4.パッチの適用や修正を検討する
Forrester ResearchのシニアアナリストMerritt Maxim氏は、企業は、導入しようとしているIoTデバイスについて、パッチの適用や修正が可能かどうかという側面から検討すべきだと述べている。「これが重要なのは、セキュリティの側面からだけではない。将来、ビジネス面での要件が変化して、コードの修正が必要になる可能性もある」とMaxim氏は述べている。「一部のデバイスでは、パッチの適用に事実上の制限がある場合もあれば、ユーザー側で複数の複雑な手順が必要で、パッチの適用が難しい場合もある」
5.リスク駆動型の戦略を用いる
ほかのテクノロジと同じく、IoTのプロジェクトでも、サイバーセキュリティでは優先順位を決める必要がある。GartnerのPerkins氏は、企業に対して、リスク駆動型の戦略を用いて、IoTインフラの重要資産について優先順位を定めるように勧めている。同氏は、ITリーダーは、保有している資産のうち、重要な資産に価値とリスクを設定して、その優先順位に応じて安全性を確保すべきだと述べている。
6.テストと評価を行う
ForresterのMaxim氏は、IoTデバイスを導入する前には、ハードウェアまたはソフトウェアレベルで、何らかの侵入テストか、デバイスの評価を行うことを勧めている。また用途によっては、何らかのリバースエンジニアリングを行うことも検討すべきだとも付け加えている。
「IoTデバイスには脆弱性が存在する場合があり、公の場で使用したり、ユーザーの手に委ねる前に、デバイスについてよく理解する必要がある」とMaxim氏は述べている。「今後は、確実に何らかのテストを事前に行っていることが重要になる」
7.デフォルトのパスワードや認証情報を変更する
多くのITプロフェッショナルにとって、このアドバイスは常識に思えるだろうが、一部のIoTデバイスでは、メーカーが設定しているデフォルトのパスワード(デバイスの初期設定作業に使用される)が変更しにくかったり、変更できなかったりする場合があるのを知っておくことは重要だ。
「ハッカーはそのパスワードを知っている可能性があり、その場合、デバイスの制御を乗っ取ることができる」とMaxim氏は言う。「パスワードは今でも最大の弱点であり、このことはIoTでも変わらない」
