EU が提案する新たな法律:コネクテッド・デバイスの保護が必須

EU Proposes Legislation To Secure Connected Devices

2021/09/22 CyberSecurityIntelligence — 欧州委員会 European Commission の President である Ursula von der Leyen は、コネクテッド・デバイスのサイバー・セキュリティに対して、共通基準を設定することを目的とした、EU Cyber Resilience Act 法の導入を発表した。

Ursula von der Leyen は、「デジタル技術の急速な普及は、国家による支援/非支援グループが、行政や病院などの重要なインフラを破壊するための方法において、強大な平等性をもたらしている。我々のリソースが不足していることを考えると、力を結集しなければならない。そして、サイバー脅威に対処することに満足するのではなく、サイバー・セキュリティのリーダーとなるよう努力すべきだ」と述べている。

また、EU におけるサイバー・セキュリティ戦略の一環として、すべての接続された製品および関連サービスの、サイバー・セキュリティを向上させるための、ルールを導入する意向も表明している。消費者向けと産業向けという側面を持つ IoT は、すでに存在する 2019 EU Cybersecurity Act 法に基づき、サイバー・セキュリティ認証のための将来的な分野の1つとなるだろう。

今回の欧州委員会の取り組みは、これまでの irective on Security of Network and Information Systems (NIS2 Directive) の提案に追加されるものだ。NIS2 は、経済や社会の重要な分野で採用されているデジタル・サービスの、サイバー・セキュリティ要件を引き上げることで、従来の指令の範囲を拡大するものである。

NIS2 の重要性は、Euroconsumers と呼ばれるロビー活動グループが主導するプロジェクトである、Hackable Home に示されている。このプロジェクトでは、倫理的なハッキング手法を使用して、ほとんどのスマートホーム・デバイスには、基本的なサイバー・セキュリティ標準すら欠けていることを明らかにした。 Euroconsumers の政策スポークスマンである ElsBruggeman は、「EU 全体において、消費者の安全を確保するために、長い間提唱してきた。欧州委員会がサイバー・セキュリティのリーダーになるのなら、消費者が IoT を信頼できるようにするための、サイバー脅威に対する EU アプローチに取り組む必要がある」と述べている。

IoT では、あらゆる接続対象が、インテリジェントで先進的な環境を約束している。しかし、それらのデバイスは本当に安全なのだろうか?それらは、どのようなセキュリティ・リスクをもたらすのか? また、企業や個人は、どうすれば IoT を安全に活用できるのか?

サイバー・セキュリティのベース・ライン要件を定義することの必要性については、欧州のデジタル産業の業界団体である DigitalEurope も、同様の懸念を示している。最近の報告書で同協会は、既存の製品安全規制では、接続された機器に対するサイバー・セキュリティの義務が設定されていないと警告している。DigitalEurope の事務局長である Cecilia Bonefeld-Dahl は、Cyber Resilience Act を歓迎する一方で、サイバー環境を規制するための、EU による提案が急増していることに注意を促している。

NIS2 指令の他にも、重要な事業体の回復力に関する指令や、セクターに特化したDigital Operational Resilience 指令、さらに、製品安全に関する規制など、いくつかの提案が検討されている。また、EU 全体の DNS 構築も提案されている。DNS は、グローバルなインターネット・ガバナンスにとって重要なインフラであるが、欧州以外の一握りの事業体により運営されているため、EU 諸国が大規模なサイバー攻撃に対処することが難しく、地政学的な緊張の影響を受けやすくなっている。

EU/EC 関連のニュースは、どちらかと言うと、GDPR などの個人情報保護に関するものが多いという感じです。しかし、この EU Cyber Resilience Act 法には、サイバー・ビジネスを育成しようという目論見が感じられます。また、EU 全体の DNS 構築という話も面白いですね。

%d bloggers like this: