IoT機器のセキュリティに対する意識を変えよう

IoT機器の開発では、とにかくインターネットに接続することが優先で、セキュリティは二の次三の次。メーカーはこの意識を変えなければなりません。

rsa2016-iot-mindset-FB

メーカーは製品を作るとき、その機器の理想的な使用期間に関わるライフサイクルを意識しています。たとえば、スマートフォンなら2年ごとに買い替えるのが一般的で、自動車の場合は5年程度で下取りに出すものと想定されています。

しかし、ここで問題となるのが、人間は想定された購入パターン通りには行動しないということです。中古の自動車やスマートフォンが欲しければ、中古車のカーディーラーを探すか、eBayを検索するだけで見つかります。いえ、どちらもeBayだけで十分ですね。

モノのインターネット(IoT)が普及するにつれて、この二次販売市場もメーカーにとって重要度が高まっています。なぜでしょうか?たいていの機器は、製品カタログに期限が書かれていて、その「有効期限」を過ぎるとサポートされなくなります。機器がゴミ箱行きを逃れ、中古市場に流通するのが、まさにこのときなのです。

おそらく、こうして前の所有者から買ったIoT機器は、後に発見されるであろう脆弱性からもはや保護されていない可能性が非常に高いでしょう。そして、こういう脆弱性は、間違いなく大量に出てくるはずです。ホワイトハッカーもブラックハッカーも、常に脆弱性を探しているからです。

すでに数多くのIoT機器がハッキングの危機に晒されています。原因はネット接続に使われるソフトウェアなのですが、皮肉なことにそのソフトウェアもベストな時期を過ぎています。ハッキングされたアイテムは、ベビーモニターからエアコン自動車まで、多岐にわたります。残念ながら、ネットに接続されるモノは、ハッキングされる恐れがあるのです。また、IoT検索エンジンの存在が、ハッキングをスピードアップさせています。

企業が製品の開発計画を立て、その製品をネット接続させる方法を検討するとき、サイバーセキュリティは後回しにされがちなことも周知の事実です。何とかしなければなりません。

Booz Allen Hamiltonのトッド・インスキープ(Todd Inskeep)氏によると、企業はIoT機器やその接続について信頼を得ることを考え始めなければなりません。インスキープ氏は2016年のRSA Conferenceで、『サイバー・ウォーズ:信頼の覚醒(Cyber Wars: The Trust Awakens)』というタイトルのプレゼンを実施しました。 Screen Shot 2016-03-11 at 2.22.02 PM

インスキープ氏はこのプレゼンで、製品開発における抜本的な変化の必要性について語りました。コンセプトから研究開発、マーケティング、販売、その間のプロセスに関わるすべての人が、この変化に関わらねばなりません。というのも、最悪のケースについて説明責任を果たせなければ、万一の事態が発生したときに顧客の信頼を失うからです。

理論上、企業は軍隊と似たような形で運営されています。つまり、企業は発生し得るあらゆる事態に前もって備えています。また、プロセスに沿って体系的に運営されてもいます。企業ブランドは、結束力を高める役割を果たします(米国軍隊における「Unit cohesion」に相当)。さらに、分隊スローガンの多くは、多くの人の記憶にしっかりと刻まれています。

誰もが同意するところだと思いますが、変化はセキュリティについて考える企業で起きて然るべきものです。しかし正直なところ、変化が起こるまでには時間がかかるでしょう。では、私たちには何ができるのでしょうか?

何かを買おうとするとき、自分のニーズに合うものが必ずいくつかあるものです。IoT機器を購入する場合は、以下のように自問してみましょう。

  1. この機器をネットに接続する必要が本当にあるのか?
  2. この企業のセキュリティに関する評判はどうか?

1つ目の質問の答えがノーであれば、その製品をパスして、違う製品を購入しましょう。2つ目の質問に関しては、Google検索すれば、その企業に関する情報をある程度入手できます。IT業界の最新ニュースを常に把握しておきたいという方は、Threatpostをご覧ください。

ヒント