アンドリュー・ビックリー、アロー・エレクトロニクス
IoTの世界では、セキュリティが急速に重要な懸念事項となっています。デジタル変革により組織はデータの価値を明確に認識するようになりましたが、データの誤用の可能性に伴う大きなリスクも存在します。この悪用は、強力なサイバーセキュリティが絶対に必要であることを浮き彫りにしています。IoTテクノロジーは、ハッカーがデータを盗んだり、その他のエクスプロイトを実行したりするために悪用できる多数の攻撃対象領域を生み出します。今後、影響を受ける企業はますます増えるでしょう。ガートナーは、2020年までに主要な新しいビジネス プロセスとシステムの半数以上にIoTの要素が組み込まれると予測しています。
IoTデバイスのセキュリティ
IoTアプリケーションがビジネス効率の改善とサービス品質の向上に役立つことに疑いの余地はありません。膨大な数の接続されたセンサーとアクチュエーターを導入することで、組織は大量のデータを収集して継続的な改善を推進できます。その例としては、プロセスをリモートで制御して人員配置を合理化し、収益を最大化すること、資産の場所を追跡して運用効率を高めること、リモート機器のメンテナンス要件を予測してダウンタイムを最小限に抑え、スタッフを効率的に活用することなどが挙げられます。
ビジネス、商取引、環境管理などの活動をサポートするツールとしてのIoTは、まだ進化のサイクルの始まりに過ぎません。今後、まだ想像もできない多くのアプリケーションが登場することが予想されます。アプリケーション開発者の想像力に匹敵するのは、おそらく、IoTを自らの目的のために破壊しようとするハッカーの想像力だけでしょう。
IoTハッキング
組織は、現場での出来事に迅速に対応し、適切な長期的なビジネス上の意思決定を行うために、IoTベースのアプリケーションに大きく依存するようになるでしょう。接続された資産からのデータに対する高いレベルの信頼が必要になります。したがって、盗聴や妨害行為を防ぐために、このデータへの不正アクセスを防止することが非常に重要です。悪意のあるエージェントがデータを傍受したり、接続されたデバイスにアクセスしたりできる場合、データを違法に販売または公開したり、データを変更して誤った情報や誤った方向へ誘導したり、偽のコードをロードしてデバイスを乗っ取ったりブロックしたり、組織内のより機密性の高い資産にアクセスしたりすることで、損害を与える多くの機会を悪用できます。これらには、防犯カメラ、アクセス制御システム、機密情報を含むドライブなどが考えられます。このような悪用が成功した場合、被害者は直接的な金銭的損失、または評判の失墜や市場機会の喪失などのその他の損害を被る可能性があります。
IoTデバイスは、その性質上、物理的な改ざんの兆候がないか定期的に検査されることなく、遠隔地で長期間にわたって自律的に動作することがよくあります。さらに、インターネットに接続すると、オンライン ハッカーはデバイスの物理的な場所に近づくことなく、インターネット経由で攻撃を仕掛けることができます。インターネット上で脆弱な接続デバイスを探すソフトウェアは、すでにインターネット上で簡単に入手可能です。さらに、ガートナーは、IoTの将来の普及を予測する同じレポートの中で、正規のIoTデバイスのデータの整合性を侵害するために使用できる偽のセンサーおよびビデオ データのブラック マーケットが2020年までに50億ドル規模で存在すると述べています。
IoTの弱点
明らかに、脅威は現実的かつ重大であり、組織はIoTベースのビジネス ソリューションの導入の障壁となる主要な脆弱性領域を理解しています。451 Researchが調査した企業は、IoTインフラストラクチャ全体、特にIoTエンドポイントや他のデバイスや中央ネットワークとの接続を含むネットワーク エッジの弱点について懸念を表明しました。最も重要な懸念事項は、エンドポイントの物理的なセキュリティ、接続されたデバイスの認証、アプリケーション ソフトウェアのセキュリティ、IoTデバイスと中央ネットワーク間の接続です。IoTデータ ストアのセキュリティやサービス拒否攻撃に対する脆弱性などの問題は、より脆弱なエッジ デバイスやインフラストラクチャに関連する課題よりも下位にランクされます。
IoTセキュリティのベストプラクティス
IoTに接続された資産を保護することは大きな課題です。デバイスは物理的な攻撃やオンライン攻撃に対して脆弱であるだけでなく、通常、電子セキュリティをサポートするためのプロセッサ サイクル、電力、メモリなどのリソースも限られています。適切なセキュリティは、許可されたユーザーの妨げになったり、アプリケーションの全体的な効率やビジネス価値を損なったりしないように、目立たないものでなければなりません。
現行の制約の範囲内で適切なセキュリティを実装するには、さまざまな種類のデバイスが直面する潜在的な脅威と、それぞれのケースにおける侵害の考えられる影響を分析し、一貫したセキュリティ ポリシーとベスト プラクティス ガイドラインを策定することが重要です。の IoTセキュリティ財団 デバイスとデータのセキュリティ侵害、およびそれらがプライバシー、ビジネス活動、インフラストラクチャ、安全性に与える影響を包括的に研究し、一連のセキュリティコンプライアンスクラスを策定しました。この分析により、IoTデバイスが意図された用途に対して適切なセキュリティを備えて設計され、ネットワーク プランナーによって適切に展開されることが保証されます。表1では、デバイスの整合性、デバイスの可用性、およびデータの機密性に関連して、これらのコンプライアンス クラスについて説明します。
表1. IoTエンドノードのIoT Security Foundationコンプライアンス フレームワーク。
IoTセキュリティ フレームワーク
IoTセキュリティに対するあらゆるアプローチでは、ハッカーがネットワーク内の最も弱いリンクをターゲットにし、より価値の高い資産に到達したり、コア ネットワークに侵入したりするためのエントリ ポイントまたは踏み台として、最小かつ最も低コストのノードを使用することを認識する必要があります。IoTデバイスを設計するときやネットワークを設定するときには、利用可能なすべてのセキュリティ技術が必要に応じてホスト システムの機能の範囲内で評価および実装されるように、構造化されたアプローチが必要です。IoTデバイスに適用可能なセキュリティ対策には、次のようなものがあります。
- 改ざん検出
- 安全なデータストレージ
- データ転送のセキュリティ保護
- 認証
- セキュアブート
- 安全なファームウェアアップデート
- IoTデバイスの安全な製造
- IoTエンドノードの安全な廃止と関連資産(データ)の適切な取り扱い
- セキュリティポリシーと手順
これらの考慮事項は、組み込みシステムの設計の初期段階(暗号化コプロセッシングを統合したマイクロコントローラや個別のハードウェア セキュア エレメントの選択など)から、製造、試運転、現場での保守、ネットワークからの削除、耐用年数終了時の廃棄まで、IoTデバイスのライフサイクル全体にわたります(図1)。
図1. 製品ライフサイクルにおけるセキュリティ上の懸念。
IoTセキュリティ財団が開発したような厳格なコンプライアンス フレームワークや、適用可能なハードウェアおよびソフトウェア ベースのセキュリティ技術を明確に把握したとしても、IoTデータは、プライベート企業ネットワークであれクラウドであれ、ネットワーク エンドポイントとコアの間で多種多様なセキュリティ上の課題に直面しているという事実は変わりません。多くのプロバイダーから幅広いセキュリティ ソリューションが提供されていますが、開発者は、選択した要素を評価、選択し、すべての潜在的な脆弱性を最適にカバーする一貫した全体に組み合わせるための支援を必要としています。図2は、物理的攻撃とオンライン攻撃から保護するためのIoTエンドポイント設計のセキュリティ戦略を示しています。
図2. エッジノード設計のセキュリティ戦略。
IoTセキュリティソリューション
Arrow Connectは、エンドポイントやゲートウェイなどのIoTデバイスを管理するためのソリューションを統合することで、このようなリソースを提供することを目的としています。これには、ゲートウェイとエンドポイント用のソフトウェア開発キット (SDK) と、デバイスからクラウド管理までの設計が含まれます。これには、ネットワーク上のデバイスの安全なプロビジョニング、認証、セキュリティ キーの処理、デバイスの識別、デバイスの管理、エンドポイントの優先順位、グループ化と階層、データの取り込み、データの保存、データ アクセス、およびOver-The-Air (OTA) ソフトウェア更新のためのソリューションが含まれます。
結論
IoT上のデータとデバイスを保護することは不可欠ですが、同時に非常に困難です。資産は広範囲に分散され、放置され、悪意のあるハッカーによるあらゆる種類の攻撃にさらされる可能性があります。セキュリティ専門家によって開発された明確なフレームワークとベスト プラクティスは、デバイス設計者やネットワーク プランナーが、それぞれのケースでもたらされる脅威の重大度に合わせて、適切なセキュリティ対策を適切な場所に導入するのに役立ちます。IoTセキュリティは多面的な課題であり、各側面に適切に対処するための追加の支援により、開発者は最も弱いリンクでも必要な強度を確保できるようになります。