IoTセキュリティ: 基本を無視しないでください

モノのインターネット (IoT) は確かに多くの議論の的となっていますが、多くの人にとってはまだ企業に実質的な影響を与えていない消費者向けの流行りに過ぎません。

もちろん、ビジネス戦略の一環としてこれらのメリットを活用している企業であれば別ですが。

私たちは、ニュースの見出しになるような消費者向けガジェット以外にも、すでにモノのインターネットの一部となっているセンサー、家電、制御システム、さらにはおもちゃの世界が広がっていることを忘れがちです。

つまり、セキュリティにはすでに問題があるということです。

最近の問題の 1 つは、フィッシャープライスのインターネット接続可能なテディベアに関するものです。 セキュリティの問題ですか? テディベアが通信するウェブアプリケーションには、子供の個人情報が露出してしまう脆弱性が含まれていたようです。  これは、インターネットに接続されたハローバービー人形が監視装置に転用される可能性がある複数の欠陥が発見された直後に起こった。

子供はいないんですか？ プリンストン大学による Belkin WeMo スイッチ、Nest サーモスタット、Ubi スマート スピーカー、Sharx セキュリティ カメラ、PixStar デジタル フォト フレーム、SmartThings ハブのセキュリティ テストを読んでみてください。 報告書によると、「Ubiは暗号化されていない通信方法を使用していたため、ユーザーが家にいるかどうか、家の中で何か動きがあったかどうかなどの機密情報が漏れてしまう可能性がある」という。 Sharx と PixStar はどちらも暗号化されていないデータを転送しました。

おそらく私たちは「モノ」の側面に少しばかり焦点を当てすぎているのかもしれません。なぜなら、それは新しいものであり、ネットワークに接続するすべての新しいモノは、対処しなければならない多くの新しいセキュリティリスクを伴うことになるからです。そして、それはまったく新しくてエキサイティングです。 しかし現実には、業務効率化のためであれ、新しい市場の開拓のためであれ、ビジネス モデルに「モノ」を組み込むことを検討しているときには、基本に戻ってその側面もカバーしていることを確認する必要があります。

トラフィックを暗号化するのは簡単なことです。 インターネットには、適切なキーと証明書の管理の重要性について、時には苦労して学んだ教訓が 15 年以上にわたって蓄積されてきました。 しかし、何百万ものデバイスが証明書を再利用し、キーを共有しています。 Web アプリのセキュリティはどうなっていますか? 電子商取引が「e」を獲得し、悪用されるものになって以来、私たちはそのことを繰り返し訴え続けています。

物事は起こっています。それに疑いの余地はありません。 すでに多くがここに存在しており、ダグラス・アダムスが言うように、その一部は「ほとんど無害」であるように思われます。 しかし、それは物だけの問題ではありません。 また、登録、アクティブ化、新しいコンテンツの取得、データの共有、管理など、これらのデバイスがほぼ常に通信するアプリケーションやシステムについても言及します。

あなたのアプリケーションのバックエンド機能を提供するアプリがパブリックアクセス可能として宣伝されていない場合でも、インターネット経由で外部のアプリケーションがアクセスできるようにするには、定義上、パブリックアクセス可能である必要があります。 つまり、構築したものによってアクセスされるすべてのアプリに対してセキュリティ テストを実施することを要求する必要があります。 クラウド内であろうとデータセンター内であろうと、テストと保護が必要です。 

モノのインターネットはアプリケーションのビジネスです。 つまり、モノのインターネットのセキュリティは、モノのセキュリティを確保することと、それをサポートするアプリケーション エコシステムのセキュリティを確保することと同程度に重要です。