IoT採用におけるサイバーセキュリティとプライバシーの確保

モノのインターネットはまだ始まったばかりですが、デバイスがますますネットワーク化されるにつれて、セキュリティへの影響が企業に頭痛の種を引き起こし始めています。消費者とは異なり、企業が「ハッキングされる」と、すぐに評判の低下、収益の損失、さらには補償請求につながります。

TechWarn のサイバーセキュリティの専門家であるJackWarnerは、企業のオンラインセキュリティに対する最大のリスクは従業員にあると述べています。 。十分な訓練を受けていないスタッフや明確なITポリシーの欠如は、無謀な行動や機密データの不注意な取り扱いを助長します。従業員は、デバイスの機能やリスクに気付いていないか、潜在的に損害を与える可能性のあるリークに気付くというセキュリティ嫌悪の考え方を持っている可能性があります。

これまで以上に、企業はセキュリティに配慮したエンジニアのチームによってすべてのオフィス機器をレビューすることが重要です。デバイスが収集できるデータと、データが準拠する必要のあるルールについて、明確なポリシーを設定する必要があります。このポリシーは、会社が所有および展開しているデバイスと、従業員が所有しているデバイスによって収集されたデータにも同様に適用する必要があります。

ケーススタディ：フィットネスアプリのデータ

2017年11月、フィットネスアプリ Strava ユーザーによって収集されたリリース済みデータ。データはすでに匿名化されていますが、アナリストが秘密の軍事基地の場所を明らかにしたことを発見したため、兵士は基地の周りをジョギングしたり、パトロールしたり、運動したりするときにフィットネスIoTデバイスを着用するため、大きな注目を集めました。

訓練ルートは基地のサイズと場所を概説し、そこに駐留している兵士の数、さらには大まかなパトロール頻度さえも推定しました。 Stravaのデータ漏洩は、米軍の作戦に多大なセキュリティリスクをもたらし、完全に自傷行為です。

このような情報は、商業組織にも簡単に害を及ぼす可能性があります。テスト場所、スカウティング場所、または配達ルーチンは、組織の十分に保護された知的財産である可能性があります。

機密データを明らかにする、従業員が何気なく使用する可能性のあるIoTデバイスは他にもたくさんあります。スタッフの電話は、写真を撮るのに使用されるだけでなく、彼らの場所を記録するかもしれません。従業員は、ソーシャルメディアを介して誤って現在地を共有したり、携帯電話のスマートスキャナーアプリを使用して機密データをPDFに変換したりする可能性があります。パスワードが個人のメールアカウントの下書きフォルダに貼り付けられたり、顧客情報が従業員の個人の連絡先リストに保存されたりして、そこからさまざまなアプリにアップロードされる場合があります。

オフィスのネットワークデバイス

情報セキュリティが最初から考慮されていない場合、一般的なオフィスは、プライバシーを尊重せず、セキュリティリークを引き起こすデバイスですでにいっぱいになっている可能性があります。たとえば、プリンタは印刷されたドキュメントを長期間保持し（またはオンラインでアップロードすることさえ）、空気清浄機は収集したデータを中央サーバーで利用できるようにする場合があります。

サーモスタット、ランプ、ドアロックなどのシステムでさえ、多くの場合ネットワーク機能を備えており、広告主または少なくとも中央のクラウドサービスとデータを共有する場合があります。少なくとも、これにより、侵入者や競合他社が会社の秘密にアクセスする機会が開かれます。

企業ネットワークとイントラネット

私たちは公に直面する情報に対してより敏感になっていますが、組織の内部データベースとネットワークは依然として「安全」と見なされることが多すぎます。多くの場合、ハッカーは自由に行動でき、ネットワーク内に入ると、特権的な立場を利用してデータベースに接続したり、コンピューターをウイルスに感染させたり、重要な機器を妨害したりできます。

ルーターは、オフィスネットワークで最も無視されている機器の1つです。従業員のデバイスは定期的に自動更新を受け取り、サーバーは非常に懸念されていますが、ルーターが検査されることはめったになく、更新を受け取りません。それでも、すべての企業トラフィックはそれらを通過し、ルーターを制御している人は誰でも、インターネットやその他の内部デバイスに送信されたデータを傍受、不正作成、注入、または変更できます。

優れたVPNルーターを手に入れるのは難しいことではありませんが、モデル間の価格差は計り知れず、購入者やオペレーターにはそのメリットがわかりません。

サードパーティのホスティングプロバイダーへの依存

組織のプライバシーニーズに対する最大の脅威は、電子メール、チャット、ファイル管理などのホステッドサービスの広範な使用になっています。

数年前は、少なくとも大規模な組織が独自のメールサーバーを管理し、ドキュメントを内部サーバーに保存することはまだ比較的一般的でしたが、現在はほぼ独占的にサードパーティのクラウドプロバイダーです。メール、チャット、ドキュメント、ソフトウェアコード-多くの企業のオフィス内にはほとんど何も残っていません。

永遠の闘い

インターネットサービスとモノのインターネットデバイスの開発方法は、企業のプライバシーとセキュリティのニーズに大きく反しています。これまでのところ、セキュリティを意識したサービスに対する反発や需要はほとんどありません。

企業にとって最も持続可能な戦略は、顧客から収集する情報の量を制限し、この情報を知的財産とともに、社内で自己管理型の物理インフラストラクチャ上にホストすることです。

このブログの作成者は、TechWarnのサイバーセキュリティの専門家であるJackWarnerです。

作者について

ジャックは、世界クラスのサイバーセキュリティ企業の信頼できるデジタルエージェンシーであるTechWarnで長年の経験を持つ、熟練したサイバーセキュリティの専門家です。情熱的なデジタル安全の擁護者であるジャックは、内部告発やサイバーセキュリティツールなどのトピックに関する専門家の洞察を共有する技術ブログやデジタルメディアに頻繁に貢献しています。