日IoT设备新规定 2020起需提供资安防护机制与作为

日IoT设备新规定

2020起需提供资安防护机制与作为

物联网(IoT)普及带来新的资安问题，在中国台湾资安大厂趋势科技(Trend Micro)日本分公司为首的资安企业警示下，日本总务省在2019年1月25日公布新的网络相关规定，要求自2020年4月起，日本上市的物联网相关外围与终端设备，需有相应的资安防护作为，而且政府将不定期检查。检查一事立即在日本引发争议，因为日本政府要使用类似黑客的手法入侵，部分人士因而认为这是政府以黑客为借口，替自身的黑客行为合理化；但另一部分人士则认为这是该做的事情，过去政府要求厂商自律，但置若罔闻的厂商并不少，成为日本社会严重漏洞，就应由政府处理，才能确保资安。

日本总务省的做法，是提出修改国立研究开发法人情报通信研究机构法中，附带条款的第8条第2项业务实施部分，要求设备业者或使用业者有调查针对特定通信埠(Port)或特定连线行为，并作成电子纪录的义务，同时还要不定期更换密码与防护方式，政府可在必要时给予支援。目前物联网资安问题的大宗，在采购设备时使用厂商通用密码不加修改，或是使用诸如12345之类容易猜测的密码，这类问题在PC上也有，但与使用者经常会亲自使用的PC不同，物联网设备常是安装后就摆着多年不再检查，当遭到黑客入侵或植入病毒时，更难察觉。

而日本政府的要求，就是管理单位建立与这些网络设备的常态连接，定期更换防护软件，并且不能使用过去大规模资安事件时最常见的100种密码，还有发生重大事件时，如3万用户连续12小时以上有使用障碍、或超过100万用户有2小时以上使用障碍时，立即向日本总务省报告等。

由于离正式实施还有14个月的时间，厂商有足够时间采购新设备、订购新资安服务、以及查询现有设备的改善方式，日本总务省也打算设立专属对应窗口，让厂商有时间询问应对方式。虽然总务省的行政命令还有修改的可能性，但这无疑是资安相关厂商的商机，同时也值得中国台湾地区的企业参考。(新闻来源：Digitimes)

往期精彩推荐