セキュリティトピック

億単位のIoTデバイスの安全を実現するデジサートのスケーラブルなPKIソリューション

インターネットに接続された何千ものデバイスがデフォルト設定のまま使用されるとそれらは攻撃に対して非常に脆弱です。新しいガジェットを利用したい気持ちでいっぱいな時、例えば新しいルーターを導入しようとしている時、人はネットワーク設定やパスワードの安全性に配慮することを忘れてしまいます。しかし、監視カメラ、ハードディスクレコーダー、プリンタなどインターネットに接続された何百ものデバイスが遠隔から操作され、人気のウェブサイトやオンラインサービスに悪意を持って攻撃するようにプログラムされたときに何が起こるかを想像してください。これは単なる仮説ではないのです。2016年9月から10月に大混乱を引き起こしたミライボットネットの攻撃が、まさにこのように仕掛けられました。

このような攻撃が起こる事は、想定内と言えるでしょう。なぜなら、メーカーは長年にわたり、セキュリティのベストプラクティスを導入する事よりも、製品を早く市場に投入し使いやすくすることに注力してきたからです。

これにより、マルウェアや簡単な自動スキャンによってたやすく侵害される脆弱なデバイスがインターネットに溢れることになりました。研究者Rob Grahamは、消費者が監視カメラをインターネットに接続した場合、Miraiのようなボットネットがそのカメラを検知し感染させるのにたった98秒しかかからなかったことを実証し、現在のIoTがどれほど危機的状況かを示しました。

コスト削減と市場への早期製品投入に焦点を絞ったこの戦略は過去のものとし、IoTにとって本来重要な事:認証とアイデンティティ、に注力するべき段階に来ているのではないでしょうか。

IoTにとって、アイデンティティの確立はコミュニケーションを信頼できるものにするためには不可欠です。しかし、IoTデバイスの数が数十億から数百億と増加するにつれて、デバイスの認証のスケールを拡大する方法を見つけることが、業界における新たな挑戦となっています。

「Internet of Things(IoT)はアイデンティティの問題を抱えています。言い換えれば、IoT導入における独自の要求を満たすために拡張できる認証と暗号化ソリューションが不足しているのです。」とセキュリティレッジャーのダン ティンプソン氏は述べています。

DigiCert CTOのDan Timpsonは、自身の記事“拡大するアイデンティティ:IoTはどのようにオンラインアイデンティティ革命を起こすのか”の中で、ほぼすべてのデバイスが何らかの方法でインターネットに接続される新しい時代に移行するにつれて、IoTが直面する問題について議論し、公開鍵インフラストラクチャ(PKI)証明書によって提供される強固なアイデンティティは、オンラインアイデンティティとセキュリティにおける核心であると述べています。

IoTデバイスのセキュリティ課題

包括的なセキュリティソリューションを必要とするインターネット接続デバイスには、いくつかの課題があります。

まず、IoTデバイスはリソースに制限があるという事です。つまり、強力な暗号化を行うためのコンピューティング能力に欠けるのです。暗号化を使用しない場合、エンドポイントは、ブルートフォース攻撃や中間者攻撃を使用して盗聴される可能性があります。

しかし、暗号化と認証の両方を提供しインターネット標準であるTLSは、幅広いデバイスで使用でき、低消費電力デバイスであっても重すぎることはめったにありません。

そして、導入が大規模である事、それがIoTのもう一つの課題です。毎日何万台ものデバイスがオンラインに追加されるため、セキュリティソリューションは、すべてのデバイス管理に対応するためシームレスに拡張できる必要があります。専門家は、2020年末までに200億〜2000億のデバイスがインターネットに接続されると予測しています。あなたはご自身が管理するデバイスを、安全を担保しながら効率的に導入する方法をお持ちでしょうか。

IoTにセキュリティを組み込む

今まで述べてきた課題は、大変難しく感じられるかもしません。しかし、そのすべてに対処できる解決策があります。PKIです。

PKIでは、暗号化キーは証明書とともにデバイスに結び付けらます。これらの証明書は、デバイスのIDを提供するなど、必要に応じてカスタマイズすることができます。たとえば、一意のIDであるシリアル番号で識別する、などです。これらの証明書は、CAと呼ばれる信頼できる機関によって発行され、多くの証明書の発行に対応することも可能です。

PKI証明書は、IoTのセキュリティソリューションを構築する際、重要な役割を果たします。まず、PKIはすべてのデバイスの暗号化、認証、およびID証明などのニーズに対応します。DevOpsグループはオーケストレーションと自動化ツールを採用しているため、証明書をシームレスに展開して管理することができ、敏捷性と証明書の信頼性を維持できます。

IoTにおける暗号化の需要は日々高まりつつあります。ティンプソンの記事では、IoTのアイデンティティ、デジタル証明書、および自動化ツールについて詳しく説明していますので、どうぞご一読ください(英文)。
https://securityledger.com/2017/06/identity-at-scale-how-the-internet-of-things-will-revolutionize-online-identity/

原文はこちら

ホスピタリティ業界でインターネットに接続されたデバイスを保護する方法

ホスピタリティ業界でインターネットに接続されたデバイスを保護する方法

ホスピタリティの現場で使用されているIoTデバイスは、公共のインターネットを使って通信します。そして、お客様あるいは経営者たちに利益を提供します。どんな問題が出てくるというのでしょうか?

続きを読む

セキュリティソリューションが必要なコネクテッドカーの現状:PKIの採用

セキュリティソリューションが必要なコネクテッドカーの現状:PKIの採用

2年後の2020年までに、およそ2億5千万台のコネクテッドカーが道路を走る事になると言われています。コネクテッドカーや道路をより安全なものにするためにはどうしたら良いのでしょうか。

続きを読む

デジタル証明書が担うOTA(over-the-air)アップデートでの重要な役割

デジタル証明書が担うOTA(over-the-air)アップデートでの重要な役割

一般的な消費者は最新のガジェットがいかに生活を楽なものにしてくれるかという事には大きな興味を持っていますが、デバイスが最新の状態にあるかどうか、セキュリティが組み込まれているか、についてはほとんど考えが及ぶ事はありません。これらの事をより意識しているのはデバイスメーカであり、接続されている各デバイスやシステムのセキュリティを維持する為、アップデート実行の方法を必要としています。

続きを読む

コミュニティに参加

Symantec Connect(シマンテックブログ)でセキュリティに関する議論に参加

COMMUNITY

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE