それらのすべての利点にもかかわらず、IoTデバイスはセキュリティを念頭に置いて設計されていませんでした。これは大きな問題につながる可能性があります。
モノのインターネット(IoT)は、多くの利点をもたらしました。また、ビジネスとITリスクの管理方法も変わりました。過去数年にわたって、ハイジャックされたカメラ、ハッキングされた医療機器、および侵害された産業用制御システムに関する報告が浮上しています。この問題は、5Gが主流になり、組み込みIoTデバイスが一般的になるにつれて悪化するだけです。
IoTは、既存の保護にセキュリティの別の層を追加します。これがそれをとても難しくしている理由です。 IoTは、企業内のすべてに、そしてパートナーやサプライチェーンに至るまで、潜在的にすべてに影響を与えるため、ファームウェア、オペレーティングシステム、TCP / IPスタック、ネットワーク設計、データセキュリティツールなどが含まれます。
Merritt Maximは、Forresterの副社長兼リサーチディレクターです。 「この幅広いエコシステムの脆弱性は見落としがちです」と彼は言います。
これは深刻な問題です。ネットワーク内のすべてのIoTデバイスを識別することは非常に難しい場合があります。これは終わりではありません。
多くのIoTデバイスは、セキュリティを考慮して設計されていません。 「IoTシステムを導入してセットアップする人々は、必ずしもセキュリティを十分に把握しているとは限りません。異なるメーカーの複数のデバイスを追加すると、複雑さが増します」と、PwCのサイバーおよびプライバシーイノベーションインスティテュートのリーダーであるジョーノセラは述べています。
制御不能
IoTセキュリティに関するすべての議論は、単純な事実から始まります。モノのインターネットは、セキュリティの点で従来のITとは根本的に異なります。多くのIoTデバイスにはユーザーインターフェイスがないため、攻撃はデバイス上で直接実行されるか、デバイスを介して実行され、エンタープライズネットワークにアクセスすることがよくあります。マキシムはまた、攻撃はランサムウェアや他の攻撃とは異なるダイナミクスを持つ可能性があると指摘しています。
彼は、「動機は、多くの場合、より大規模な混乱のためです」と述べています。
実際、攻撃により、修復不可能なデバイスや、経済的または政治的な動機付けとなる可能性のあるビジネスの混乱が発生する可能性があります。たとえば、2月に、ハッカーが産業用制御システムを介してフロリダの水処理プラントを侵害し、水質を改ざんしようとしました。 2018年に、サイバー泥棒はロビーにある水族館のインターネットに接続された温度計を介して英国のギャンブルカジノをハッキングしました。カジノの顧客データは泥棒に盗まれました。
多くの場合、メーカーは独自のファームウェア、プロトコル、および設計標準を作成します。彼らは常にシステムの保守とパッチ適用の素晴らしい仕事をしているわけではありません。多くのIoTデバイスは、古いバージョンのWindowsおよびLinuxに依存しています。 IoTは、より多くの頭痛の種をもたらしています。世界に接続することを意図していなかった産業用制御システムと機械が、今では一部になっています。
自身を守る
注目すべきことに、昨年6月にPonemon Instituteが調査した企業の74%は、IoTリスク管理プログラムがIoTデバイスのユビキタス使用によってもたらされるリスクに追いついていないと述べています。
PwCのNoceraは、ネットワーク上で実行されているIoTデバイスとそれらが持つデータを知ることが、強力な保護を構築するための最初のステップであると述べています。
「多くの企業は知らない」と彼は言う。
一部のメーカーがデバイスを明確に識別しないあいまいな名前やコードを使用しているため、これはさらに困難になっています。 Noceraは、グループに責任を割り当て、潜在的な障害ポイントとリスクを特定するためにインベントリを実施することをお勧めします。場合によっては、組織が特殊な資産管理または検出ソリューションを必要とすることがあります。
IoTランドスケープ全体の可視性と制御を確立することが重要です。
Nocera氏は、「組織はさまざまなデバイスのオンとオフを切り替え、それに応じて構成できる必要があります」と述べています。
適切なツールを使用すると、必要なサービスのみがデバイスで実行され、他のすべてのデバイスがオフになっていることを確認できます。構成管理アドレスのもう1つの問題は、デバイスがデフォルトのパスワードや工場出荷時の設定を使用しないようにすることです。
Ulf Mattsson(Protegrityのチーフセキュリティストラテジスト)は、パスワードは定期的に変更する必要があると述べています。彼は、トークン、データの匿名化、多要素認証(MFA)、および生体認証の使用を推奨しています。移動中および保存中のデータ暗号化、次世代ファイアウォール、および侵入防止システム(IPS)はすべて必要です。彼は、これらのシステムを最新の状態に保ち、パッチを適用することが重要であると述べています。
Noceraは、ネットワークセグメンテーションがもう1つの便利なツールであるとも述べています。ハッカーがIoTデバイスを介してネットワークにハッキングできないように、産業用制御、エンタープライズアプリケーション、その他の重要な情報などの主要なシステムを分離することが重要です。
たとえば、「海運会社や物流会社の場合、フリートの管理に使用されるIoTデバイスは、倉庫で使用されるIoTデバイスやその他のシステムと通信する必要がないかもしれません」と彼は言います。デバイスが危険にさらされ、すべてのウェアハウスではなく1つのウェアハウスのみが失われます。
ITをプレイしても安全です
より回復力のあるIoTインフラストラクチャを構築するために使用できる戦略は他にもたくさんあります。これらの戦略には、デバイスの再構成に使用できるクラウドクレデンシャルのロックダウンが含まれます。使用されない機能を無効にします。 IoTインフラストラクチャを定期的に監査し、不要なデバイスを廃棄します。マルウェア保護を最新の状態に保ち、安全性の低いデバイスを交換します。また、5GがIoTフレームワークにどのように影響するかについても知っておく必要があります。
マキシムは、安全なシリコンとルートオブトラスト(RoT)テクノロジーを使用する新しいIoTデバイスを探すことも賢明だと言います。これにより、BIOSまたはオペレーティングシステムレベルが変更される可能性が低くなります。注目に値するもう1つの領域は、データソースとデバイスを拡張し、場合によってはマスクするコネクタ、アプリケーションプログラミングインターフェイス(API)の使用の増加です。
さまざまなツールと戦略を使用してデバイスとデータを保護する包括的なアプローチが最善の防御策です。マキシムは、IoTデバイスまたはシステムは、エンタープライズアプリケーションと同じ厳格なレビューを受け、展開後に厳格なセキュリティ基準に従う必要があると述べています。
彼は、IoTは新たな、時にはより深刻なリスクをもたらし、ビジネスを混乱させたり、死に至らしめる可能性があると付け加えています。