公開日17 May 2019
最小読み取り時間
Views
IDCは、IoTデバイスへの支出は2022年に年平均成長率13.6%で1兆2000億ドルに達すると予測している。
ガートナーは、 接続されたデバイスの総数は2021年までに250億台に達すると予測している。
Statistaは 、現在接続されているIoTデバイスの数は230億台で、この数は2020年までに300億台に達し、2025年までに750億台を超えると予測している。
各調査によって数字は異なるが、接続されたIoTデバイスに関するすべての調査/報告/予測は、ひとつの事実をしっかりと強調している。
では、それは何を意味するのだろうか?答えは、「多くのこと」だ!手始めに、これらの数字は、生活の質が向上し、接続性と通信が簡素化され、技術がより速い速度で採用され、消費者の体験がより優れたものになり、技術応用と採用に関するビジネスの可能性が計り知れないものになることを強調している。しかし、これらすべては、IoTデバイス、ソリューション、関連サービスが強固なセキュリティ基盤の上に構築されて初めて実現する。
ビジネスとプロセスの近代化のためのIoTの採用は急速なペースで始まっているが、安全性、信頼性、情報の機密性と完全性、プライバシー保護に関する基本的な課題は残っている。そのため、IoTプロバイダーは、IoTシステムを構成するコンポーネントにセキュリティの組み込みを開始し、スタンドアローンのソリューションだけでなく、レガシーシステムとの統合によって、ユーザーの安全性を損なう可能性のあるセキュリティの欠点を克服できるようにすることが不可欠です。
IoTシステムを構成する高レベルのコンポーネントを以下に示す。これらは、強固な IoT セキュリティ基盤を確保するために、IoT プロバイダが考慮する必要のあるセキュリティ・チェックポイントでもある。
デバイスまたは機器: 物理的なデバイスやエンドポイント(センサー、ECU、スマートメーター、スマートデバイスなど)は、ネットワークを介して他のデバイスやエンドポイントに接続され、自身や関連する環境に関する情報を収集・提供する。
ゲートウェイまたはハブ: これらのデバイスがイーサネット、RFID、ワイヤレス、ブルートゥースなどを介して外界に接続できるようにする。
ネットワークまたはトランスポート・チャネル: IPネットワーク、GSM/CDMA、衛星ネットワークなど。
円滑化: 例:クラウドコンピューティング、ビッグデータなど。
コンシューマライゼーションまたはアプリケーション: エンドユーザー/顧客が、タブレット、スマートフォン/テレビ、ノートパソコンなどのスマート・デバイスで情報を消費できるようにする。
IoTシステムの構成要素を特定した次の論理的なステップは、システムのセキュリティが破られる可能性のあるすべての弱いリンクを特定する包括的なリスク評価を行うことである。これは、セキュリティの脅威となり得る様々な要因の根本原因分析を行う場合にのみ可能である。そのいくつかを以下に挙げる:
データの暴露:ECG、人工呼吸器などに接続されたEHR/EMR上の患者データのような機密情報や個人情報、人を標的にした車両のGPS位置情報、盗聴、盗撮。
ソフトウェアやアプリケーションへの依存度が高い:インジェクション、XSS、CSRFなど。
不正なリモートアクセス:リモート診断/モニタリング、機器や装置のリモート・メンテナンスは、安全な通信を使用していない場合、傍受や改ざんのリスクがあり、MITM(中間者)攻撃につながる。
未確認、未承認、無効な機器:ユーザー、デバイスの一意な識別、OEMが提供する一意なIDを持たないデバイスの認証とアクセス制御 - これらは、IDなりすまし、フィッシング、不正なデバイス、なりすましなどにつながる可能性がある。
攻撃対象が増加している:センサー、ウェブ・アプリケーション、USB、ワイヤレス、Bluetooth、Zigbee、GSMなどのデータ・ロギング・メディアと組み合わされたインターネットやパブリック・クラウドなどのオープン・ネットワークの広範な活用。
レガシーシステム(旧式のOS/ソフトウェア)は、もはやOEMによってサポートされていない:ソフトウェア・アップデートやセキュリティ・パッチは、レガシー・デバイスではほとんど忘れ去られた概念となり、特にベンダーがサポートを提供しなくなったレガシー・デバイスは、DOS攻撃、マルウェア感染ポイント、ランサムウェアにつながる顧客ネットワークを妨害する入口となる。
簡単に言えば、テクノロジーの役割が浸透し続けるにつれて、脅威に対する認識は多様化しており、IoTシステムは最も弱いコンポーネントほど強くないということだ。従って、システムの各コンポーネントを注意深く監視し、セキュリティの侵害を避けるために個別にセキュリティを確保する必要がある。セキュリティの脅威に即座に対抗できる特効薬はないが、コンプライアンス、インテグリティ、アベイラビリティ(CIA)の3要素に従うことや、深層防御(Defense-in-Depth)のような理路整然としたアプローチを実施することなどのベストプラクティスは、攻撃に対抗するための層状の防御システムを構築することによって、攻撃の芽を摘む上で大いに役立つ。
レイヤード・アプローチは、各段階でシステムのコンポーネント・セキュリティに対処するもので、先に挙げた物理デバイスからゲートウェイ、ネットワーク、ファシリテーション、アプリケーションやコンシューマライゼーションまでの段階と同じである。
各レイヤーにおけるIoTリスク対策のベストプラクティスについては、LTTSのホワイトペーパー「IoTのセキュリティに関する考察」をお読みください。
IoTセキュリティ侵害の規模と影響は、金銭的詐欺にとどまらず、人命に危害を及ぼし、社会の混乱に至る可能性を秘めています。スパイダーマンの名言にあるように、"大いなる力には大いなる責任が伴う"。IoT、その出現、そしてその成長は、人類が考案したそのような力のひとつであるが、同時に、消費者と消費者の情報との整合性がしっかりと保たれ、誰にも引けを取らないと評価されるようにすることは、IoTシステム作成者、製品設計者、ソリューション・ビルダー、サービス・プロバイダー一人ひとりの責任でもある。
LTTS Whitepaper Security Considerations for IoTより引用。
