　本連載第54回で、2020年1月1日に施行された「カリフォルニア州IoT機器セキュリティ法」を取り上げた。その後、新型コロナウイルス感染症（COVID-19）緊急対応に直面した米国だが、IoT（モノのインターネット）機器の製造・販売プロセスに焦点を当てたサイバーセキュリティ指針の整備が進んでいる。

⇒連載「海外医療技術トレンド」バックナンバー

NISTがIoT機器製造者向けサイバーセキュリティ指針を公表

　2020年5月29日、米国立標準技術研究所（NIST）は、「NISTIR 8259：IoT機器製造業者向けの基礎的サイバーセキュリティ活動」（関連情報）および「NISTIR 8259A：IoT機器サイバーセキュリティ機能コア・ベースライン」（関連情報）を公表した。本連載第48回で取り上げた「NIST IR 8228：インターネット・オブ・シングス（IoT）のサイバーセキュリティとプライバシーリスクを管理する際の考慮事項」（2019年6月25日公表、関連情報）をベースとして、IoT機器を顧客向けに製造・販売する製造業者がサイバーセキュリティに関して考慮すべき事項を取りまとめたものである。ここでいうIoT機器には、医療機器製品も非医療機器製品も含まれる。

　IoT機器の場合、顧客（企業や個人）がサイバーセキュリティリスクを低減するのに役立つセキュリティ機能があらかじめ装備されていない問題がある。そこで、IoT機器の製造業者は、必要なサイバーセキュリティ機能を提供し、顧客が必要とするサイバーセキュリティ関連情報を提供することによって、製品のセキュリティレベル全体を向上させることができる。「NISTIR 8259：IoT機器製造業者向けの基礎的サイバーセキュリティ活動」では、IoT機器製造業者が、遂行すべきサイバーセキュリティ関連活動の推奨事項を提示している。

　図1は、指針全体の基本構成となる、インパクトを与えるフェーズごとにグループ化した製造業者の活動を示している。

図1　インパクトを受けたフェーズによりグループ化したサイバーセキュリティ活動（クリックで拡大）出典：NIST「Foundational Cybersecurity Activities for IoT Device Manufacturers」（2020年5月29日）

　医療機器製造業者の活動は、「市販前」と「市販後」の2フェーズに大別されるのが一般的だ。今回の指針では、同様の考え方をIoT機器全般に拡張させており、以下の通り、総計6つの活動項目を提示している。

IoT機器の市販前フェーズにインパクトを及ぼす製造業者の活動
- 活動1：想定顧客／ユーザーを特定し、想定ユースケースを定義する
- 活動2：顧客のサイバーセキュリティへのニーズと目標を調査する
- 活動3：顧客のニーズと目標に取り組む方法を決定する
- 活動4：顧客のニーズと目標を適切に支援するための計画を策定する
IoT機器の市販後フェーズにインパクトを及ぼす製造業者の活動
- 活動5：顧客とコミュニケーションするアプローチを定義する
- 活動6：顧客とコミュニケーションする内容とそれをコミュニケーションする方法を決定する

　IoT機器の市販前フェーズにおける活動項目のうち、「活動1：想定顧客／ユーザーを特定し、想定ユースケースを定義する」では、想定顧客を特定するために、製造業者は以下の質問への回答を想定すべきであるとしている。