こんにちは。はなくとです。
少し前の話ですが、カリフォルニア州で「インターネットとかBluetoothに接続する機器に対する、推測しやすい初期パスワードは禁止するぞ法案」が成立したようです(SB-327(外部リンク))。
具体的な法案の中見は、機器出荷時に共通の初期パスワードを設定することを禁じ、機器ごとに異なるパスワードを設定するか、使用前に利用者がパスワードを再設定することを義務づける、というものです。ちなみにこの法案は2020年から施行されます。
この法案の狙いは、IoT機器のセキュリティ向上を目的としており、IoT機器のウィルスとして流行した「Mirai」の対策にも見えます。Miraiは、IoT機器にデフォルトのパスワード(rootやadmin)でアクセスを試みる動作があり、この法案が適切に施行・運用されれば、一定の効果はあるように思います。また、今のところ法案はカリフォルニア州だけで有効のようですが、グローバル企業はこの法案に沿って動くと思います。カリフォルニアで販売する機器だけ仕様変更するのも難しそうですし。
この取り組みの良いところは、法案の中身というより、行政も一緒になってサイバー攻撃の脅威に立ち向かおうとしているところです。産官学にはそれぞれに役割と限界がありますが、機器の仕様を強制的に縛れるのは、官(法律)であり、うまくその力を使っているのではないでしょうか。
気になる点は、
①機器ごとに異なるパスワードを設定
→異なるパスワードをユーザにどのように通知するのか?機器に同封?
異なるパスワードの設定方針をどうするか?(シリアルナンバーとか?)
②使用前に利用者がパスワードを再設定
→パスワードを忘れた場合はどうするのか?
パスワードリセット機能とかつけるのか?つけられない機器はないのか?
といったところです。
IoT機器にまだ詳しくないので、的外れなことを書いているかもしれませんが、個人的には、機器毎にパスワード設定するとメーカの負荷が大きくなるのでユーザにパスワードを再設定してもらう方向に動くのではないかと考えています。
ただ、その場合でも、お年寄り等、IoT機器に不慣れな方に対するサポート体制の強化は必須になりそうです。
セキュリティを高めると何か別のところ(主に運用)にしわ寄せがいってしまうのが現在のセキュリティ対策の難しいところです。皆にセキュリティ対策を受け入れてもらえるよう、そのしわ寄せを誰が、どのように受けるかをうまく考える必要があると思いました。
おしまい。