セキュリティトピック

億単位のIoTデバイスの安全を実現するデジサートのスケーラブルなPKIソリューション

インターネットに接続された何千ものデバイスがデフォルト設定のまま使用されるとそれらは攻撃に対して非常に脆弱です。新しいガジェットを利用したい気持ちでいっぱいな時、例えば新しいルーターを導入しようとしている時、人はネットワーク設定やパスワードの安全性に配慮することを忘れてしまいます。しかし、監視カメラ、ハードディスクレコーダー、プリンタなどインターネットに接続された何百ものデバイスが遠隔から操作され、人気のウェブサイトやオンラインサービスに悪意を持って攻撃するようにプログラムされたときに何が起こるかを想像してください。これは単なる仮説ではないのです。2016年9月から10月に大混乱を引き起こしたミライボットネットの攻撃が、まさにこのように仕掛けられました。

このような攻撃が起こる事は、想定内と言えるでしょう。なぜなら、メーカーは長年にわたり、セキュリティのベストプラクティスを導入する事よりも、製品を早く市場に投入し使いやすくすることに注力してきたからです。

これにより、マルウェアや簡単な自動スキャンによってたやすく侵害される脆弱なデバイスがインターネットに溢れることになりました。研究者Rob Grahamは、消費者が監視カメラをインターネットに接続した場合、Miraiのようなボットネットがそのカメラを検知し感染させるのにたった98秒しかかからなかったことを実証し、現在のIoTがどれほど危機的状況かを示しました。

コスト削減と市場への早期製品投入に焦点を絞ったこの戦略は過去のものとし、IoTにとって本来重要な事:認証とアイデンティティ、に注力するべき段階に来ているのではないでしょうか。

IoTにとって、アイデンティティの確立はコミュニケーションを信頼できるものにするためには不可欠です。しかし、IoTデバイスの数が数十億から数百億と増加するにつれて、デバイスの認証のスケールを拡大する方法を見つけることが、業界における新たな挑戦となっています。

「Internet of Things(IoT)はアイデンティティの問題を抱えています。言い換えれば、IoT導入における独自の要求を満たすために拡張できる認証と暗号化ソリューションが不足しているのです。」とセキュリティレッジャーのダン ティンプソン氏は述べています。

DigiCert CTOのDan Timpsonは、自身の記事“拡大するアイデンティティ:IoTはどのようにオンラインアイデンティティ革命を起こすのか”の中で、ほぼすべてのデバイスが何らかの方法でインターネットに接続される新しい時代に移行するにつれて、IoTが直面する問題について議論し、公開鍵インフラストラクチャ(PKI)証明書によって提供される強固なアイデンティティは、オンラインアイデンティティとセキュリティにおける核心であると述べています。

IoTデバイスのセキュリティ課題

包括的なセキュリティソリューションを必要とするインターネット接続デバイスには、いくつかの課題があります。

まず、IoTデバイスはリソースに制限があるという事です。つまり、強力な暗号化を行うためのコンピューティング能力に欠けるのです。暗号化を使用しない場合、エンドポイントは、ブルートフォース攻撃や中間者攻撃を使用して盗聴される可能性があります。

しかし、暗号化と認証の両方を提供しインターネット標準であるTLSは、幅広いデバイスで使用でき、低消費電力デバイスであっても重すぎることはめったにありません。

そして、導入が大規模である事、それがIoTのもう一つの課題です。毎日何万台ものデバイスがオンラインに追加されるため、セキュリティソリューションは、すべてのデバイス管理に対応するためシームレスに拡張できる必要があります。専門家は、2020年末までに200億〜2000億のデバイスがインターネットに接続されると予測しています。あなたはご自身が管理するデバイスを、安全を担保しながら効率的に導入する方法をお持ちでしょうか。

IoTにセキュリティを組み込む

今まで述べてきた課題は、大変難しく感じられるかもしません。しかし、そのすべてに対処できる解決策があります。PKIです。

PKIでは、暗号化キーは証明書とともにデバイスに結び付けらます。これらの証明書は、デバイスのIDを提供するなど、必要に応じてカスタマイズすることができます。たとえば、一意のIDであるシリアル番号で識別する、などです。これらの証明書は、CAと呼ばれる信頼できる機関によって発行され、多くの証明書の発行に対応することも可能です。

PKI証明書は、IoTのセキュリティソリューションを構築する際、重要な役割を果たします。まず、PKIはすべてのデバイスの暗号化、認証、およびID証明などのニーズに対応します。DevOpsグループはオーケストレーションと自動化ツールを採用しているため、証明書をシームレスに展開して管理することができ、敏捷性と証明書の信頼性を維持できます。

IoTにおける暗号化の需要は日々高まりつつあります。ティンプソンの記事では、IoTのアイデンティティ、デジタル証明書、および自動化ツールについて詳しく説明していますので、どうぞご一読ください(英文)。
https://securityledger.com/2017/06/identity-at-scale-how-the-internet-of-things-will-revolutionize-online-identity/

原文はこちら

NISTによる“IoTへのDDoS攻撃の緩和”研究への参画

NISTによる“IoTへのDDoS攻撃の緩和”研究への参画

Internet of Things(IoT)機器の爆発的な成長は、製造業者と消費者にとっての恩恵でした。オンライン化される製品は実に多くあり、その開発には終わりが見えそうもありません。おそらくあなたは、卵ケースやごみ箱がインターネットに接続されることになろうとは考えもしなかったと思いますが、これらは現実に起きています。しかし残念ながら、“良いこと”として始まった物事は、一転して“悪いこと”となるのも早いものなのです。

続きを読む

IoTのための4つの考察

IoTのための4つの考察

ガートナー社は、IoTに接続されるデバイスの数は2020年までに250億個に上ると見込んでいます。そしてこれは、データを暗号化せずに送信するデバイスが数十億個存在するかもしれないことを意味します。医療機器、高エネルギー機器、個人データを含む機器などの価値の高いターゲットがこれらのデバイスに含まれている場合、データ漏洩のリスクは天文学的なものになります。

続きを読む

IIoT(産業用IoT)の3つの課題

IIoT(産業用IoT)の3つの課題

IIoTの技術は生産プロセスを監視、制御することによりデータを収集し、全体的な情報管理および品質管理を向上させます。しかし、接続されるスマートデバイスやセンサーは急速に発展しているものの、M2M(機器同士の通信)から完全なIIoTへの移行についてはいくつかの課題があり、IIoTのメリットを得るためにメーカーと企業はこれらに対処しなければなりません。

続きを読む

コミュニティに参加

Symantec Connect(シマンテックブログ)でセキュリティに関する議論に参加

COMMUNITY

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE