SEMI
Advantechline
 

日IoT設備新規定 2020起需提供資安防護機制與作為

因訴諸廠商自律效果不彰,日本政府要求廠商2020年4月以前提升IoT資安作為,政府會檢查。圖為駭客攻擊路由器的形象化廣告。法新社

物聯網(IoT)普及帶來新的資安問題,在台灣資安大廠趨勢科技(Trend Micro)日本分公司為首的資安企業警示下,日本總務省在2019年1月25日公布新的網路相關規定,要求自2020年4月起,日本上市的物聯網相關週邊與終端設備,需有相應的資安防護作為,而且政府將不定期檢查。

檢查一事立即在日本引發爭議,因為日本政府要使用類似駭客的手法入侵,部分人士因而認為這是政府以駭客為藉口,替自身的駭客行為合理化;但另一部分人士則認為這是該做的事情,過去政府要求廠商自律,但置若罔聞的廠商並不少,成為日本社會嚴重漏洞,就應由政府處理,才能確保資安。

日本總務省的做法,是提出修改國立研究開發法人情報通信研究機構法中,附帶條款的第8條第2項業務實施部分,要求設備業者或使用業者有調查針對特定通信埠(Port)或特定連線行為,並作成電子紀錄的義務,同時還要不定期更換密碼與防護方式,政府可在必要時給予支援。

目前物聯網資安問題的大宗,在採購設備時使用廠商通用密碼不加修改,或是使用諸如12345之類容易猜測的密碼,這類問題在PC上也有,但與使用者經常會親自使用的PC不同,物聯網設備常是安裝後就擺著多年不再檢查,當遭到駭客入侵或植入病毒時,更難察覺。

而日本政府的要求,就是管理單位建立與這些網路設備的常態連接,定期更換防護軟體,並且不能使用過去大規模資安事件時最常見的100種密碼,還有發生重大事件時,如3萬用戶連續12小時以上有使用障礙、或超過100萬用戶有2小時以上使用障礙時,立即向日本總務省報告等。

由於離正式實施還有14個月的時間,廠商有足夠時間採購新設備、訂購新資安服務、以及查詢現有設備的改善方式,日本總務省也打算設立專屬對應窗口,讓廠商有時間詢問應對方式。

雖然總務省的行政命令還有修改的可能性,但這無疑是資安相關廠商的商機,同時也值得台灣地區的企業參考。

  •     按讚加入DIGITIMES智慧應用粉絲團