モノのインターネット(IoT)は、センサーを搭載し、インターネットを介して接続された何百万ものデバイスを表す用語です。 IoT革命は、利便性を提供するライフスタイル革命を生み出しました。スマートシティ、ウェアラブルテクノロジー、自動運転車、スマート家電、スマート医療機器など、多くのインテリジェントデバイスが存在するのはIoTのおかげです。 Gartnerによると、2020年までに200億台のデバイスが相互接続されます。しかし、IoTがもたらす莫大なメリットにもかかわらず、相互接続の増加は多くのサイバーセキュリティリスクをもたらします。 IoTデバイスに対する需要の高まりと利便性の追求により、データのプライバシーとセキュリティが2番目の優先事項となっています。IoTデバイスを保護するには、ユーザー、デバイスメーカー、および政府規制機関の両方の入力が必要です。
IoTテクノロジーに関連するリスクに飛び込む前に、さまざまな有用なIoT記事を確認することもできます。
- モノのインターネット(IoT)向けのトップハードウェアプラットフォーム
- IoTソリューションに適したプラットフォームの選択
- IoT開発コストを削減するためのトップオープンソースIoTプラットフォーム
また、実際のIotアプリケーションの構築を開始するために、Arduino、Raspberry Pi、ESP8266、その他のプラットフォームを使用したIoTベースのプロジェクトが数多くあります。
モノのインターネットを保護する上での課題
デバイスのレプリケーションは、IoTデバイスのセキュリティ保護に関して重要な課題です。 IoTデバイスが製造されると、複製されて大量生産されます。レプリケーションとは、デバイスの1つでセキュリティの脆弱性が特定された場合、他のすべてのデバイスが悪用される可能性があることを意味します。これにより、IoTサイバーセキュリティの発生は壊滅的なものになります。 2016年、杭州Xiongmaiテクノロジー。中国の企業は、セキュリティの脆弱性がTwitterとNetflixを収容するDynのサーバーに攻撃を引き起こした後、何百万もの監視デバイスをリコールすることを余儀なくされました。
セキュリティエンジニアによる過失。大多数の人々は、ハッカーは組み込みシステムを標的にしないと信じています。サイバーセキュリティは大企業にとって問題として認識されています。その結果、数年前のデバイスの製造に関しては、セキュリティの詳細は優先事項ではありません。ただし、最近の開発では、デバイスメーカーがIoTデバイスの製造ライフサイクルでセキュリティを優先していることが示されています。
IoTデバイスには簡単にパッチを適用できません。IoTデバイスは数百万でリリースされており、消費者がこれらのデバイスを急いで購入するにつれて、ソフトウェアのアップグレードをインストールするためにデバイスメーカーをフォローアップする顧客はほとんどいません。また、これらのデバイスの多くは、使い勝手が悪いデバイス固有のソフトウェアを使用しているため、ユーザーが専門家なしでソフトウェアを更新することは困難です。
IoTデバイスは、既存のエンタープライズセキュリティツールと互換性がない、またはサポートされていない産業固有のプロトコルを使用します。その結果、ファイアウォールやIDSなどのエンタープライズセキュリティツールは、これらの産業固有のプロトコルを保護しません。これらのデバイスの相互接続により、IoTデバイスプロトコルの侵害により、ネットワーク全体が脆弱になります。
標準化されたセキュリティ標準の欠如。専門分野のため、さまざまなメーカーがIoTの特定のコンポーネントの製造を専門としています。これらのメーカーの大部分はさまざまな国にあり、したがってそれらの国で設定された業界標準に従っています。その結果、単一のIoTデバイスを作成するために使用されるコンポーネントは、異なるセキュリティ標準を持つことになります。このセキュリティ標準の違いは、非互換性につながるか、脆弱性を引き起こす可能性があります。
重要な機能:スマートシティの出現により、主要な政府インフラストラクチャはIoTに依存しています。現在、輸送インフラストラクチャ、スマート通信システム、スマートセキュリティ監視システム、およびスマートユーティリティグリッドはすべてIoTに依存しています。これらのインフラストラクチャが果たす重要な役割により、ハッカーの関心が高いため、関連するセキュリティリスクも高くなります。
IoTデバイスを保護するためにユーザーは何をすべきですか?
ユーザーは、IoTデバイスのセキュリティを強化する上で重要な役割を果たします。これらの責任の一部は次のとおりです。
デフォルトのパスワードの変更:大多数のユーザーは、メーカーが設定したデフォルトのパスワードをわざわざ変更する必要はありません。デフォルトのパスワードを変更しないと、侵入者がネットワークに簡単にアクセスできるようになります。ポジティブテクノロジーは、ユーザーの15%がデフォルトのパスワードを使用していることを示すレポートをリリースしました。多くのユーザーに知られていないのは、これらのパスワードの大部分は任意の検索エンジンを使用してアクセスできるということです。ユーザーは、デバイスを認証するために、強力で安全なパスワードをさらに実装する必要があります。
デバイスソフトウェアの更新: IoTサイバー攻撃の大部分は、ユーザーがデバイスファームウェアを定期的に更新できなかったことが原因で発生します。自動的に更新されるデバイスが他にある場合、他のデバイスは手動で更新する必要があります。ソフトウェアを更新すると、セキュリティの脆弱性にパッチを適用し、アップグレードされたソフトウェアのパフォーマンスを向上させることができます。
不明なインターネット接続への接続を回避する:スマートデバイスの大部分は、任意のネットワークを自動的に検索して接続するように設計されています。特に公共の場所でオープンネットワークに接続することは安全ではなく、デバイスをサイバー攻撃にさらす可能性があります。最善の解決策は、自動インターネット接続をオフにすることです。また、ユーザーはユニバーサルプラグアンドプレイをオフにする必要があります。 UPnPは、IoTデバイスが自動的に相互に接続するのに役立ちます。ハッカーは、これらのデバイスを検出して接続することにより、UPnPを悪用できます。
ゲストネットワークの実装:ネットワークの分離は、組織内でも非常に重要です。ネットワークへの訪問者にアクセスを許可すると、訪問者は接続されたデバイスにアクセスしてリソースを共有できます。したがって、デバイスが内部の脅威や信頼できない友人にさらされるのを防ぐために、ゲスト用に別のネットワークを作成することが不可欠です。
IoTセキュリティ戦略
APIセキュリティ:開発者とデバイスメーカーは、IoTデバイスとサーバー間の通信とデータ交換を保護する戦略としてアプリケーションパフォーマンスインジケーター(API)を採用する必要があります。
開発ライフサイクルへのIoTセキュリティの組み込み: IoTデバイスとソフトウェアの開発者とメーカーは、セキュリティを設計および開発プロセスの不可欠な部分にする必要があります。初期開発プロセス中にセキュリティをファクタリングすることで、安全なハードウェアとソフトウェアが保証されます。
ハードウェア管理の強化:デバイスメーカーは、デバイスが改ざんされないようにするための戦略を採用する必要があります。エンドポイントの強化により、過酷な気象条件で動作するデバイスが最小限の監視でも機能できることが保証されます。
デジタル証明書と公開鍵インフラストラクチャの使用: IoTセキュリティを強化する1つの戦略は、PKIと509デジタル証明書を使用することです。接続デバイス間の信頼と制御を確立することは、ネットワークセキュリティにとって非常に重要です。デジタル証明書とPKIは、ネットワーク上での暗号化キーの安全な配布、データ交換、およびID検証を保証します。
接続されている各デバイスを監視するためのID管理システムを実装します。ID管理システムは、各IoTデバイスに一意の識別子を割り当ててデバイスの動作の監視を容易にし、適切なセキュリティ対策の実施を容易にします。
セキュリティゲートウェイの実装: IoTデバイスには、必要なセキュリティを提供するのに十分なメモリまたは処理能力がありません。侵入検知システムやファイアウォールなどのセキュリティゲートウェイを使用すると、高度なセキュリティ機能を提供できます。
チームの統合とトレーニング: IoTは新しい分野であり、その結果、セキュリティチームの継続的なトレーニングが不可欠です。開発およびセキュリティチームは、新しいプログラミング言語とセキュリティ対策についてトレーニングを受ける必要があります。セキュリティチームと開発チームは協力して活動を調和させ、開発中にセキュリティ対策が統合されるようにする必要があります。
IoTデバイスのセキュリティ機能
現在、デバイスメーカーが採用できるすべてのセキュリティ機能に適合するサイズはありません。ただし、次のセキュリティ機能により、IoTデバイスのセキュリティが容易になります。
安全な認証メカニズム:開発者は、認証にX.509やKerberosなどの安全なプロトコルを使用するログインメカニズムを実装する必要があります。
データセキュリティの強化:データと通信の暗号化を実装して、許可されたアクセスを防止します。
侵入検知システムの採用:現在のIoTデバイスには、試行されたログインを監視できるIDSが装備されていません。ハッカーがデバイスに対してブルートフォース攻撃を試みたとしても、アラートは発生しません。IDSを統合することで、その後のログイン試行の失敗やその他の悪意のある攻撃が確実に報告されます。
IoTデバイスをデバイス改ざんセンサーと統合する:改ざんされたIoTデバイス、特に最小限の監視下にあるデバイスは、サイバー攻撃に対して脆弱です。最新のプロセッサ設計は、改ざん検出センサーと統合されています。これらのセンサーは、元のシールが破られたことを検出できます。
サイバー攻撃を防ぐためのファイアウォールの使用:ファイアウォールの統合により、保護の層が追加されます。ファイアウォールは、既知のホストのみにネットワークアクセスを制限することにより、サイバー攻撃を阻止するのに役立ちます。ファイアウォールは、バッファオーバーフローやブルートフォース攻撃に対する保護の層を追加します。
安全な通信ネットワーク: IoTデバイス間の通信は、SSLまたはSSHプロトコルを介して暗号化する必要があります。通信を暗号化すると、盗聴やパケットスニッフィングを防ぐことができます。
サイバー攻撃は、IoTテクノロジーの成功を妨げる大きな障害の1つです。セキュリティを強化するには、すべての利害関係者が調和して作業し、設定された基準が実装され、遵守されていることを確認する必要があります。関係機関は、IoTデバイスの運用性を全面的に強化するために、他の業界標準と互換性があり、サポートされているIoT業界固有の標準を導入する必要があります。製造されたIoTデバイスの品質のシームレス性を保証するために、すべての国にまたがるIoTInternational規制を施行する必要があります。利害関係者は、サイバー攻撃からデバイスとネットワークを保護する必要性と方法についてユーザーを敏感にする必要があります。