すべてがIoTに移行しています

ほぼすべての新しいデバイスでインターネットに接続する組み込み技術が少しあります。インターネット対応になる「もの」の種類には、やかん（真剣に）、トレーナー（スニーカー）、テレビなどがあります。

また、インターネットに接続されていない可能性があるが、ローカルネットワークに接続されていることが多いものには、ペースメーカーやインスリンポンプなどの医療機器が含まれます。 Synopsys、Inc。の経営コンサルタントであるArtDahnertは、この傾向について述べています。 、数年前から発生しており、すぐに停止することはないようです。

問題は、モノのインターネット（IoT）の多くのものもハッキングされていることです。

監視カメラがボットネットに変わったり、テレビがスパイに使用されたり、フィットネスモニターが秘密の軍事基地を特定するために使用されたりする話を見るのに、遠くを見る必要はありません。これらすべての攻撃の問題は、これらのデバイスをサポートするソフトウェアがセキュリティを念頭に置いて構築されていないことです。多くの場合、手遅れになり、IoTデバイスがニュースになるまで、セキュリティについて考える人は誰もいません。

脆弱な車両

これが今日の車ほど明白なところはありません。今日の現代の車両は100を超えるCPU（コプロセッサーユニット）を備えており、数百万行のコードを使用しています。このコードはすべて、アダプティブクルーズコントロール、レーンキープアシスト、セルフパーキング、緊急ブレーキ機能などの高度なテクノロジーをサポートするために必要です。これらの機能はいずれも10年前には存在しませんでした。

新しいコードと新機能の組み合わせ、および市場投入までのスピードのプレッシャーは、セキュリティ制御を含め、一部のコーナーが削減された可能性が高いことを意味します。また、セキュリティの要件が、最終製品になるほど高くないと見なされていた可能性もあります。最初にセキュリティを含めなかった理由が何であれ、安全でない車両は攻撃者が悪用して制御するのに熟しています。

そして、これはまさに起こったことです。自動車のソフトウェアを攻撃するほとんどの悪者は、道路を運転しているときに何千台もの車をクラッシュさせようとはしていません。彼らは悪者がすることをし、物を盗むつもりです。つまり、車両、または少なくとも車両内にあるものを盗みます。それはまさに2016年にヒューストンで起こったことであり、ギャングは車両のソフトウェアのセキュリティ制御の欠如を利用して30人以上のジープを盗みました。

何ができるか？

まず、企業はセキュリティを真剣に受け止め、セキュリティのベストプラクティスを使用して、最初から製品にセキュリティを組み込む必要があります。これは、安全なソフトウェアの作成について開発スタッフをトレーニングすることから始まり、セキュリティをシステム全体に統合するアーキテクチャの開発または使用を含みます。モジュールやコンポーネントを安全に作成することは1つのことですが、システムがデータ（パスワード）をクリアテキストで渡す場合でも、最終的には妥協することになります。

安全なコードとアーキテクチャだけでなく、企業はプロセス内の特定のポイントでセキュリティを統合するSDLCに投資する必要があります。これには、ビルドが開始されるたびにソースをスキャンする静的コード分析ツールが含まれる場合があります。そして最後に、製品が本番環境に出荷される前に製品に対してセキュリティ評価（侵入テスト）を実行することは、セキュリティ要件を検証するためによく使用されます。

ソフトウェアセキュリティは旅であり、これらのステップはほんの始まりに過ぎません。すべてがIoTに移行する中で、モノのインターネットのすべての「もの」は安全である必要があります。

このブログの作成者は、Synopsys、Inc。の経営コンサルタントであるArtDahnertです。

作者について：

Art Dahnertは、情報技術で19年以上の経験があり、アプリケーション侵入テストで9年以上の経験を持つ情報セキュリティコンサルタントです。 Dahnert氏は、Webアプリケーション、デスクトップアプリケーション、およびモバイルアプリケーションの何百ものセキュリティリスク評価、侵入テスト、および脆弱性評価を完了しました。

彼は、以下を含む小規模から大規模までのサイズのシステムとインフラストラクチャのセキュリティを評価しました。シンプルなWebアプリケーション、大企業の銀行アプリケーション、および完全に機能する米軍固有の展開システム。