<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">

IoTのセキュリティ確保:InfoSecチームがすべきこと

Greg Mooney| November 19 2018

| security, IoT

securing-your-iot-what-can-your-infosec-team-do

モノのインターネットの潮流に乗ってデバイスをインターネットに接続すると、ビジネスにとって貴重な情報が獲得できる一方で、新たな脆弱性を導入することになり、デジタル資産を脅かす可能性が増大します。

モノのインターネットの流れは怒涛の勢いで押し寄せています。ガートナーは、インターネット接続された「モノ」の数は2017年末までに84億に達すると予測しましたが、これは2016年から31%の増加になります。2020年までには、200億台以上のデバイスが接続されると予測されています。

モノのインターネット(IoTネットワークは、顧客に提供するサービスと業務プロセスの効率を向上させるのに役立つ、有益な新しいデータと情報を提供します。ただし、生成されるデータは大部分が個人データであり、取り扱いには注意が必要です。また、ネットワークには新たな脆弱性が発生することになり、セキュリティについて再検討する必要が生じます。

IoTのデータセキュリティで特に注意が必要なのは、ネットワーク上の「モノ」の性質です。デバイスは基本的にはコンピューティング・デバイスとしては構築されていません。熱や空調のコントロール、製造機械のパフォーマンス監視、交通機関の運転状況の追跡などの機能を実現するために設計されています。こういったデバイスは、通常、データセキュリティやデータプライバシーをサポートするために必要なコンピューティング能力、ストレージ、メモリを所有していません。あるいは、単にセキュリティが製造業者によって見過ごされていると言ってもいいでしょう。

セキュリティリスクを軽減するためのベストプラクティス

IoTのセキュリティ戦略は、接続されたデバイスを物理的に保護するだけでなく、デバイスとの交信により生成され、送信されるデータを保護するサイバー面での対処が重要になります。物理的なセキュリティを確立した上で、デバイスが正しく動作しているかの確証を得るには、フィールドエンジニアがデバイスを丁寧にチェックする必要があります。

そこまでできないとしても、セキュリティリスクを軽減するために、IT部門でサイバーセキュリティの面でIoTデバイスに適用できるベストプラクティスがいくつかあります。組織の事情に応じて優先順位は変わってくるでしょうが。

  • デバイスプロファイリング – IoTネットワークには、たいてい、様々なオープンソースを使ったり、専有オペレーティングシステムを持っていたりする複数の製造業者が製造するデバイスがつながっています。各デバイスには、さまざまなレベルのコンピューティングリソースとネットワーク帯域幅が必要です。各エンドポイントを記録し、資産インベントリに追加して追跡・監視することが重要です。そうすることが、セキュリティを維持し、サポート体制を整えることにつながります。
  • システムのパッチ適用 - これは、セキュリティを確保するだけでなく、十分なデバイス性能を維持するためにも重要です。デバイスのパッチ適用機能に制限がある場合や、エンドユーザーにはパッチ適用が複雑すぎる場合があるので、InfoSec チームが集中型プラットフォームを通じてパッチを適用するのが理想的です。
  • パスワード管理 – 変更するのが困難なデフォルトのパスワードを設定してあるIoTデバイスもたくさんあります。パスワード変更がまったくできないようなデバイスもあります。ハッカーがIoTデバイスのベンダーに侵入して、パスワードリストへのアクセスを獲得したら、デバイスをコントロールできてしまいます。ベンダーの協力が必要になりますが、デバイスのパスワードを繰り返し変更できるように設定することを考えるべきです。
  • データ分析 – IoTデバイスが生成するデータを分析すると、異常なアクティビティが検出でき、ネットワークを保護するための積極的な対策を講じることができます。機密データを生成して送信するIoTデバイスを使っている場合は特に重要です。
  • 暗号化  IoTデバイスとの間で送受信されるデータには、暗号化プロトコルを適用する必要があります。どこかに脆弱性を見つけて新しい攻撃が次々に発生しているので、プロトコルが定期的に更新されることを確認することも重要です。

IoTデバイスを顧客のサイトに配置したり、従業員がリモートで使用したりする前に、ハードウェアとソフトウェアレベルで侵入テストを実行することも大切です。デバイスには脆弱性が存在する可能性があり、エンドユーザーの手に届く前に、その内容を把握する必要があります。

組織の威信を保ち、顧客からの信頼を獲得

IoTデータのセキュリティ保護は、1回やってお終いというわけにはいきません。InfoSec チームは、セキュリティ問題には常にアンテナを張り、新しい脅威が出現したら対処する必要があります。IoT技術も進化し続け、それに伴って新しいセキュリティ対策も必要になるかもしれません。

データセキュリティに関しては奇をてらった革新策を考えようとしても徒労に終わるだけなので、IoT実装には、データセキュリティのスタンダードである上述のようなベストプラクティスを実施することが最善です。最も簡単な方法は、データセキュリティとデータプライバシーの業界標準に則った方式を採用している、実績のあるIoTテクノロジプラットフォームと連携することです。

IoTデバイスから、そしてIoTデバイスへの、すべての機密情報を暗号化することが、データのプライバシーを保護することになります。このようにして規制を遵守しデジタル資産を守ることは、組織の威信を保つことにもなり、顧客からの高い信頼を獲得できます。New Call-to-action

Topics: security, IoT

Default HTML block

コメントをどうぞ

メールアドレスは公開されません。アスタリスクマーク*のついたフィールドは必須項目です。

THIS POST WAS WRITTEN BY Greg Mooney

Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.

無料試用版

無料試用版をお気軽にお試しください。

無料試用版を試す

コンタクト

ご質問、ご意見をお寄せください。

連絡先

ブログの定期メール便

ブログを定期的にメール配信いたします。