home 製造技術 製造設備
工業製造
産業用モノのインターネット | 工業材料 | 機器のメンテナンスと修理 | 産業プログラミング |
home  MfgRobots >> 工業製造 >  >> Industrial Internet of Things >> モノのインターネットテクノロジー

ソフトウェアのリスク:IoTでのオープンソースの保護

現在、世界中で70億のIoTデバイスが使用されています。この数は2025年までに3倍になり、前例のない215億台のデバイスに達すると予想されています、と CAST のLevLesokhinは言います。 。モノのインターネット(IoT)デバイスの市場は爆発的に拡大しています。現在、IoTの実装競争に参加したいと考えているIoTデバイスメーカーは、自社製品を市場に投入することを切望しています。製品を販売するための絶え間ない激しい競争の中で、IoTデバイス用のすべてのソフトウェアが最高水準で製造されているわけではありません。

新製品や新機能を迅速に市場に投入するために、カスタムコードを作成する時間はほとんどありません。特に、事前に設計されたパッケージやフレームワークを GitHub などのオープンソースコミュニティから無料でダウンロードできる場合はそうです。 および Apache 。ただし、IoTコードを使用すると、生活のあらゆるものと同じように、入力した内容を取り戻すことができます。 CASTの2018年のソフトウェアインテリジェンスレポートでは、多くのオープンソースプロジェクトがセキュリティルールへの準拠に不十分であることがわかりました。

無料のオープンソースコードには、防水セキュリティが組み込まれていません。市場競争では、多くの企業が、そのようなコードの構造と内部動作を考慮する厳格なセキュリティチェックに先立って、速度のためにセキュリティを犠牲にしています。 70億台すべての各IoTデバイスも、ハッカーの活動を防ぐのに十分な堅牢性を備えた安全なソフトウェアで実行する必要があります。

オープンソースは誰でも書くことができます。 IoTデバイス用に作成されたソフトウェアのコードの多くは、スタンドアロンデバイスの組み込みソフトウェアの世界のエンジニアによっても作成されています。これは、IoTデバイスが含まれている大規模な企業全体のトランザクションのデータを処理するために構築されたソフトウェアとはまったく対照的です。この後者のコンテキストでデータを保護するには、すべての開発者が持っているものとは異なる種類の専門知識とスキルが必要です。

開発のバックグラウンドに関係なく、誰でもオープンソースソフトウェアに貢献できるという現実があるため、セキュリティと品質の基準が守られていることを確認するのははるかに困難です。非効率的、ずさんな、または悪意のあるコードでさえ、見過ごされてしまう可能性があります。

非常に多くの欠陥がありますが、購入者は気付かないでしょう。多くの人がIoTデバイスをビジネスのレンズを通して見ています。これは、生産効率の向上などの戦略的目的を達成するための手段です。皮肉なことに、IoTデバイスは所有者に背を向けるほど洗練されていますが、攻撃から保護されるほど洗練されているとは見なされないことがよくあります。

世界の目はあなたのコードにあります

プロプライエタリな社内コードの欠陥は実際に発生しますが、コードの作成を契約した開発者だけがそれらについて知っている可能性があります。ソースコードは非公開であり、詮索好きな目からはアクセスできません。ただし、オープンソースは企業が簡単にアクセスできるのと同じように、他のすべての人にとっても同じです。コードは、IoTデバイスが依存するコードベースに組み込まれる前に、多くの開発者やハッカーに見られた可能性があります。

アメリカの小売チェーンTargetは、攻撃者がチェーンで使用されている気候制御システムの弱点を発見した2013年に、クレジットカードの詳細の盗難により、2億2,000万米ドル(1億9,400万ユーロ)の被害者になりました。

クレデンシャルは、気候制御システムのサプライヤから盗まれ、Targetでの展開時に変更されなかったため、インストールされているすべてのシステムが完全に脆弱なままになりました。

自分を壊す前に自分自身をチェックしてください

脆弱性を完全に否定することはできませんが、次の3つの重要なステップによって可能性を減らすことができます。

重要な最初のステップは、製造業者が出荷するIoTソフトウェアに何が含まれているかを理解することです。オープンソースは、注意深く使用すると非常に有益です。ただし、メーカーからエンドユーザーまで、関係するすべての人を保護するために、使用されているコードの出所をそのルーツまでさかのぼって追跡し、既知の脆弱性と相互参照する必要があります。

細心の注意を払い、できるだけ多くの時間をとる必要があります。製造後は、システムへのアクセスが比較的容易なTargetの場合のように、事後に発見された問題が修正される可能性はほとんどありません。 IoTデバイスのプロデューサーは、競合他社に先んじて全力疾走することを熱望しているかもしれませんが、問題が非常に長い間存在する可能性があることを認識しておく必要があります。

デバイスのコードはスタンドアロンではなくなったため、ソフトウェアをエンドツーエンドで分析する必要があります。スキャンしたら、企業はすぐに仕事に取り掛かる必要があります。強調表示されたすべての脆弱性に対処し、回復力の低いトランザクションを強化します。コードの技術的負債を可能な限り削減することが目標であり、時の試練に耐え、将来の所有者を保護する堅牢なシステムを作成する必要があります。

最終的に、Targetの気候制御システムベンダーのオフィスは最終的に米国シークレットサービスの訪問を受け、同社は現在も進行中の調査に参加しており、費用は1,850万ドル(1,630万ユーロ)であることに注意してください。それは他の人に起こる必要はなく、回避することができます。

このブログの作成者は、CASTの戦略および分析担当EVPであるLevLesokhinです。


モノのインターネットテクノロジー

  • 埋め込み
  • センサー
  • クラウドコンピューティング
  • モノのインターネットテクノロジー
    1. IoTのソフトウェアアップデート:SOTAの紹介
    2. BoschIoTゲートウェイソフトウェアのリリース9.0が利用可能になりました
    3. オープンソース用語の紹介
    4. ポータブルソフトウェアエージェント:IoT接続への「Goldilocks」アプローチ
    5. 明日のスマート病院には、よりスマートなソフトウェアが必要です
    6. サイバー攻撃からIoTを保護する
    7. IoT脅威ベクトルの保護
    8. AT&T、TechMahindraが新しいオープンソースAIプラットフォームでコラボレーション
    9. すべてがIoTに移行しています
    10. 欺瞞によるIoTの保護
    11. SoftwareAGはIoTの未来を予測しています