ブログ

セキュリティのためにIoTの制御を譲る

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2017 年 9 月 21 日公開

私たちは、テクノロジーに普遍的に喜びを感じていると言っても過言ではないと思います。 単なるテクノロジーの導入によって、日常的なものが魔法的なものに変わります。 もちろん、しばらくすると目新しさは薄れますが、その頃にはデバイスや電話を介して制御できる別のタスクがあり、サイクルが再び始まります。

現実には、ほとんどの人は、IT 部門がシステムを管理するのと同じように、(増え続ける)デバイスを管理していません。 IT 関係者でもありません。 「調査対象となった IT プロフェッショナルの 30% と従業員の 46% が、ワイヤレス ルーターのデフォルト パスワードを変更していない」というTripwire の調査結果を覚えていますか? これは、基本的なセキュリティ推奨事項に従うことについて「アメリカ人の 40% が面倒だ、不便だ、またはあまり気にしていない」と回答したという調査結果よりもわずかに高い数値です。5

セキュリティ専門家から追い詰められ、業界紙で叩かれても、少なくとも消費者向け IoT メーカーが取り組みを強化しているように見えるのは驚くには当たらない。 チェックボックスをオンにするだけで、接続されたデバイスに自動更新、パッチ、ホットフィックスを定期的にストリーミングできます。

少なくとも消費者は、デバイスを攻撃者から安全に保つことを約束するメーカーに制御権を譲り渡している。

 

さて、それが消費者空間です。 これまでのところ、IoT デバイスに関する場合であっても、企業内ではこの種の行為は禁止されているようです。 企業は今後も、こうした事柄に対する管理を継続していくことになるだろう。 結局のところ、アップデートが失敗した場合の影響範囲はデータセンター内ではかなり大きくなります。

idc-時間経過

ただし、これは拡張性がなく、私たち自身の調査と Shodan.io の調査から、組織内のIoT デバイスのかなり大きな割合がインターネットに公開されているだけでなく、脆弱であることが十分にわかっています。

そして、脆弱性がある場合、パッチが利用可能であるはずです(おそらく利用可能でしょう)。 しかし、もしその両方が真実であるならば、 Thingbot として採用できるデバイスは少なくなるのではないでしょうか?

2 年前の IDC の調査では、パッチ、更新、インストールに平均的な IT スタッフが 1 週間の 20.7% を費やしているとされており、今後 2 年間で予測されるデバイス数 (現在の 9,259 台から 18,631 台に) を 2 倍に増やして管理できるほど、自動化を導入しても規模を拡大するのは不可能と思われます。

それで、何をするビジネスなのでしょうか?

私たちが答えなければならない質問は、メーカーが企業内にあるデバイスを自動更新するよう奨励すべきかどうかということです。 パッチ疲れやスタッフ不足がそもそもパッチの適用を妨げている可能性があることを認めずに彼らを責めるのは、ある意味不公平だからです。 他の Tripwireの興味深い調査 は次のように指摘した。「2015 年には、6,000 を超える新しい CVE が割り当てられました。 これらの脆弱性の 10 分の 1 だけが担当領域のデバイスに影響を与えていたとしたら、年間 630 件の脆弱性、つまり営業日ごとに 2.5 件の脆弱性を解決する責任があったことになります。

対処すべき脆弱性がたくさんあります。 たくさん、パッチの数も一致します。

残念ながら、パッチが発行されたからといって、すぐに適用されるわけではありません。 Tripwire の調査で指摘されているように、「パッチの展開に必要な時間に影響を与える重要な要素の 1 つはテストです。 回答者に、パッチを展開前にテストしたかどうかを尋ねたところ、デスクトップでは 47%、サーバーでは 55% がテストしたと回答しました。」 セキュリティ パッチを本番環境に導入するのに実際にどれくらいの時間がかかるのかを詳しく調べてみると、驚くべきデータが見つかります。 つまり、回答者の 93% が 1 か月以内にセキュリティ パッチのテストと展開を完了しています。

典型的な中規模から大規模の企業が対処しているシステムとそれに伴う脆弱性の数を考えると、悪くない数字です。

しかし、中国の IP カメラ製造業者1 社に影響を与えるCVE-2017-8225が発表された後、2 か月も経たないうちに 60 万台を超えるカメラがPersirai に感染したことを考えてみてください。 つまり、1日あたり1万台のデバイスです。 つまり、1 か月は 1 か月長すぎるということです。 そして、それは脆弱性の1 つにすぎませんでした。

IoT がより多くのセンサーやモニターの形で企業に侵入し、何がアクセス可能で脆弱であるかは誰にもわかりませんが、IT はどのように対応しているのでしょうか? できる 自動化があっても、対応し続けることができるのでしょうか?

だから私の質問は本当に、あなたはそうしますか?ということです。 もしメーカーが自ら進んで、自社のデバイスのセキュリティ維持の責任をさらに担うようになったら(これは大きな「もし」だとは思いますが、発見のために聞いてみてください)、IoT デバイスの制御権を譲りますか?

ここでその質問に答えることができます(そして、仲間の意見も見ることができます) 。 さあ、声を出してください!