モノのインターネット(IoT)の発展により、携帯電話や自動車から冷蔵庫や照明スイッチに至るまで、事実上あらゆる電子機器がインターネットに接続できるようになりました。インターネットに接続される機器の数は現在急速に増加しており、2020年にはその数が500億台に達すると予想されています。
しかし、IoTが革新的で便利なものに思えるかもしれませんが、このトレンドはセキュリティ・リスクももたらしており、企業と消費者の双方が対処しなければならないことは避けられません。オペレーティング・システムを搭載した接続デバイスは攻撃を受ける可能性があるため、これらのデバイスは攻撃者が企業に侵入するためのバックドアになる可能性があります。
この記事では、モノのインターネットの成長と、IoTデバイスがもたらすセキュリティリスクに組織がどのように対処すべきかについて説明します。
IoTとは何か、なぜ人気が高まっているのか?
IoTの概念は急速に社会に浸透しており、ほとんどすべての人の生活やあらゆる企業の業務を改善することができます。このことは、顧客により多くの利便性を提供し、満足度を向上させる新しいサービスや製品を開発するビジネスにとって、大きなチャンスとなります。
ユーザーに関しては、グーグル社が最近、主要自動車メーカーと協力してアンドロイド接続の自動車を市場に投入すると発表しました。グーグルは現在、自動車をインターネットに接続するための新しいアンドロイド・プラットフォームを開発中。車のオーナーが、パソコンやスマートフォンから車のロックやアンロック、エンジンの始動、さらには車の性能のモニターまでできるようになる日もそう遠くないかもしれません。
個人ユーザーにとってのこうしたメリットに加え、IoTデバイスは企業にも大きなメリットをもたらします。ある企業に宅配されるすべての小包にRFIDチップが内蔵され、そのRFIDチップが企業のネットワークに接続され、関連するロジスティクス・システムと関連付けられていることを想像してみてください。あるいは、医療環境では、診察室のすべての器具がネットワークに接続され、センサーによって収集された患者データを送信します。IoTの可能性は無限であり、インターネットに接続できるデバイスの数も無限です。
しかし、IoTはメリットをもたらす一方で、多くのリスクももたらします。インターネットに接続されたデバイスには、そのファームウェアに組み込みオペレーティングシステムがデプロイされています。組み込みオペレーティングシステムは通常、セキュリティを最優先事項としていないため、Androidデバイスを標的としたマルウェアの多さに最もよく例えられるように、そのようなオペレーティングシステムはほとんどすべて脆弱です。同様の脅威は、IoT デバイス間でも拡散する可能性があります。
企業とユーザーは、IoTの多くのリスク問題に対処する準備をしなければなりません。以下は、IoT領域で直面する7つのリスク問題と、組織がこれらのリスクに対処するのに役立つ提案のリストです。
1.破壊的なサービス妨害攻撃
潜在的な運用障害や企業サービスの中断を回避するために、組織が優先すべきことは、IoTデバイスの継続的な可用性を確保することです。新しいエンドポイントをネットワークに追加するといった一見単純なプロセスであっても、組織は遠隔地に配置されたこれらのデバイスに対する物理的な攻撃を懸念しなければなりません。そのため、セキュリティ境界の外側にあるデバイスへの不正アクセスを防止するために、物理的なセキュリティを強化する必要があります。
破壊的なサイバー攻撃は、ビジネスに深刻な結果をもたらす可能性があります。何千台ものIoTデバイスが企業のウェブサイトやデータフィードにアクセスしようとして利用できないことが判明した場合、一度満足した組織の顧客は不満を抱き、収益の損失や顧客の不満につながり、市場での組織の評判に影響を与える可能性があります。
IoTが直面している課題の多くは、職場に自分のデバイスを持ち込む傾向の課題と非常によく似ています。紛失や盗難にあったデバイスを管理する能力は、攻撃されたIoTデバイスに対処するための重要な要素です。このような企業戦略を導入することで、企業データが悪用された場合のリスクを軽減することができます。BYOD を管理するためのその他のポリシーも役立ちます。
2.脆弱性の複雑さの理解
昨年、未知の攻撃者が、人気のあるコネクテッド・ベビー・モニターの既知の脆弱性を悪用し、2歳児を盗撮しました。この事件は、IoTが企業や消費者に重大なリスクをもたらす可能性があることを示しています。別の、より劇的な例として、サーモスタットのような単純なIoTデバイスを使って原子力発電所の温度測定値を操作することを想像してみてください。攻撃者がそのデバイスを攻撃した場合、結果は壊滅的なものになる可能性があります。したがって、これらの複雑な機器のどこに脆弱性があり、それらがもたらす脅威の深刻さを理解することが重要です。このリスクを軽減するために、IoTデバイスを含むプロジェクトは、その設計においてセキュリティを考慮し、セキュリティ制御を導入するだけでなく、事前に構築された役割ベースのセキュリティ・モデルを利用する必要があります。これらのデバイスには、組織がこれまで見たこともないようなハードウェア、プラットフォーム、ソフトウェアが含まれる可能性があるため、脆弱性の種類も、組織がこれまで直面してきたものとは異なる可能性があります。組織は、IoTデバイスがもたらすリスクを決して過小評価すべきではありません。
3.IOT脆弱性管理
IoT環境におけるもう1つの大きな課題は、IoTデバイスの脆弱性を迅速に修正する方法と、脆弱性の修正に優先順位をつける方法を見つけ出すことです。
ほとんどの IoT 機器は、脆弱性を修正するためにファームウェアのアップグレードを必要とするため、リモートで修正を完了するのは複雑です。例えば、プリンターにファームウェアのアップグレードが必要な場合、IT部門がサーバーやデスクトップ・システムのように迅速にパッチをインストールできる可能性は低く、カスタム・ファームウェアのアップグレードには通常、さらに時間と労力が必要です。
同様に難しいのは、IoTデバイスの初回使用時に提供されるデフォルトのログイン認証情報をどのように扱うかです。通常、無線アクセスポイントやプリンタなどのデバイスは、既知の管理者IDとパスワードを使用します。さらに、デバイスは、管理者がリモートでデバイスに接続し、ログインし、管理することを可能にする内蔵ウェブサーバーを提供するかもしれません。しかし、これはIoTデバイスが攻撃者の手に渡ることを可能にする大きな脆弱性です。この問題に対して、組織は厳密なデバッグ・プロセスを導入し、デバイスの初期設定をテスト・スキャンする開発環境を構築してデバイスの脆弱性を発見し、デバイスを本番環境に移行する際に対処する必要があります。また、デバイスが本番環境で使用できる状態になっていることを確認し、セキュリティ管理を定期的にテストし、デバイスへの変更を綿密に監視・管理し、特定された運用上の脆弱性に適時に対処するコンプライアンス・チームも必要です。
4.セキュリティ管理策の特定と展開
ITの世界では冗長性が重要で、1つの製品に障害が発生しても、別の製品がそれを引き継ぐことができなければなりません。レイヤーセキュリティの概念も同様ですが、IoTのリスクを管理するために、組織がどのようにセキュリティと冗長性をレイヤー化するかによって異なります。例えば、ヘルスケア業界では、医療機器は患者の健康状態を監視するだけでなく、機器が実行する分析に基づいて薬を調剤する機能を備えています。また、これらのデバイスに対する攻撃がどのような結果をもたらすかは想像に難くありません。
組織にとって課題となるのは、こうした新たなコネクテッド・デバイスのセキュリティ管理が必要な場所を特定し、それをどのように効果的に展開するかということです。これらのデバイスの多様性を考えると、組織は、どのようなリスクが存在し、どのように制御できるかを発見するために、カスタマイズされたリスク評価を実施する必要があり、そのようなリスク評価は、多くの場合、第三者の専門知識に依存する必要があります。興味深い例としては、元副大統領のディック・チェイニーが、テロリストがハッキングして致命的な電気ショックを与えることを懸念して、体内に埋め込んだ医療用心臓除細動器の遠隔接続をオフにしたケースがあります。残念ながら、ほとんどの企業はこれらの機器をオフラインにすることはできません。どのような場合でも、IoTのトレンドを取り入れる組織は、IoTに対して許容できる十分な保護を確保するために、独自の情報セキュリティ管理を定義する必要があります。このトレンドが成熟するにつれて、業界の専門家はベストプラクティスを開発していくことでしょう。
5.セキュリティ分析機能の必要性の充足
インターネットに接続されたさまざまな新しいWi-Fiデバイスのために、企業は膨大な量のデータを収集、集約、処理、分析する必要があります。企業はこのデータに新たなビジネスチャンスを見出すでしょうが、それは同時に新たなリスクも意味します。
企業は、IoTデバイス上の正当なトラフィック・パターンと悪意のあるトラフィック・パターンを認識できなければなりません。たとえば、ある組織が一見正規のアプリをスマートフォンにダウンロードしようとしたときに、実際にはそのアプリにマルウェアが含まれていた場合、そのような脅威を検出するための実行可能な脅威インテリジェンス対策を導入することが望ましいといえます。クラス最高の分析ツールとアルゴリズムは、悪意のあるアクティビティを検出するだけでなく、カスタマーサポートを改善し、顧客に提供するサービスを向上させることができます。
このような課題に対応するために、組織は適切な職務とプロセスを構築し、適切なセキュリティ分析機能を提供する必要があります。
6.モジュラー・ハードウェアおよびソフトウェア・コンポーネント
セキュリティは、接続されたデバイスのコンポーネントやモジュールをより適切に制御するために、IoTのあらゆる側面で考慮され、導入されるべきです。また、企業は、攻撃者がIoTデバイスのサプライチェーンを混乱させ、悪意のあるコードやその他の脆弱性を植え付け、デバイスが企業環境に導入された後にそれらを使用して攻撃を開始しようとすることを予測する必要があります。また、企業は、IoT デバイスに Forrester Zero Trust のようなセキュリティ・モデルを採用する必要があるかもしれません。
さらに、マイクロカーネルやハイパーバイザーのような技術は、セキュリティ侵害が発生した場合にシステムを分離するために、組み込みシステムと組み合わせて使用することができます。
7.急増する帯域幅要件
しかし、インターネットへの需要が高まると、事業継続のリスクが高 まる可能性があります。重要なアプリケー ションに必要な帯域幅が確保されない場合、消費者は使い勝手を損ない、 従業員の生産性は低下し、事業の収益性は低下する可能性があります。
サービスの高可用性を確保するために、組織は帯域幅の拡大だけでなく、トラフィック管理と監視の改善も検討する必要があります。これにより、事業継続リスクを低減できるだけでなく、潜在的な損失を防ぐこともできます。さらに、プロジェクト計画の観点から、組織はキャパシティを計画し、急増する帯域幅要件に対応できるよう、ネットワークの成長率を検証する必要があります。
はんけつをくだす
モノのインターネット(IoT)は、消費者だけでなく企業にとっても大きな可能性を秘めていますが、同時にリスクもはらんでいます。情報セキュリティ組織は、PC、サーバ、モバイル・デバイス、従来の IT インフラストラクチャの保護から、ウェアラブル、センサ、および現在では予測されていないテクノロジを含む、より広範な相互接続デバイスの管理への移行に備えなければなりません。企業のセキュリティ・チームは、これらの新たなデバイスを保護するためのベスト・セキュリティ・プラクティスを検討するために、今すぐ対策を講じる必要があります。また、これらのデバイスがマシン間通信や大規模なデータ収集など、さまざまな用途で企業ネットワークに侵入するようになるため、リスク・マトリックスやセキュリティ・ポリシーを更新する準備が必要です。また、相互接続が進むデジタルの世界において、基本的な機密性、完全性、可用性を確保するためには、脅威のモデリングが重要になります。
