフォン、ドアロックなど、通常はセキュリティリスクと関連付けて考えないような製品もセキュリティの対象となります。

IoTセキュリティにおいてアクセスのしやすさの意味とは
製造業者の一部は、コネクテッド製品のロードマップにIoT機能を追加したばかりかもしれません。その一方で、ファン・オイエンはすべてのデバイスが最高レベルのセキュリティを必要としていないことを指摘しています。製造業者にとって、これはcrawl/walk/run(ハイハイ/歩く/走る)のシナリオになります。しかし、IoT製品に必要なセキュリティレベルを選ぶ際には、ビジネスチャンスと価値の2つの要素に基づいて決定することになります。システムがどの程度容易にアクセスできるか、またそのアクセスにはどの程度の価値があるかについて、自問してみてください。

出典:Determining security assurance levels for your IoT products whitepaper出典:Determining security assurance levels for your IoT products whitepaper

デバイスに必要なセキュリティ対策を判断するには、デバイスのストレージ、処理能力、出力、データ帯域幅、ネットワーク機能、配置場所を検討する必要があります。

階層別に体系化することで、製造業者は製品のセキュリティ機能を適切に実証できるようになります。IoTセキュリティレーティングの5段階評価により、消費者は希望するセキュリティのレベルや、デバイスのセキュリティについて妥当と考える対価を選択することができます。

「消費者の購入意思決定の観点から見ると、飛行機を利用する場合と似ています」と述べるのは、ULサイバーセキュリティ担当グローバルマーケティング主任のマイケル・ジェンセンです。「ファーストクラス、ビジネスクラス、プレミアムエコノミー、エコノミークラスのどれを選ぶかということです。IoTセキュリティレーティングにより、消費者はコネクテッド製品のセキュリティレベルに基づく意識を持って購入の意思決定を行うことができるようになります」

製造業者の参画
CES 2020の数ある重大発表の1つは、GE AppliancesがULのIoTセキュリティレーティングアセスメントに基づくコネクテッド製品の試験を行う、世界初の家電製品ブランドとなるというものでした。さらに、GE Appliancesは、GE Appliances Powered by SmartHQのブランド全体(GE™、GE Profile™、Café™、Monogram™、Haier™を含む)でIoTセキュリティレーティングのゴールドレベルを獲得した初の企業となりました。

GE Appliances SmartHQ IoTセキュリティプラットフォームに含まれるコネクテッド製品は、基準値となるセキュリティ機能と、家電製品レベルで収集される消費者データ、および家電製品からGE Appliancesモバイルアプリおよびクラウドシステムに転送されるデータに対する保護機能を実証するために試験されました。

ジェンセンは次のように述べています。「GE Appliancesは、コネクテッド製品に組み込まれたセキュリティを実証するため、多大な努力を払いました。GE Appliancesの多数のブランドで提供される製品ラインの多数のSKU(※)が対象になっています」

「これには、調理機器、電子レンジ、食器洗浄機、洗濯機、乾燥機、冷蔵庫、エアコン、温水器、給水軟化装置のほか、GE Appliances製品をコネクテッド製品にするために消費者が別途購入できるSmartHQ接続モジュールが含まれます」

これらすべてが価値提案に含まれます
ジェンセンは、製造業者がコネクテッド製品のサイバーセキュリティ機能を実証する上で、IoTセキュリティレーティングが優れた証拠となると指摘しています。またこれは、2019年にCIGI-IPSOS Global Surveyで明らかになったように、消費者がIoTデバイスを購入する際に、ますます重要視するようになっている要件でもあります。消費者は、安全な製品であれば約30%高い価格を支払うことを厭いません。

そのため、ジェンセンはULのIoTセキュリティレーティングに確固とした自信を持ち、次のように述べました。

「組織が製品のサイバーセキュリティの成熟度や、コネクテッド製品のロードマップのどの段階にあっても、ULのIoTセキュリティレーティングは、コネクテッド製品のセキュリティレベルを実証し、市場で差別化するために役立ちます」

(※) SKU: Stock Keeping Unit(ストック・キーピング・ユニット)の略で、受発注・在庫管理を行うときの、最小の管理単位

【UL の概要】
UL は、科学の活用によって安全、セキュリティ、サステナビリティ(持続可能性)における課題を解決し、よりよい世界の創造に寄与します。そして、先進的製品/技術の安全な導入を実現することで、信頼を高めます。UL のスタッフは世界をより安全な場所にするという情熱を共有しています。第三者調査から規格開発、試験、認証、分析/デジタルソリューションの提供まで、UL は業務を通じて、より健全なグローバル社会の構築を目指します。 UL に対する信頼が、企業、メーカー、政府当局、規制機関、人々のスマートな決断を支えます。詳細はUL.comをご参照ください。ULの非営利分野の活動につきましては、UL.orgをご覧ください。

【株式会社UL Japan の概要】
株式会社UL Japan は、 世界的な第三者安全科学機関であるUL の日本法人として、 2003 年に設立されました。 現在、 UL のグローバル・ネットワークを活用し、 北米のUL マークのみならず、 日本の電気用品安全法に基づく安全・EMC 認証のPSE およびS マークをはじめ、 欧州、 中国市場向けの製品に必要とされる認証マークの適合性評価サービスを提供しています。 詳細はウェブサイト(https://japan.ul.com/ )をご覧ください。

以下のソーシャルメディアアカウントからもご覧いただけます。
UL Japan Twitter 公式アカウント: https://twitter.com/ul_japan
UL Japan Facebook ページ: https://www.facebook.com/ULinJapan
  1. プレスリリース >
  2. UL Japan >
  3. ULのIoTセキュリティレーティングを使用することで、製品のセキュリティを市場に向けて実証することが可能に