長年にわたり、サイバーセキュリティの専門家は、多数のIoT(Internet of Things)デバイスが市場に投入されることを嘆いてきました。なぜそんなに心配なのでしょうか?初期の頃から、インターネットに接続された電気ケトルや防犯カメラ、さらには冷蔵庫など、多くの人々にとって非常に便利であるように思われました。では、なぜ情報セキュリティの専門家がそこまで心配するのでしょう?
ネットワーク攻撃におけるラテラルムーブメントは、最も一般的な攻撃手段の一つとなっていますが、ホームネットワークにIoTデバイスを接続している人の多くは、ネットワークのセグメンテーションはもちろんのこと、機密情報が保存されている可能性のある自宅のパソコンなど、より価値の高い資産からIoTデバイスを隔離するゲストネットワークの設定方法さえも知らないことが多いようです。
ホームネットワークだけでなく、企業ネットワークもIoTデバイスの危険にさらされており、悪名高いカジノ・アクアリウム攻撃を受けました。幸いなことに、この攻撃は例外的なもののようでしたが、言えることは明確です。
- ほとんどのIoTデバイスは、セキュリティを考慮して作られていません
- ほとんどの人は、これらの製品に潜在する脆弱性に気づいていません
- これらの欠陥を修正するためのアップデートの仕組みを持っている製造者はほとんどいません
では、IoTの状況が改善されたら良いのでしょうか?それだけでは、サイバーセキュリティ業界や一般の人々に安心感を与えることはできません。セキュリティのみでなく、プライバシーも重要です。最近の調査によると、63%の回答者が、「人やその行動に関するデータを収集するコネクテッドデバイスを『気味が悪い』と感じる」と答えています。今や遍在するデバイスのセキュリティとプライバシーの両方の問題に対処する方法はあるのでしょうか?
NISTの新しいガイダンス
幸いなことに、米国標準技術研究所(NIST)が新しいガイダンスを発表しました。新しいIRレポートでは、「IoTデバイス製造者向けサイバーセキュリティ指針」, 「IoTデバイスのサイバーセキュリティ機能のコアとなるベースライン」や、「連邦政府のためのIoTデバイスのサイバーセキュリティガイダンス」のドラフトを発表しました。NISTは、これらのガイダンスでデバイスに対する信頼性を向上させるための方向性を示しています。これらの新しいドキュメントはサイバーセキュリティフレームワークの強化に向けて継続されます。
他のすべてのシステムコンポーネントに適用される厳格な基準に従うことなく、IoTデバイスが連邦情報システムに入ることはあり得ないでしょう。SP800-213のイントロダクションで説明されているように、IoTデバイスは「情報システム」のレベルを下回り、より「システム要素」のレベルで機能します。今回発表した目的は、連邦政府機関がその「デバイスの視点」からシステムセキュリティを検討することを支援することです。
セキュリティの専門家の中には、IoTのセキュリティ上の脆弱性についての悪いニュースを見て、このようなデバイスがネットワーク上でどのような目的を果たすかを考える人がいるかもしれません。NISTのドキュメントでは、より実践的な視点から、IoTデバイスが実際にシステムのセキュリティを支えていることを示しています。これは、一見するとそれほど突飛な話ではありません。温度センサーやバックアップバッテリーの電圧モニター、さらにはデータセンターのドアアラームなど、これまでネットワークで使われてきた「伝統的な」ツールの多くは、システム要素の範疇に入ります。
実用的なアドバイス
NISTのアプローチは非常に実用的な視点であります。IoTデバイスのセキュリティを正しく適用すれば、レガシーシステムよりも優れたセキュリティ管理が可能であることは容易に議論できます。レガシーシステムの中には、ダイアルアップモデム程度のものでガードされているものもあり、そのようなものはウォーダイアリング攻撃のような単純なものに影響されやすいかもしれません。
これは決して、NISTがIoTデバイスに内在するリスクを否定していると解釈されるべきではありません。そこで、公的レポートの発表が重要になってくるのです。NIST.IR.8259Aは、製造、統合、取得の観点から、IoTデバイスのベースラインを確立するためのガイダンスを提供しています。IR.8259では、「IoTデバイスメーカーのための基礎的なサイバーセキュリティ活動」として、IoT製造者が市場にリリースする前にデバイスに組み込むことができる方法を取り上げています。
これらのガイドラインが、NIST.IR.8228で提示されているIoTプライバシーの方向性とともに遵守された場合、Considerations for Managing Internet of Things Cybersecurity and Privacy Risks(モノのインターネットのサイバーセキュリティとプライバシーリスクを管理するための考察)」と題して、最終的にすべての人に利益をもたらすIoTセキュリティの新時代を迎えることができるかもしれません。どのアドバイスも実用的ですが、それを実行するには、適切なトレーニングを受けた資格のあるサイバーセキュリティの専門家が対応することがベストです。
バックミラーはありません
NIST.IR8259の簡単な注意点としては、次のように書かれています。
“本書は、新しいデバイスの製造に情報を提供することを目的としており、すでに生産されているデバイスには適用されませんが、一部の情報はそのようなデバイスにも適用される可能性があります。”
つまり、製造者は過去に製造されたデバイスに適用する義務はありません。
全体として、NISTのすべてのドキュメントで明らかにされているように、これらはガイドラインであり、規制力はありません。しかし、NISTの出版物を長年愛読していると、規制の策定に先行することが多いことを痛感します。
謙虚さを忘れない
また、NISTベースライン文書の著者は、次のように明記しています。
“このベースラインは、唯一の解決法ではありません。このベースラインは、共通な能力の定義を作成するための取り組みを示すものであり、網羅的なリストではありません。そのため、導入組織は自分の組織に合った機能を定義することができます。IoTデバイスのサイバーセキュリティのリスク管理をサポートするために、追加機能を使用することを推奨します。”
著者はいつも、自分たちがこのテーマに関する最終的な言葉ではなく、常により多くの発見と絶え間ない改善の余地があることを謙虚に示しています。いずれにしても、IoTセキュリティに関する統一された考えがようやく見られるようになったのは良いことです。
CISSPはどのようにあなたの成功をサポートできるでしょうか
NISTのドキュメントの作成に使用された理論と慎重な考えをよりよく理解したい場合は、CISSP Common Body of Knowledge(CBK)の学習コースが最適です。CISSPのドメインは、あらゆる組織の効果的なセキュリティプログラムを構築または維持する際に考慮しなければならない、幅広いトピックを網羅しています。
NISTの出版物がトピックの解釈の余地がないように、CISSP CBKのトピックの厳格な検証は、完全に実現されたセキュリティプランと同等のものです。
CISSPは、セキュリティは継続的な旅であり、新しい発見はより安全な情報システムへの進歩をもたらすものであることを理解できるように受講者にお伝えします。
更に読む
CISSP認定を取得することで、セキュリティ専門家としてどのようなキャリアを描くことができるでしょうか。インタビューを通して、可能性を探りましょう。
Cyber Pop-upの創業者兼CEOであるChristine Izuakor氏
CISSPの詳細については、9 Traits You Need to Succeed as a Cybersecurity Leaderのホワイトペーパー(英語)も併せてご覧下さい。
原文記事:
https://blog.isc2.org/isc2_blog/2021/11/the-dawn-of-true-iot-security.html