企業の注意：IoTデバイスはサイバー攻撃への入り口です

モノのインターネットは、企業に前例のないレベルの可視性とサプライチェーンの制御を提供します。しかし、それは潜在的に壊滅的なサイバー攻撃への扉も開きます。

Ponemon Instituteの新しい調査によると、セキュリティで保護されていないサードパーティのIoTデバイスによって引き起こされるデータ侵害が急増していることが明らかになっています。そして、それは一流のセキュリティ専門家が彼らを止めるのに十分なことをしていないことを示唆しています。

サードパーティのIoTリスクに関する研究所の3回目の年次調査には、「企業は知らないことを知らない」というサブタイトルが付けられています。実際、サイバー攻撃の危険性についての無知は、多くの企業の脆弱性を高めているようです。調査によると、IoT関連の侵害は2017年以来少なくとも26％増加しています。 （ほとんどの企業は、サードパーティベンダーから発信された、構内の安全でないデバイスやアプリケーションをすべて認識しているわけではないため、この数はさらに多くなる可能性があります。）

データ漏えいが蔓延している現在、サイバーセキュリティは多くの企業にとって特に優先度が高いとは思えません。少なくともその分野にリソースを投資する場合はそうです。トップマネジメントによる監視は特に不足しています。調査によると、サイバー攻撃のサードパーティのリスクを軽減することを目的としたプログラムを承認した企業の取締役会メンバーは半数未満です。わずか21％がそのリスクの性質を完全に理解しており、それに対処するために必要なセキュリティ対策に「高度に関与」しています。

サイバーリスクを予測することになると、一般的な態度は宿命論の1つであるように思われます。調査によると、回答者の87％が、自分の組織が今後24か月以内にセキュリティで保護されていないIoTデバイスまたはアプリケーションによって引き起こされるサイバー攻撃を経験すると考えています。また、84％が、同じ時間枠内にデータ侵害が発生すると予想しています。

PonemonInstituteの共同創設者であるLarryPonemonによると、この調査の最新版は、600人の有資格の回答者と約450のユニークな企業を利用しています。彼が「折衷的だが興味深いサンプリング」と呼んでいる参加者には、IT、データ保護、サードパーティのテクノロジーおよび規制の専門家が含まれていました。

「サードパーティ」とは、企業のI.T.の外部からのベンダー、請負業者、チャネルパートナー、および内部関連会社の全範囲を意味します。環境については、サードパーティのリスクの評価を専門とするサンタフェグループの一部門である共有評価プログラムの上級顧問であるチャーリーミラー氏は述べています。

外部のIoTデバイスは通常、センサー、スマートデバイス、プリンター、カメラ、ネストサーモスタット、音声起動の携帯情報端末、つまり、企業のネットワークに接続できる電子機器を含むあらゆるものの形をとります。

従業員の個人用デバイスを介してネットワークに導入される多くの安全でないテクノロジーを軽蔑し、経営陣はそれを大きなリスクとは見なしていないとポネモン氏は言います。ミラー氏は、近年市場に出回っているIoTデバイスの数が大幅に増加しているため、問題はさらに悪化していると付け加えています。

これらの各デバイスには固有のIPアドレスがあり、ハッカーやサイバー泥棒が独自のデータにアクセスする可能性のある潜在的な脆弱性を表しています。それらのいずれかをネットワークに導入する前に、企業はデバイスの目的、収集するデータの種類、およびその情報の送信方法を正確に理解する必要があります。

「これらはすべて、この巨大なIoTスペースではまだ具体化されていない基本的な概念です」とMiller氏は言います。

この攻撃の猛攻撃に直面して、なぜ企業は攻撃を防ぐことにもっと積極的にならないのでしょうか。 Ponemonは、問題は組織内の説明責任の欠如にあると示唆しています。さらに、IoTデバイスは魅力的に使いやすく、所有者は企業のセキュリティをどのように危険にさらす可能性があるかについてほとんど考えていません。

Millerは、セキュリティチームや組織の間に啓蒙の兆候が見られます。医療機器メーカーなどの特定の業界は、主に厳しい規制の対象となっているため、他の業界よりもこの問題に重点を置いています。 （たとえば、食品医薬品局には、「人に埋め込むデバイスに関する厳格な規則」があります」とミラー氏は言います。）カリフォルニア州消費者プライバシー法などの新しい法律は、マーケティング目的でのマーチャンダイザーによる消費者データの使用を制限しています。さらに、議員は、IoTベースのデバイスに対してより高いレベルの組み込みセキュリティを必要とする対策でメーカーをターゲットにしています。 （たとえば、多くのユーザーが変更を怠っている、解読しやすいデフォルトのパスワードの使用を禁止します。）

サイバーセキュリティを強化するための他の取り組みは、標準が世界的に受け入れられている米国国立標準技術研究所や、その国の中央銀行であるシンガポール金融管理局などの組織によって主導されています。後者のセキュリティを強化するための5つの推奨事項のうち4つは、Ponemonの調査に含まれています。

「自分の組織内にあり、サードパーティによる使用を許可しているデバイスを理解する必要があります」とMiller氏は言います。 「そして、デバイスの接続方法が生産部門からセグメント化されていることを確認する必要があります。したがって、違反が発生した場合は、ネットワークの非本番セグメントに隔離されます。」

Ponemon氏は、教育が最も重要であると述べ、サイバーリスクの認識は、個々の従業員からエグゼクティブスイート、さらには外部のサプライチェーンパートナーや顧客にまで及ぶ必要があることを強調しています。

Miller氏は、企業はIoTデバイスの使用を確約する前にユースケースを実施して、誤用の可能性を判断する必要があると述べています。たとえば、現代の自動車に見られる監視システムにより、ハッカーは車両をリモートで制御できるようになります。 「運輸業界はこれを非常に真剣に検討しています」と彼は言います。

結局、それはユーザー側の警戒に帰着します。 「サイバー衛生は個人の責任です」とポネモンは言います。 「それは重要です。 IoTだけでなく、すべてについてです。」