IoTデバイスのセキュリティ–デバイスメー
カー向けの5つの主要な対策
IoTテクノロジーの採用が増えるにつれ、これらのデバイスのセキュリティは重要な課題をもたらします。ハッカーには悪用するための大規模な遊び場があり、多くの例がIoTデバイスの脆弱性を示しています。この脆弱性には、従来のITデバイスよりも堅牢なセキュリティアプローチも必要です。
本記事では、ハードウェアベースのセキュリティ対策への投資、「セキュアブート」セキュリティ機能の使用、ファームウェアの更新、ストレージ、通信の保護など、デバイスメーカー向けの5つの主要なセキュリティ対策を提案し、メーカーがデバイスのセキュリティを確保できるようにします。すべての対策を採用する必要はありませんが、メーカーは、接続されたデバイスとそのエコシステムを適切に保護するために、前述の対策の少なくとも1つを使用することでメリットを得ることができます。
インターナショナルデータコーポレーション(IDC)のレポートによると、2025年までに全世界の接続機器数は416億台に達するとされています。この数字はさらに上昇する見込みで、Statistaは2025年にオンライン接続されたデバイスが750億台以上になると予測しています。これらの驚異的な数字は、IoTテクノロジーの広範な採用を明確に示しています。スマートビルディング、コネクテッドホーム、自動運転車ごとに、私たちは生活を向上させる新しいツールを手に入れています。
IoTデバイスの相互接続性が向上し続けるにつれて、適切なセキュリティを確保することは重要な課題をもたらします。ハッカーにとって、IoTエコシステムは機会の海であり、相互接続された何十億ものデバイスがデータを共有し、限界まで活用できる巨大な遊び場を作り出しています。
IoTデバイスがハッキングされた例はすでに複数あります。いくつか見てみましょう:
マインクラフトゲームサーバーをホストすることから利益を得るために、ゲーマーのグループが Mirai と呼ばれるボットネットを作成したとき、無邪気な意図は不吉な方向に変わりました。ボットネットの最初のストライキは2019年9月に発生し、フランスのクラウドコンピューティング企業OVHをクラッシュさせました。その後、ボットネットのソースコードがオンラインで公開され、技術力があれば誰でも脆弱なIoTデバイスを悪用できるようになりました。その結果、家庭用ルーター、防犯カメラ、ベビーモニター、内部照明や換気装置、家庭用PCなどがハッキングされ、大規模なDDoS攻撃によってヨーロッパとアメリカのインターネットのかなりの部分がダウンしました。
2019年、スマートカメラ「Ring」の無数のユーザーが、ハッカーが家庭内カメラを通じて自分たちを監視し、さらには会話していたと報告しました。同社がセキュリティ違反を否定しているにもかかわらず、ハッカーはRingカメラに侵入し、リンクされたアカウントにアクセスすることができました。その後、この問題は同社によって解決されましたが、スマートデバイスがいかに脆弱であるかを証明することに成功しました。
2019年5月、産業用サイバーセキュリティ企業であるApplied Riskは、業界のリーダーが使用したNortek Security & Control (NSC)デバイスを含む、管理およびアクセス制御システムに約100件の脆弱性を発見しました。 Nortek Linear eMerge E3デバイスには、ハッカーが簡単にデバイスを制御し、認証情報を乗っ取り、マルウェアをインストールし、DoS攻撃を仕掛けることができる重大な欠陥がありました。この警告にもかかわらず、同社は、商業、医療、産業、小売、銀行、ホスピタリティなどのさまざまな業界にこれらのデバイスを設置したにもかかわらず、長期間にわたって何の対策も講じていませんでした。同社のパッチが遅すぎたため、これらの機器が設置されていた100カ国で毎日数万件のサイバー攻撃が記録されています。
これらは、IoTの脆弱性を示す多くのサイバー攻撃の一部に過ぎず、IoTセキュリティの重要性を再評価することを余儀なくされています。
IoTデバイスは、従来のITデバイスとどう違うのか?
IoTデバイスは、コンピュータのようですが、そうではありません。これらのデバイスは、家庭、ビル、工場など、特定のコンテキストや環境で動作します。一般的に、IoTエコシステムは、組み込み機器やセンサー、クラウドインフラ、モバイルアプリケーション、ネットワーク通信プロトコルなどで構成されています。また、エンタープライズITデバイスよりもはるかに多くの種類のIoTデバイスとネットワークがあります。また、IoTデバイスは一般的にコンピュート・メモリやストレージの性能が低いため、セキュリティを実現する機会は限られています。
デバイスの相互接続性が高まっているため、IoTのセキュリティは従来のITセキュリティ対策よりもはるかに強固であることが必要です。
デバイスメーカーにおける主要なセキュリティ
IoTデバイスのセキュリティには、ハードウェアとソフトウェアの強力なパートナーシップが含まれます。ハードウェア、ソフトウェア/ファームウェア、および接続インターフェイス—IoTデバイスが効果的に機能するためには、すべてが安全である必要があります。デバイスメーカーは、セキュリティ対策が製品ライフサイクルのあらゆる段階で徹底的に実装されていることを確認する必要があります。
ハードウェアベースのセキュリティ対策に投資
ハードウェアベースのセキュリティソリューションは、多くの場合、より良い選択です。安全性の高い暗号化および復号化システムを提供し、キーや乱数発生器などの機密情報をハードウェアで保護されたコンポーネントにハードコードすることができる耐タンパーの環境を提供します。
現在、フラッシュモジュールなどのほとんどの大容量記憶装置には、完全な暗号化とセキュリティ技術を備えた機能を内蔵しています。これらのうち、最も一般的で普及しているのがTPM(Trusted Platform Module)であり、暗号化キーを内蔵してハードウェアを保護するために、個人用ノートパソコンからビジネス用パソコン、産業用パネルPCまで、すべてのコンピュータに使用されているチップであります。別の一般的なツールは、接続されたデバイスの完全なセキュリティを確保するためにシステムがベースとして使用できる信頼のルートRoT (Root of Trust)機能セットです。
セキュリティ機能「セキュアブート」を使う
最新のデバイスに搭載されているセキュリティ機能である「セキュアブート」は、マルウェアなどの不正なソフトウェアがデバイス/システムを起動時に制御することを防ぎ、認証されたソフトウェアのみをデバイス上で実行することを保証します。セキュアブートは、ブートローダー、主要なオペレーティングシステムファイル、および未承認のオプションROMのデジタル署名を検証し、すべてのソフトウェアが改ざんされていない正規のメーカーバージョンであることを確認します。
前述のとおり、セキュアブートプロセスには、ハードウェアで検証するブートプロセスである「The Root of Trust」が理想的であります。「ARM TrustZone」と「Intel Boot Guard」は、それぞれARMとIntelでサポートされているRoTの2つの例です。
ファームウェア更新の保護
ファームウェアの更新は、厄介なバグを修正し、オペレーティングシステムに新しい機能を導入するのに最適かもしれませんが、接続されたデバイスを攻撃の対象にすることもあります。悪意のあるソフトウェア更新プログラムは潜在的な攻撃者によってプッシュされ、アカウントは更新プログラムの脆弱性によってハッキングされる可能性があります。
デバイスメーカーは、新しいファームウェアの整合性と信頼性を検証することで、このリスクから保護することができます。ファームウェアの更新を実行する前に、ファームウェアイメージは検証されるべきであ り、また、製造レベルでデジタル署名がなされるべきです。署名の検証は、あるファームウェア・アップデートが本物の製造業者から提供されたものか、改ざんされた画像であるかを識別することができます。ハッシュ関数と対称および非対称暗号化アルゴリズムの組み合わせは、リバースエンジニアリング技術を介して独自のコード、プロトコル、またはアルゴリズムをデコードすることにより、イメージを悪用しようとする外部からの試みから最適な保護を提供できます。
記憶機構の保護
IoTデバイスは、さまざまなデバイスやセンサーから膨大な量のデータを継続的に収集し、そのすべてがクラウドインフラやデバイス自体に保存されます。接続されたIoTデバイスのセキュリティのために、フラッシュモジュールのような大容量記憶デバイスは、暗号化と安全なストレージモデルを内蔵しています。しかし、デバイスメーカーは、暗号化キー、デジタル証明書、さらにはパスワードのようなクレデンシャルを保存するために、特別な予防措置を講じる必要があります。これらの重要な認証情報を保存するために、安全な認証情報記憶機構を使用することができます。
一部のマイクロコントローラまたはマイクロプロセッサベンダーは、SNVSなどのTPMを格納するためのさまざまなメカニズムを提供しており、それを実行するプログラムに対してのみ有効にすることができます。この追加のセキュリティレイヤーは、機密データをこの安全なクレデンシャルに安心して保存することができます。
通信の保護
デバイス間の「通信」はIoTエコシステムのコア機能であり、文字通り相互に通信せずに機能することはできません。接続されているデバイスに、ステータス、潜在的なダウンタイムなどを他にどのように示しますか? これにより、システムのシームレスな機能を確実に可能にしますが、すべてのデバイスを複数のポイントにわたる攻撃に対して開いたままにします。したがって、この通信を保護することが最も重要になります。
Wi-FiやBluetoothなどの通信技術でサポートされる強力な暗号化技術や、デジタル署名の検証は、各通信チャネルからのデータの機密性、完全性、真正性を確保するために必要です。暗号化キーの強度は、RSA、AES-128、Diffie-Hellmanなどの標準によって管理することができます。さらに、TCP/IPやUDPなどの通信プロトコルを使用するHTTPやMQTTなどのアプリケーションプロトコルの多くは、後者に適用されるセキュリティ対策が自動的にアプリケーションプロトコルに適用されるため、恩恵を受けることができます。
通信を保護するに他の方法は、デジタル証明書や秘密キーを用いて各機器に固有のIDを付与することで、認証を最適化し、より高い保護性能を実現します。これにより、メーカーは特定の機器に対してファームウェアのアップデートやデータを安全に共有することができ、機器から受信するデータの真正性を検証することができます。
IoTデバイスのセキュリティに本腰を入れる時期が来た!
IoTスマートデバイスはどこにでもあり、日々成熟しています。IoTのセキュリティは、現在のトレンドに、同じペースで追いつく必要があります。
組織やエンドユーザーに影響を与えた複数のグローバルセキュリティ侵害は、IoTセキュリティを革新する時期が今であることを示しています。そして、ハードウェアとソフトウェアベースのIoTセキュリティソリューションの進歩により、デバイスメーカーにとって、この要求に応えることは不可能ではありません。製造業者は、自社の要件、リスク要因、セキュリティへのエクスポージャーに基づいて、ここで紹介する対策のいずれか、またはすべてを採用し、IoTエコシステムとそのデータの完全性、機密性、および真正性を保護することができます。
IoTデバイスのセキュリティは、開発・製品ライフサイクルのあらゆる段階を通じて正しく実装されれば、組織が革新的なIoTデバイス、最も強力な約束―「完全なセキュリティの約束!」を含めて市場に投入できます。
