プログラムの主要企業の撤退

米国連邦通信委員会（FCC）が推進するモノのインターネット（IoT）デバイス向けサイバーセキュリティラベリングプログラムは、大きな打撃を受けました。同プログラムの統括企業であったUL LLCが、中国との関係に関するFCCの調査を受けて撤退を表明したためです。

UL LLCの幹部であるChanté Maurio氏は、12月19日付のFCCへの書簡で、「リード管理者の役割とプログラムの将来の方向性について、FCCとの継続的な議論に感謝しています」と述べ、「リード管理者の役割の多くの基礎的要素を提供し、その他の考慮事項を踏まえ、本状の日付をもってリード管理者の辞任通知を提出いたします」と正式に撤退を通知しました。

サイバートラストマークプログラムの背景

このサイバートラストマーク構想は、バイデン政権時代にFCCによって設立されました。その目的は、IoTメーカーに製品のセキュリティ向上を促し、購入者には購入する製品のセキュリティ機能にもっと注意を払うよう奨励することにありました。バイデン政権は、IoTデバイスの基本的な脆弱性を悪用した大規模なサイバー攻撃の波を食い止めることを期待していました。

プログラムの仕組みとしては、IoTベンダーが製品を政府認定の民間ラボに提出し、そこで製品が必須のセキュリティ慣行に準拠しているか検証されます。これにより、製品はサイバートラストマークラベルを付けることが許可されます。バイデン政権下のFCCは、プログラムの他の参加企業の監督や、試験イニシアチブの立ち上げに伴う多くの事務作業を管理する主要管理者としてULを選定していました。

中国との関係と調査

しかし、ドナルド・トランプ大統領が就任した後、FCCはULの中国企業との提携および中国国内でのラボ運営に関する調査を開始し、プログラムの将来に疑問を投げかけました。FCC議長のブレンダン・カー氏は、ULの「中国政府との潜在的に懸念される関係」を指摘し、FCCが「通信ネットワークの保護に関して警戒を続ける」と述べていました。

昨年9月、セキュリティと法律の専門家は、Cybersecurity Diveに対し、ULへの調査がサイバートラストマークプログラムの実施を頓挫させないことを望むと語っていました。彼らは、同プログラムを、もはや破壊的なサイバー攻撃を引き起こさない、より安全なIoTデバイスに向けた有望な一歩であると評価していました。

プログラムの不確実な未来

ULがサイバートラストマークプログラムから撤退したことにより、同イニシアチブの将来は不透明になりました。ULがプログラムの初期責任をどれだけ完了していたかは不明です。

同社はコメントの要請に応じませんでしたが、FCCへの書簡では、プログラムの「成功への継続的なコミットメント」を表明し、残りの責任の「円滑な移行」を確実にするためにFCCと協力することを約束しました。FCCは、サイバートラストマークプログラムの運命、あるいは新しい主要管理者を募集しているかどうかのコメント要請に回答していません。

元記事: https://www.cybersecuritydive.com/news/fcc-cyber-trust-mark-iot-labeling-ul-withdraw/808732/