UL(以前のUnderwriters Laboratories)は、モノのインターネットデバイスがほとんどの主要な脅威から保護されていると認定するためのサイバーセキュリティ保証プログラムを提供しています。
Ars Technicaによると、ULは認証プロセスで非常に尊敬されているようです。
さまざまなマーク(UL、ENECなど)が電気配線、洗浄製品、さらには栄養補助食品など、さまざまな分野の最小安全基準を認定している122年の歴史を持つ安全基準団体であるULは、現在、インターネットのサイバーセキュリティに取り組んでいます。新しいUL 2900認証を取得したモノ(IoT)デバイス。
ULはそれらの認証を次のように説明しています:
- すべてのインターフェースでゼロデイ脆弱性を特定するための製品のファズテスト
- Common Vulnerability Enumerations(CVE)スキームを使用してパッチが適用されていない製品の既知の脆弱性の評価
- 製品上の既知のマルウェアの識別
- Common Weakness Enumerations(CWE)によって特定されたソフトウェアの弱点の静的ソースコード分析
- Common Weakness Enumerations(CWE)、オープンソースソフトウェア、およびサードパーティライブラリによって特定されたソフトウェアの弱点の静的バイナリ分析
- セキュリティリスクを低減する製品で使用するために特定された特定のセキュリティコントロール[...]
- 他のテストで特定された欠陥に基づく製品の構造化侵入テスト
- 製品に組み込まれた製品セキュリティ緩和策のリスク評価。
ただし、ULがデバイスを精査する正確なプロセスは(Ars Technicaが指摘するように(そして批判))、(仕様の完全なセットを購入するためにお金を払わない限り)不明確です:
Arsが規格を詳しく調べるためにUL 2900文書のコピーを要求したとき、UL(以前はUnderwriters Laboratoriesと呼ばれていました)は辞退しました。セット-私たちはそうすることを歓迎しました。独立したセキュリティ研究者も、ULの小売顧客になることを歓迎します。
ULが尊重されていますが、我々は仮定することはできません、それは元の質問を満たさないものの、その認定は特に、さらに精査することなく、セキュリティの面で音されていること。
残念ながら、セキュリティのためのオープンな標準/認証を見つけることができませんでした。これは、非営利団体にとって必要なリソースが多すぎるためと考えられます。