こんばんは。今回はサイバー攻撃対策がなされた機器に対して、認証マークを発行するという話題です。NHKニュースの記事からです。

www3.nhk.or.jp

　一定の基準を満たした機器に対して、認証マークを発行するのだそうです。IoT機器の（ガバガバな）セキュリティホールを突かれて、踏み台にされて攻撃に加わるというケースが見られます。

　このマークを発行するのが、重要生活機器連携セキュリティ協議会だそうです。「天下り組織か？」という点が気になりますが、ここにはそのような内容は読み取れるものがありません。その基準に「利用開始時にIDやパスワードの変更を促す」「最新規格の無線LANに対応すること」とあります。後者はWPA3を指しているんでしょうか。まだ製品化はされてなかったのではないでしょうか。（これもWPA3対応製品が出てくれば意味もあるんでしょうが）

　問題は前者です。たとえ変更を促したとしても、ユーザー自身が変更しないとどうしようもないのではないでしょうか。ユーザー自身の教育も必要でしょうが、促すだけではダメで、初回ログイン時に変更を強制しないと拙いのではないでしょうか。

　さらに問題なのは、「調達時に安全性を見分けることが出来る認証があるのはありがたい」と言う八千代市の課長ではないでしょうか。この認証は「購入すれば安全に使える」ことを担保するものではなく、「最低条件を揃えていて、ユーザーが適切な設定を行うことではじめて安全に利用出来る」ということをもっと伝えて行く必要がありそうです。「この認証はユーザーは何もしなくていい」ということではないことを声を大にして言いたいです。