企業のIOT – メーカーと顧客は何をすべき?

企業IoTとは何か、それに対し何をすべきか?

著者: F-Secure Business Security Insider
日付: 2016年05月11日
読了時間: 1 分

Internet of Thingsはいたる所に存在する。不幸なことに、セキュリティはともなっていない。

現在のIoTを組み込む大半の方法が、セキュリティを達成することを非常に困難にしている。セキュリティへの関心の欠如は本当に唖然とするほどだ。しかし、現在のインフラを、より安全にするのは容易なことであろう。システムを隔離してしまうのは極めて簡単なことだが、システムの誤動作を認識すべく適切に監視することが求められる。誰もが、システムのほとんどの部分を常に制御できている通信事業者や他の事業者から学ぶべきである。そのために、新たなシステムを構築する時、セキュリティは基本要求の一部であるべきだ。

それでは、IoTのセキュリティを達成することがなぜそんなに困難なのか?

エフセキュア・ラボのヤルノ・ニーメラはこう説明する:

根本的な理由の一つは、IoTデバイスを製造することはとても安価だということ。そして、それは主に市場に製品をすばやく送り出す必要がありセキュリティ技術を持たない新興企業によって作られている。

もっと大きな企業でさえも、新製品を設計する際に、セキュリティは本当にコアコンピタンスではなく、優先されるものでもない。それは、Wi-Fi接続されたバービー人形がハッキングされる恐れがあるという事例で明らかだ。

それが工業用IoTとなると、事態はさらに複雑化する。IoTは工業オートメーションで増加傾向にあり、主に費用削減要求により牽引されている – なんと言っても、PCは専用コントローラより安いが、IoTコントローラはPCよりさらに安いのだ。インターネット経由の通信もまた、コスト効果の高いソリューションだ。工業用IoTでのセキュリティ悪夢の事実例がすでにいくつか存在する

 

なぜ重要なインフラがこんなにひどい状態なのか?とヤルノは続ける。

詰まるところは費用の問題である。セキュリティ対策には高額なコストがかかる。顧客からの見積依頼にはセキュリティに関する要求が含まれていないことも多く、業者は契約を獲得するためにセキュリティを全く無視してしまうのだ。

もう一点は、コントロールシステムの構築方法にある。稼動時間が主要な基準であり、セキュリティのような、稼働時間を危険にさらす可能性があるものは阻害要因とみられてしまう。

セキュリティ従事者は、重要なインフラがしばしばカスタムビルドで複雑であることを常に理解しているわけではない。

 

以下、ヤルノによる、IoTメーカーがなすべきことのリスト。

  • OTAアップデートのセキュアアップデート
    • アップデートパケットのサインと検証
  • すべての通信にTLSを使用
    • ルート証明書にPIN認証する
  • ランダムなデフォルトパスワードを設定する
    • 好ましくは、携帯電話やPCのソフトウェアに2要素認証を使用する
  • 証明書と公開鍵暗号を使用する
  • 不要なサービスをすべて閉じる
    • SSHはリリース版ではなく開発版のビルドに必要な場合がある
  • すべてのサードパーティ ライブラリのセキュリティステータスに従う
  • 脆弱性があなたのコードにあるか、ライブラリーにあるかは問題ではない

加えて、互いに各コンポーネント同士を隔離することが重要。

それでは、IoTの顧客にとってはどうか? あなたがサプライヤーから購入したIoTを使用する場合、行わなくてはいけないことはあるか?

  • 使用中のすべてのデバイスを監査する
    • 少なくとも、すべてのインターフェースに対してnmapコマンドを実行する
    • もしデバイスがクライアントなら、オープンポートをなくす
  • セキュリティを改善するようメーカーにプレッシャーをかける
    • 何か見つけたら報告する
    • もし他の誰かが何かを報告したら、ベンダーにコンタクトする
  • もしベンダーがアップデートを発行したら、インストールする
    • PC、ルータ、コピー機の共通項は?
    • それらすべてにパッチが当たっていなければならない

顧客にとっても、IoTデバイスを隔離することは、ほとんどのメーカーへのサイバー攻撃が企業ITを介して実行されていることから、IoTと工業オートメーションを保護する上で良い方策である。たとえば、ドイツの製鉄所の爆発はEメール攻撃から始まり、溶鉱炉へのlateral movement(侵入拡大)へと続いた。ウクライナの送電網への悪名高い攻撃も、オフィスネットワークへの攻撃から開始し、さらに重要なインフラへと続いた。

今日においても、もっとも可能性の高い攻撃進路は感染した企業ネットワークだ。

したがって、企業ネットワークが耐攻撃性を備えていることを確認すること。私たちのサイバーセキュリティのウェビナー“Defending networks”.”に、ネットワークを保護する上での指示が掲載されている。

この記事は、チェコで開催されたSecurity 2016 conferenceでの、ヤルノのプレゼンテーションに基づいている。


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中