サイバーセキュリティ意識とIoT(モノのインターネット)セキュリティ
2019年10月2日、Christine Barry
10月は米国のNCSAM(National CyberSecurity Awareness Month)およびEU(欧州連合)のECSM(European CyberSecurity Month)として知られています。さまざまなサイバーセキュリティ問題に関する意識を向上し、サイバーセキュリティを強化できるように、国民を教育するために、政府と産業界が協同して行っている取り組みです。
NCSAMには複数のテーマがあり、通常は、1週間で1つのテーマに取り組むことになっています。しかし、今年の計画は少し異なっており、ITの所有、ITセキュリティの実現、およびITセキュリティの維持というセキュリティの三本柱に焦点を当てて紹介しました。
この三本柱は13の問題領域に分類されていますが、本稿では、そのうちの1つであるIoT(INTERNET OF THINGS)だけを詳細に説明します。
IoTはインターネットまたはインターネット接続ネットワークに接続するモノとデバイスを表します。このようなモノはケーブルモデム、ルータ、セキュリティカメラ、スマートテレビ、Amazon Echoなどのホームアシスタント、Google Nestなどのドアベル、および携帯電話にアラートを送信できるスマート冷蔵庫です。メールまたは電話に診断情報を送信する車もIoTの一部です。
家庭で使用するスマートデバイスの台数に関係なく、IoTはますます進展しています。政府はインフラストラクチャ管理、治安、水道/電気/ガス、交通、および緊急時の対応と通信に役立つスマートシティデバイスに移行しています。地方は水道/電気/ガス、地元の天気などを監視するためのインターネット接続デバイスも使用しています。また、企業と産業界はIoTを広く使用しています。つまり、カメラとアラームによる機密地域の保護、SCADA(Supervisory Control And Data Acquisition)による産業/インフラストラクチャ/設備プロセスの管理、およびGPS(グローバルポジショニングシステム)による経路の識別と配送の追跡です。
では、このようなモノには、どのような問題があるでしょうか。下記のとおり、複数の問題があります。
- 非常に多くのモノがあります。ガートナーは、デバイスの台数が2018年には112億台だった一方、2020年には204億台に増加すると予測しています。この台数について確実に言える唯一のことは、急増しているということです。シスコはIoTデバイスが2020年には500億台に増加すると予測しています。
- モノの多くは古く、長年、パッチ適用も交換もされていません。
- ほとんどのモノにはデフォルトパスワードの変更、複雑なパスワードの設定などのセキュリティ管理が必須ではありません。
- このようなモノは不正な場合が多いです。つまり、IT管理者が知らないうちに、ネットワークに追加されているということです。オフィス内のサーモスタットの交換などの単純な作業によって、管理されていないIoTがネットワークに追加される可能性があります。
- このようなデバイスの多くが1人の攻撃者に侵入されるだけで、強力な攻撃を受ける可能性があります。2016年、Twitter、Reddit、GitHubなどのサイトをサポートするインフラストラクチャプロバイダであるDynはMiraiボットネットの悪用によるDDoS(分散サービス拒否)攻撃を受けました。攻撃が軽減されるまで、このようなサイトは、使用できなくなるか、パフォーマンスが低下しました。(Miraiの作成者は、この攻撃の罪状を認めています。)
- 少数のスマートデバイスが、正しく接続しているにもかかわらず、大きな損害を及ぼす可能性があります。たとえば、Stuxnetで発生した問題は通常のPCに接続している複数のPLC(プログラマブルロジックコントローラ)の問題です。このPCは、USBドライブによって感染したと見られていますが、貧弱なセキュリティが原因で少数のスマートデバイスが乗っ取られる可能性の好例です。
ユーザが知らないうちに、デバイスの一つが侵入され、攻撃に悪用される可能性があります。
では、デバイスのセキュリティを可能なかぎり維持するには、どうすればよいでしょうか。最も簡単で重要な手順はデバイスを設定した直後にパスワードを変更することです。通常、デフォルトパスワードはデバイスを定期的に使用するシステム管理者向けに編集されたユーザマニュアルとテクニカルサポートサイトまたはメガリストで公開されています。デフォルトパスワードが使用されているデバイスが攻撃者に侵入された場合は、ユーザが攻撃を防止することは、ほとんどできません。
多くのIoTデバイスはアプリで管理されているため、アプリを監視して、アプリがスマートフォンおよびタブレット上の権限を悪用していないことを確認する必要があります。つまり、アプリがデバイスの管理だけに使用されていることを確認するということです。
ユーザマニュアルを保管しておくか、デバイス向けの更新をチェックする方法を知っておく必要があります。デバイスを更新できない場合は、メーカーが適切にサポートしているデバイスに交換することを検討してください。
最後の助言はネットワークがセキュアであることを確認することです。つまり、パスワードのベストプラクティスに従う、エンドポイントセキュリティを使用する、ルータ上のファイアウォールを有効にする、そして機密情報が保存されたデバイスまたは特権が設定されたアプリケーションがインストールされたデバイスからIoTデバイスを分離するようにネットワークの分割を検討するということです。たとえば、セキュリティカメラとストリーミングメディアプレーヤーであるChromecastなどのデバイスを常に分離した方がいいでしょう。
企業と政府が使用しているIoTデバイスの性質が原因で、そのセキュリティは、ますます難解で重要になる可能性があります。このようなデバイスは燃料ポンプから、決済システム、インターネットキオスク、現金自動預払機までのすべてのものです。基本的なセキュリティルールは適用されますが、このようなデバイスを常に監視および保護する特殊なファイアウォールもあります。このようなデバイスの管理者にとって、NCSAMはデバイスごとのセキュリティを評価し、ネットワークを完全に保護できるよい機会です。
セキュリティの三本柱とIoT(INTERNET OF THINGS)の詳細については、NCSAMのWebサイトをご参照ください。
EUが行っているセキュリティ意識の向上への取り組みの詳細については、ECSMのWebサイトをご参照ください。
IoTファイアウォールの優れた背景については、バラクーダが最初のIoTファイアウォールの開発で果たした役割に関するブログをご参照ください。バラクーダのIoTセキュリティの詳細については、バラクーダのWebサイトをご参照ください。
製品のご紹介:Barracuda CloudGen Firewall
原文はこちら:
Cybersecurity awareness and IoT security
October 2, 2019 Christine Barry
https://blog.barracuda.com/2019/10/02/cybersecurity-awareness-and-iot-security/
No comments yet.