セキュリティトピック

ホスピタリティ業界でインターネットに接続されたデバイスを保護する方法

2月中旬、私はホスピタリティ業界でInternet of Things(IoT)デバイスを保護することに焦点を当てたセミナーに参加しました。このイベントは、CLM(Claims and Litigation Management Association:苦情/訴訟管理専門家協会)によって主催されたものです。 ホスピタリティの現場でIoTデバイスがどのように使用されているか考えたことはありますか?現在家庭で利用されているスマートホーム製品と同じようにホテル等で利用されているのです。考えてみてください。お客様が到着する前に室温を調整する温度調節器、遠隔で水の流れを制御する給水装置、オフシーズンで閉鎖されているリゾートの監視装置、部屋の鍵として利用できるスマートフォン、全部屋に設置された時計の時刻を正しく管理する機器、どんな要求にも対応するバーチャルコンシェルジュアプリとスピーカー(Amazon Echo“Alexa”のようなもの)。これら全てのデバイスには共通点があります。第一に、公共のインターネットを使って通信します。そして、お客様あるいは経営者たちに利益を提供します。素晴らしいですよね?どんな問題が出てくるというのでしょうか?

まず、インターネットに接続されているものはすべて危険にさらされています。IoTデバイスの場合、開発においてセキュリティは最優先事項ではありませんでした。ほとんどのデバイスは、デバイス認証、デフォルトパスワードの変更機能、安全な更新方法、ファイアウォールの導入など、基本的なセキュリティ原則を考慮せずに開発されました。残念なことに、消費者向けデバイスは非常に厳しい競争環境にあり、市場投入までの時間とコストが最重要とされているのです。セキュリティは後回しにされ、必須要件ではなく“負担”と考えられてきました。サイバー犯罪者は常にネットワークへの侵入方法を探しており、これらのデバイスは犯罪者たちにとって容易なアクセスポイントとなるのです。

ホスピタリティ業界でこのような弱点を利用するのは誰でしょうか?動機を持ち、接触する機会がある“誰か”です。例えば、ホテルで不快な思いをされたお客様がたまたまハッカーである場合。あるいは、退職させられた従業員がコンピュータスキルのある人間だった場合。彼らはどんな被害を与えることができるでしょうか?攻撃者に身代金(多くの場合、Bitcoinのような追跡不可能な通貨が使われる)が支払われるまで正当なユーザーをロックアウトするランサムウェアをインストールすることや、デバイスに不正侵入して新しいファームウェアをインストールし遠隔制御ボット変えることもできるのです。

突然、雷雨の中スプリンクラーシステムが作動し始めたり、夏に室温が32℃まで上げられたり。あるいは、オフシーズンで閉鎖中のリゾート施設のはずが、高い公共料金の請求を受けることも考えられます。また、不正侵入したデバイスをネットワーク化して、「ボットネット」を作成し、それを利用して外部ターゲットに対して分散サービス拒否(DDOS)攻撃を開始することもできます。これはまさに複数の企業や教育機関が被害にあったMirai攻撃を受けた際に起こった事です。

議論を経て、パネリスト達は以下の提言に同意しました。

  1. デバイスがインターネットに接続する必要がない場合は、接続しないこと。
  2. ソリューションを調達する際には、「成熟した」製品を求めること。その市場に長くいるベンダーから第一世代の製品ではないものを購入すること。
  3. デフォルトのパスワードをすぐに変更すること。
  4. デバイス上のファームウェア/ソフトウェアを定期的にアップデートすること。
  5. IoTデバイスを定期的に棚卸すること。製品のリコールや更新の際に何を持っているかすぐに把握する事ができるからです。そして、ITチームがそれらを管理していることが重要です。
  6. 不正侵入を受けた場合は、デバイスをネットワークから切り離し、できるだけ早く当局に通報すること。なお、当局が指示するまで電源を切らないこと。

大部分の資産が把握されていない、または、準備が整っていないホスピタリティ業界にとって、IoTデバイスは大きな攻撃対象となるのです。上記の提言に従うことで、ホテルやリゾートの安全とセキュリティを確保するための適切な措置を講じることができます。

PKI(Public Key Infrastructure)ソリューションは、デバイスの製造者がこれらの問題を解決するのに大変役立ちます。 PKIは、認証、整合性、否認防止、および暗号化といういくつかの特性を持ちます。したがって、デバイスを認証する、無線でのアップデートを実行する、デバイス間の通信を暗号化する、等の場合PKIは大変有効です。ほとんどの企業は、PKIソリューションを展開する専門家ではありません。 DigiCertは完全なアウトソーシングサービスを提供しているため、製造者はPKIのライフサイクルを気にせずに製品を構築し販売することができます。

原文はこちら

IIoT(産業用IoT)の3つの課題

IIoT(産業用IoT)の3つの課題

IIoTの技術は生産プロセスを監視、制御することによりデータを収集し、全体的な情報管理および品質管理を向上させます。しかし、接続されるスマートデバイスやセンサーは急速に発展しているものの、M2M(機器同士の通信)から完全なIIoTへの移行についてはいくつかの課題があり、IIoTのメリットを得るためにメーカーと企業はこれらに対処しなければなりません。

続きを読む

億単位のIoTデバイスの安全を実現するデジサートのスケーラブルなPKIソリューション

億単位のIoTデバイスの安全を実現するデジサートのスケーラブルなPKIソリューション

インターネットに接続された何千ものデバイスがデフォルト設定のまま使用されるとそれらは攻撃に対して非常に脆弱です。監視カメラ、ハードディスクレコーダー、プリンタなどインターネットに接続された何百ものデバイスが遠隔から操作され、人気のウェブサイトやオンラインサービスに悪意を持って攻撃するようにプログラムされたときに何が起こるかを想像してください。

続きを読む

TLS:低消費電力デバイスにも導入可能なセキュリティ対策

TLS:低消費電力デバイスにも導入可能なセキュリティ対策

ここ数年、モバイル機器は電力面で大きく進化しましたが、IoTエコシステムの一部となる機器は、未だに消費電力とバッテリ寿命が極めて制限されていると言えます。今後も伸びると予測されるIoTの成長と、それに伴い増加する多様な電力とメモリを持つ接続デバイスによって、セキュリティはこれまで以上に重要になる事は間違いありません。

続きを読む

コミュニティに参加

Symantec Connect(シマンテックブログ)でセキュリティに関する議論に参加

COMMUNITY

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE