IoTのサプライチェーンを微調整することでセキュリティギャップを埋めることができる方法

モノのインターネットに関して言えば、従来のサイバーセキュリティアプローチは統合が難しく、運用デバイスを安全に保つことができません。多くの組み込みデバイスアプローチはシステムを分離し、部分的な保護のみを提供し、既知の攻撃ベクトルに対してのみ提供します。サプライチェーンを微調整するだけで、IoTセキュリティの問題をすべて解決できますか？

私の考えでは、そうです、それをIoTサプライチェーンの信頼として考え始めれば。 IoT Security Foundationは、2016年5月に、IoTセキュリティには単一の所有者はなく、すべてのベンダーが直接の顧客とより広いエコシステムを保護する義務があるという考えをまとめました。

もう少し実用的な方法で考えてみましょう。あなたが製造業者である場合、信頼のサプライチェーンは、ソフトウェアまたはハードウェアをどこから調達しているかを把握し、調達しているものすべての内部のセキュリティを理解しています。つまり、セキュリティの各層の所有権を取得することになります。

問題

Gartnerによると、2017年には世界中で80億を超えるIoTデバイスが使用されると予想されており（2016年の60億から増加）、指数関数的成長の見込みは際立っています。すべての企業が、ビジネスに関係なく、インターネットに接続された製品を作成する必要があると考えるようになりました。

問題は、これらの企業がウィジェットの製造にのみ焦点を当てており、そのウィジェットを構成する部品や部品ではないことです。したがって、IoTサプライチェーンの信頼の必要性。

たとえば、ある会社がWi-Fi機能を備えた光沢のある新しいウィジェットを作成したいとします。通常、Wi-Fiチップを最初から作成することはありません。すでに数百万個のチップを製造している会社からチップを購入します。

しかし、セキュリティを専門としないこのウィジェット作成会社は、チップメーカーのセキュリティプロトコルを理解してテストするのに時間がかかりません。チップがどこから来ているのか、そのチップを実行するために必要なファームウェア、およびそのチップがハッキングされる可能性を理解するのに時間がかからない場合、彼らは非常に安全でないテクノロジーをプロトタイプに組み込んでいます。

最終的なウィジェットになるサードパーティによって構築されたすべてのコンポーネントについて考えてみてください。 IoTデバイスは、その最も弱い層と同じくらい安全です。

確かに、IoT製品を市場に出すという企業への圧力のせいにすることはできますが、残念ながら、それは依然として優れたサイバーセキュリティガバナンスの欠如に起因していると思います。誰もがサイバー姿勢について喜んで話しますが、規制されたセキュリティ基準がなく、IoT製造に関する既存の業界のベストプラクティスが広く採用されていません。私たちは指を指して、私たち自身のリスクのみをカバーしたいと思っています。

解決策は何ですか？

長期的な解決策：認証プロセス。多くの業界グループがこれらの取り組みに取り組んでいますが、これらの基準を待つことはできません。

短期的には、2つのアプローチがあります。

まず、自分自身または企業用にIoTデバイスを購入する場合は、時間をかけて調査を行ってください。優れたセキュリティ実績を持つ評判の良い企業からの多くのオプションがあります。コストを検討するときは、セキュリティで保護されていないデバイスをネットワークに導入することでビジネスが侵害された場合に必要な資金を考慮に入れてください。

次に、IoTデバイスを製造している場合は、デバイスに組み込む各ハードウェアのセキュリティを考慮してください。これをうまくやっている会社の1つは、導電性電気兵器、ボディカメラ、デジタル証拠管理ソリューションの開発者、製造業者、販売業者であるテーザー銃です。 Taserは、ハードウェア、ソフトウェア、およびセキュリティの専門家からなる内部チームを作成して、すべての製品を市場に出す前に精査します。この多様なグループは、製品が既存の製品構成にどのように統合されるかを検討し、セキュリティが存在することを確認し、侵入テストを実施します。同社の先行投資により、新しいデバイスのサプライチェーンが考慮されます。

組織がIoTデバイスに「良い」または「悪い」と刻印するまで、企業はすべてのレイヤーでセキュリティを強化することに熱心に取り組む必要があります。