IoTセキュリティ：最近の脅威から学べること

名前のないラスベガスのカジノは、給餌と水温を監視するためにIoT接続された水槽を介してハッキングされました

モノのインターネット（IoT）は、これまで以上に企業に柔軟性と機能性を約束します。より多くの接続デバイスは、企業がサプライチェーンの運用を合理化し、既存のプロセス内の効率を高め、コストを削減し、製品とサービスの品質を向上させ、さらには顧客向けの新しい製品とサービスを作成するのに役立つ可能性を秘めています。

Tata Communications のマネージドセキュリティサービスの責任者であるAvinashPrasadは、企業が利用できるメリットは無数にあると述べています。 、IoTは、ビジネスモデルを強化またはオーバーホールするように設定されています。

IoTデータの大量生成、収集、分析は確かに企業に計り知れない機会を提供しますが、安全でないネットワークや、IoTデバイスを含むその他の脆弱なエントリポイントを介した簡単なアクセスがサイバー犯罪者を魅了しています。

Gartner によると 、組織のほぼ20％が、過去3年間に少なくとも1回のIoTベースの攻撃を観察しています。 2025年までに世界中で750億の接続デバイスが予想されるため、サイバーセキュリティの脆弱性とデータ侵害へのエクスポージャーは今日の5倍に増加します。

したがって、IoTが支配的な新しい時代に入ると、複数の接続されたデバイスを展開するときに企業に迫る脅威を再検討し、それを企業のセキュリティ戦略に組み込むことが不可欠です。これは、すべての企業がサイバー防御計画で考慮すべきIoTの脆弱性の3つの例です。これらは、一見無害に見える製品の侵害から、まったく悪意のあるものまでさまざまです。

1. 最も単純な接続デバイスでさえ脆弱です

ラスベガスに行く多くの人々は、彼らが行ったよりもはるかに少ないお金で戻ってきますが、それは通常、サイバー攻撃とは関係がなく、水槽で始まったものははるかに少ないです。しかし、それはまさに、シンシティの名前のないカジノが最初のサイバーセキュリティ違反を経験した方法です。

カジノの水族館内での遠隔監視と給餌に使用される接続された温度計は、最も支出の多い訪問者に関するデータを取得しようとしているハッカーに最適なアクセスポイントを提供しました。ハッカーは合計10GBの個人データを盗み、フィンランドのリモートサーバーに送信しました。

IoTデバイスはさまざまなセクターでますます使用されており、ラスベガスの水槽の例に見られるように、最も単純な接続デバイスでさえ、企業のネットワークの他のプライベートセグメントへの潜在的なゲートウェイになる可能性があります。世界のデータの80％がプライベートサーバーに保存されていることを考えると、ハッカーを締め出すことがこれまで以上に重要になっています。

2. 接続されたデバイスの物理的な保護と廃棄は面倒な場合があります

注意する必要があるのはハッカーではなく、IoTデバイス自体の動作である場合があります。 2018年、サイバーセキュリティブログ限定的な結果 LIFXミニホワイト電球に弓のこを持って行き、スマート電球自体の脆弱性を発見しました。製品に物理的にアクセスできる人なら誰でも、RSA秘密鍵とルートパスワードとともに、デバイスにプレーンテキストで保存されている所有者のWi-Fiパスワードを抽出できます。

LIFXはファームウェアの更新で脆弱性を修正しましたが、使用中の保護や古いまたは欠陥のあるスマートデバイスの廃棄など、デバイスの物理的状態に関する重要な問題を提起します。エンタープライズビジネスがIoTの採用とアップグレードを続けるにつれ、脆弱性の悪用のこの忘れられがちな側面を常に念頭に置いておく必要があります。

3. 産業規模のマルウェア–サイバーフィジカル脅威

世界は個人情報を盗むマルウェアに慣れてきましたが、ラスベガスの魚やLIFXの例に見られるように、被害者に物理的な脅威を与えることはめったにありません。それは、サウジアラビアの石油精製所の安全システムを標的としたTriton産業用マルウェアが発見された2018年までです。これは、産業安全システムを危険にさらすように設計された最初のマルウェアであり、ハッカーにセンサーを無効にし、致命的な災害を許可する機能を提供すると言われています。ハッカーは意図的に動き、時間をかけてリファイナーシステムに侵入し、より正確なマルウェアを開発しました。

幸いなことに、攻撃が実行される前にそのインスタンスが発見されましたが、それでもハッカーがさらに危険な形式のマルウェアを開発するのを防ぐことはできません。したがって、産業用制御システムがますます接続され、IoTデバイスに依存するようになるにつれて、企業はこれらのレイヤーのセキュリティを組み込むための措置を講じる必要があります。

コンプライアンスの難問

IoTが広く採用されていなくても、多くの企業は、データ保護の潜在的な抜け穴を開くことができるイノベーションに挑戦しています。過去数か月間、ブリティッシュエアウェイズ、マリオットホテル また、さまざまな地方自治体の組織が、大量の個人データの偶発的な漏洩に対して、欧州連合の一般データ保護規則（GDPR）に基づいて多額の罰金を科されています。実際、マリオットのデータ侵害だけでも、英国の居住者に関連する700万件のレコードが公開されました。

課せられるすべての罰金は、欧州委員会（EC）内の規制当局が、個人データを非公開に保つためにセキュリティとコンプライアンスの失敗に積極的に取り組んでいることを示しています。英国を拠点とする新しいIoTセキュリティ法は、接続されたデバイス自体の脆弱なエントリポイントについてデバイスメーカーに説明責任を負わせることを目指しています。それでも、企業は自社のITアーキテクチャ内の弱点（セキュリティとコンプライアンス）に対してより多くの責任を受け入れる必要があります。

では、解決策は何ですか？

IoTの駆け出しの性質は、近い将来、ハッカーにとって魅力的なターゲットになる可能性があります。より多くのテクノロジーが出現し、IT環境がますます複雑になるにつれて、IoTの攻撃対象領域が増加します。企業は、新たに実装されたIoT環境への攻撃の成功によって引き起こされる可能性のある深刻な損害を防ぐために、今日適切な予防策を講じる必要があります。

サイバーセキュリティを強化する1つの方法は、セキュリティコンテキストで機械学習（ML）や人工知能（AI）などの高度な分析によって処理されたIoTデータを使用することです。高度な分析テクノロジーを実装することにより、接続されているすべてのデバイスの動作と使用法の異常を監視し、重大なセキュリティインシデントや誤用を特定することができます。さらに、ブロックチェーンを採用することで、企業はIoTネットワークの中央機関の必要性を排除できます。これは、共通グループ内の接続されたデバイスが、異常なタスクの実行を求められた場合に管理者に警告できることを意味します。

企業は、IoTを搭載した環境を強化する際にも、パートナーに目を向ける必要があります。サイバー攻撃にリアルタイムで対応する高度なセキュリティ防御センターは、専門のサイバーセキュリティプレーヤーによって運営されており、企業にサイバーセキュリティ、コンプライアンス、および新たなテクノロジーのニーズに対応するワンストップショップを提供できます。

このようなサイバーセキュリティセンターは、ログと行動の分析、サイバー脅威インテリジェンス、クラウドベースのセキュリティフレームワーク、機械学習によって駆動される高度な攻撃予測プラットフォームなど、自動化とオーケストレーションのプラットフォームに統合された、多数の高度なツールとプラットフォームを搭載する必要があります。

したがって、これらのセンターは、企業に包括的なセキュリティダッシュボード（ITおよびIoTネットワークとそのセキュリティの鳥瞰図）を提供できます。このようなセンターは、コストとスキルの観点から構築および保守が非常に難しいため、企業は専門家パートナーの深い専門知識を活用して、システムとデータ保護の姿勢を強化し、絶えず変化する規制に対処することができます。

IoTセキュリティへの全体的なアプローチを採用することによってのみ、クラウドベースのパーベイシブコントロールと新しいテクノロジーによる拡張された可視性と保護を採用することで、企業をエンドツーエンドで保護し、データ保護標準に準拠し続けることができます。

要約すると、IoTを恐れる必要はありません。適切な安全対策を講じることで、約束を果たし、提供するように設計されたプロセスとサービスを改善できます。

作成者は、TataCommunicationsのマネージドセキュリティサービスの責任者であるAvinashPrasadです。