企業におけるIoTの脅威への気付き
「IoT製品はいまだにオモチャだと見なされている」と述べるHay氏は、「ウイルス対策ソフトをインストールしているテレビもあるにはあるが、コンシューマーという立場ではそのことに気付かないだろう。こういったテレビは企業での使用を意図しているものではないのだ」と続けた。
同氏はまた、ARMやIntel、Googleなどが、企業におけるIoTのセキュリティや評価というものを定義するだろうと述べた。
同氏は、「しかし、それは企業が要求した場合にのみ実現する。企業が要求しなければ、与えられたものをそのまま受け入れ、実装した後で、セキュアにするための方法を模索し始めることになる。これはクラウドが導入され始めた時ととてもよく似ている。コスト削減は素晴らしいが、依然としてセキュリティ上の大きな懸念が後回しにされている点に気付くのだ。このため、なぜ最初にそういったセキュリティ上の懸念を伝えてくれなかったのだろうかという話になる」と述べた。
悪い隣人とIoT
同レポートには、「bad neighborhood」(悪い隣人)というたとえが何度も登場する。IoT機器が、セキュリティ意識の低いクラウドプロバイダーに向けて情報を送るという事例が複数見つかったためだ。
Hay氏は、「一部の研究者らもそのような事例の存在を明らかにしている」と述べ、「このためわれわれは、既知のボットネット感染といったさまざまな条件に基づき、悪質なものとそうでないものという観点で『OpenDNS』から多くの評価を行っている」と続けた。
「つまりこうした情報は、あなたが使用している特定のIPアドレスや特定のドメイン、さらにはホスティングプロバイダーやサブネットの身上書として考えてもらえればよいだろう。悪意のある、あるいは悪い隣人という色分けが生きてくるのはここだ。というのも、あなたが254個のIPアドレスを有する/24(CIDR表記)のネットワークを使っている場合、ネットワーク管理者にとって、あなたの使っているIP以外を1つずつブロックしていくよりも、IP全体を範囲指定でブロックした方がずっと簡単であるためだ」(Hay氏)
Hay氏は、「それ以外のIPはすべて、メンテナンスや管理にとっての悪夢となる忌むべき存在であるため、IPを通じて、あるいは企業レベルでIoT機器へのアクセスをブロックし始めれば、IoT機器の能力を実際に無力化できる可能性がある」と述べ、「このため、該当のサービスを使ってデータをアップロードしたいと考えている潜在的な顧客やユーザーと対話してセグメント化する、すなわち壁を作っていくことができる」と続けた。