実際、多くのIoTデバイスのコードが受けている精査の水準は、スマートフォンや同様のデバイスの水準にはまったく届いていない。また、IP ArchitectsのPironti氏が述べているとおり、典型的なデバイスは、適切なセキュリティツールをサポートするだけの計算能力を持っていない。パッチの適用などの処理も難しいのが現状であり(Pironti氏はこの分野は「恐ろしく遅れている」とまで述べている)、IoTデバイスが増えれば増えるほど、セキュリティの確保は難しくなっていく。
新たなソリューション
では、この問題に対して何ができるのだろうか。残念ながら、ソリューションは単純からはほど遠い。多くの業界は、IoTによって生じる問題の一部を理解しているが、素早く対応できる状況にあるとは限らない。また業界によって、実際に直面する具体的な脅威はかなり異なる。それでも、リスクを減らすために始められることはいくつかある。
IntelのGrobman氏は、最小権限の原則と最小アクセスの原則を念頭に置きながら、まず環境全体について検討することを勧めている。「デバイスには、オートメーションや制御の強化などのゴールを達成するのに必要な、最小限の接続性とアクセスだけを与えるようにすべきだ」(Grobman氏)
読者や読者の組織が、どのように新しいデバイスを導入していくのか検討する必要がある。資産の棚卸しの観点からは、次の3つのことを確認すべきだ。
- 何が接続されているのか?
- それはどこにあるのか?
- どのような情報を送信しているのか?
どのネットワーク要素にどのデバイスを接続するかを決定するにあたっては、さまざまなネットワークの分割モデルについて検討する必要がある。また、Citrix LabsのWiteck氏は、脆弱性を減らすために、接続するデバイスはネットワークトラフィックを暗号化する能力を持っているものにすべきだと述べている。
「IoTデバイスメーカーが競争の激しいIoT標準のいずれかに準拠しているかどうかを注意深く調べ、デバイスのセキュリティがどのように実現されているかを理解することだ」とWiteck氏は付け加えた。
IoTデバイスを導入する際には、組織のネットワークにあった適切なプロトコルが使用されていることと、バックドアが存在する可能性を排除するために可能な限りの努力をすることが重要だ。注意が必要なのは、すべてのプロトコルが同じように設計されているわけではないということだろう。
HPE SecurityのKappenberger氏は、「一部のプロトコルは、ネットワーク自体にセキュリティが組み込まれているプライベートネットワークで使用することを前提に設計されている」と述べている。「IoTにはそのようなプロトコルを使用できる性能はないため、中間者攻撃やその他の手段によって攻撃者がデバイスへのアクセスを獲得することができないような、安全なプロトコルを使用する必要がある」(Kappenberger氏)
最後に、データアナリティクスを使って使用状況のパターンを把握しておき、何かおかしなことが起きた場合には検知できるようにしておくべきだろう。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。