8.データを調べる
IoTデバイスがデータをどう扱っているかを理解することは、安全性を確保する上で重要だ。企業はデバイスが生成するデータを調べ、標準的なフォーマットを使用しているのか、異常な活動があった場合には対応できるように、簡単に異常検知に利用できる構造かなどを判断すべきだとMaxim氏は言う。
IP ArchitectのPironti氏はレポートの中で、企業はそれに加えて、IoTデバイスの非公開個人情報(NPPI)や個人を特定できる情報(PHI)の処理についても注意すべきだと述べている。「このデータは、個人や組織に関する情報を得ようとする敵対的な相手に使用される可能性があり、同時にそれ自体が悪用される可能性もある」とPironti氏は述べている。
9.最新の暗号プロトコルを使用する
企業はIoTデバイスが送受信するデータを暗号化すべきであり、その際には、もっとも強い暗号を使用し、将来にわたって問題が起きないような戦略を定めるべきだ。
「暗号の強さは実装に依存する。既知の脆弱性を持つ古いプロトコルを使用して実装されていたり、将来状況の変化で脆弱になるようであれば問題だ」とMaxim氏は述べている。
10.デバイスレベルではなく、アイデンティティレベルのコントロールを行う
Maxim氏は、複数のユーザーが接続できるIoTデバイスが増えているため、IoTのセキュリティはアイデンティティレベルでのコントロールに移行すべきだと述べている。認証を行えば、ユーザーがどのようにデバイスにアクセスしているかを理解しやすくなり、利用パターンから文脈情報を得ることもできる。また、脆弱性や不正利用に対する保護も容易になる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
