何が起きたか
NISTは2026年6月24日、Special Publication 800-213 Revision 1『連邦政府向けIoT製品サイバーセキュリティガイドライン:IoT製品サイバーセキュリティ要件の確立』のInitial Public Draft (IPD)をリリースしました。ドラフトは2026年8月24日まで公開コメント受付中です。2021年版からの主な変更点には以下が含まれます:「IoTデバイス」から「IoT製品」(ハードウェア、ソフトウェア、ファームウェア、クラウドサービス、リモートサポート、ベンダー管理コンポーネントを包含)へのシフト;最近完成したNIST IR 8259r1(製造元サイバーセキュリティ活動に関する)の統合;およびIoTリスク評価とより広範なNIST Risk Management Framework (SP 800-30, SP 800-53 Rev. 5)との整合性の強化。本文書はIoT Cybersecurity Improvement Act of 2020およびEO 14028の要件を実装しています。
なぜ重要か
SP 800-213は連邦調達向けIoTサイバーセキュリティの主要標準です。本改訂版は、クラウドサービスおよびAI対応IoTシステムがますます依存する第三者コンポーネントを含む、完全なIoT製品エコシステムへとスコープを拡大し、新たな市場後支援およびライフエンド要件を追加しています。連邦調達標準は商業市場の期待値を日常的に形成するため、規制産業に販売するベンダーは、これらの要件が連邦の枠を超えて広がることを想定すべきです。AI接続デバイスおよびスマートインフラストラクチャは明確にスコープ内です。
必要な対応
IoT製品製造元および連邦機関は、IPDをダウンロードして現在の製品ポートフォリオと比較検討する;2026年8月24日までにコメントを提出する;AI接続製品がクラウドおよび第三者サービスコンポーネントを含む拡張された「IoT製品」定義を満たしているかどうかを評価する;市場後支援コミットメントを新たなライフエンド要件と比較評価する必要があります。