IoTの開梱、シリーズ：セキュリティの課題とそれに対して何ができるか

ネットワークエンジニアは、モノのインターネット（IoT）イニシアチブを展開する際に多くの課題に直面します。今後数週間にわたってCiscoIoTブログに戻り、IoTの上位3つの課題と、それらを克服するためのベストプラクティスについて詳しく説明します。

まず、モノのIoTにおける最大の課題は、セキュリティです。 。

IoTのセキュリティの脅威は、従来のIT環境のセキュリティの脅威とは大きく異なります。従来のITでは、セキュリティの懸念は何よりもまずデータの保護に集中しています。攻撃者はデータを盗み、データを危険にさらし、身代金を要求する可能性があります。最近、彼らは悪意のある暗号マイニング活動のために計算能力を盗むことに同じように興味を持っています。

これらのセキュリティ上の懸念はIoTに存在しますが、データを超えて物理的な世界にまで及ぶこともあります。少なくとも、IoTセキュリティインシデントは、人々に不便をかけたり、運用を中断したりして、数時間以内に数百万ドルの損害を引き起こす可能性があります。最悪の場合、これらの攻撃は、物理プロセスを制御するシステムに損害を与え、生命を危険にさらす可能性さえあります。次の例を検討してください。

• 2010年の悪名高いStuxnet攻撃は、MicrosoftWindowsソフトウェアの複数のゼロデイ欠陥を利用しました。目的は、シーメンのStep7ソフトウェアを実行しているPLCを検出して破損させ、マルウェアでこれらを再プログラムして、制御下にある高速回転する核遠心分離機を文字通り分解することでした。この攻撃の最終結果では、イランの核遠心分離機の5分の1が破壊されました。
• 2015年にサイバー攻撃者が複数のウクライナの発電所を制御し、最大6時間にわたって225,000人を超える住民の電力が失われたときに、電力網で最初のサイバー攻撃が成功しました。この複雑で多段階の攻撃は、SCADAシステムの制御を獲得し、外国の攻撃者が変電所をリモートでオフにすることを可能にするだけでなく、消費者が問題を報告したり、停電の状況。
• 2017年、攻撃者は、重要なインフラストラクチャの運用を中断させるように産業安全システムを操作するように設計された、Tritonと呼ばれるICSマルウェアを展開しました。安全計装システム（SIS）に対する攻撃者の特定の標的は、物理的な結果を伴う影響の大きい攻撃（サイバー犯罪グループからは通常見られない攻撃目的）を引き起こすことに関心があることを示唆しています。事件の分析により、捜査官はこれがより広範な攻撃に備えた国民国家の仕事であると信じるようになりました。
• 2019年、世界最大のアルミニウムメーカーの1つであるNorsk Hydroに対するランサムウェアの攻撃により、同社は違反を封じ込めるために手動操作に切り替えることを余儀なくされました。この攻撃は会社に5200万ドルの費用をかけ、アルミニウムの価格を世界的に上昇させました。

これらのインシデントは、IoTシナリオでセキュリティがいかに重要で挑戦的であるかを示しています。

IoTセキュリティの脅威の防止と封じ込め

上記の例では、ネットワークセキュリティのベストプラクティスであるセグメンテーションを使用して、セキュリティ違反を完全に防止するか、少なくとも大幅に封じ込めることができました。セグメンテーションは、セキュリティのために展開する最も効果的なネットワーク設計の原則の1つです。これは広く受け入れられているネットワーキングの公理ですが、もしそうなら、組織はネットワークを完全にセグメント化しないのはなぜですか？

答え：それは複雑です。

コストを削減するために、組織はデータ、音声、およびビデオネットワークを共有の物理インフラストラクチャに統合しました。最近では、IoTデバイスも同じIPネットワークに追加されています。ただし、セキュリティと管理の目的で、これらのサービス間の論理的な分離を維持する必要があります。そのために、ネットワークエンジニアは通常、VLANを使用してネットワークをセグメント化します。このプロセスには、複数のステップ、タッチポイント、ポリシー、およびユーザーインターフェイスが必要です。大まかに言えば、ネットワークエンジニアは、Active Directoryにグループを作成し、ポリシーを定義し、VLAN /サブネットを実行し、ポリシーを実装する必要があります。

セグメンテーションの複雑な性質により、タスクが面倒になるだけでなく、人的エラーのリスクも高まります。たとえば、ネットワークデバイスのアクセス制御リスト（ACL）は、多くの場合、数万行の長さです。エントリの各行の理由が十分に文書化されていないため、管理と理解が困難です。あるデバイスから別のデバイスへのACLに1つの不一致がある場合、潜在的な脆弱性と悪用される可能性のある攻撃ベクトルがあります。

シスコのセキュリティをIoTにもたらす

ネットワーク資産の保護においてネットワークセグメンテーションが果たす重要な役割を考えると、ネットワーク管理者がネットワークを効率的かつ効果的にセグメント化できることが重要です。シスコでは、インテントベースのネットワーキングをエンタープライズネットワークに適用することにより、セグメンテーションを簡素化します。インテントベースのネットワーキングのこの特定の表現は、ソフトウェア定義アクセス（SDA）と呼ばれます。

ソフトウェア定義アクセスにより、ネットワーク管理者は、どのネットワークデバイスが相互に通信できるかを識別するために、アクセス制御リストまたはグループポリシーの言語を話す必要がなくなります。ネットワーク管理者は、マウスを数回クリックしてドラッグアンドドロップするだけで、音声、データ、ゲストアクセスワイヤレス、BYOD、IoTなどの個別の仮想ネットワークを確立できます。今年は、これらの機能をIoTエッジにまで拡張しました。これにより、駐車場、配送センター、製造施設、空港、海港などを、カーペットを敷いた企業、つまりCiscoと同じ1枚のガラス板からすべて管理できるようになりました。 DNAセンター。

ネットワーク管理者は、集中管理ダッシュボードであるCisco DNA Centerを使用して、企業全体にネットワークをプロビジョニングし、ある仮想ネットワークに割り当てられたデバイスが別の仮想ネットワーク上のデバイスと通信できないようにすることができます。実際、1つの仮想ネットワーク上のデバイスは、他の仮想ネットワークを見ることさえできません。彼らに関する限り、彼らが接続している仮想ネットワークは、存在する、またはこれまでに存在した唯一のネットワークです。つまり、IoT仮想ネットワークに割り当てられたIoTデバイスは、同じ仮想ネットワークに割り当てられた他のデバイスとのみ通信でき、他には何も通信できません（誰も通信できません）。このような論理的な分離は、マクロセグメンテーションと呼ばれます。

ただし、SDAは、ネットワーク管理者にさらにきめ細かいポリシーオプションを提供します。

マクロセグメンテーションでは、仮想ネットワーク内のすべてのデバイスは、デフォルトで同じ仮想ネットワーク内の他のデバイスと通信できます。したがって、ビデオカメラ、温度センサー、バッジリーダーがすべて単一の「IoT仮想ネットワーク」に割り当てられている場合、これらのデバイスはデフォルトで相互に通信できます。このような通信はセキュリティの問題を引き起こす可能性があります。単一のデバイスが危険にさらされた場合、攻撃者はそのデバイスを使用してネットワークをスキャンし、組織へのさらなる足がかりを提供する可能性のある他のデバイスを探します（これがどのように行われるかを監視します）。そこで、マイクロセグメンテーションが登場します。

Cisco DNA Centerでは、ネットワーク管理者は、同じ仮想ネットワーク内で他のデバイスと通信できるデバイスを定義するマイクロセグメンテーションポリシーを簡単に作成できます。 。 （デモ、Cisco Extended Enterprise with DNA-Cをご覧ください。）管理者は、これらのデバイスが許可されていないデバイスと通信しようとした場合にアラートを送信するようにポリシーを設定することもできます。これは、潜在的なセキュリティ攻撃を示している可能性があります。上記の例では、ビデオカメラは他のビデオカメラとのみ通信するように構成でき、温度センサーまたはバッジリーダーと通信しようとすると、アラートが発行されます。

SDAを使用してマクロレベルとミクロレベルの両方でネットワークをセグメント化する機能は、セキュリティ違反の防止と封じ込めの両方に対する優れたソリューションです。エンタープライズネットワークのニーズに対応するために簡単に拡張でき、シスコのお客様はこれらの同じ概念をIoTネットワークに適用できます。さらに、エンタープライズネットワークで使用しているのと同じ管理インターフェイスを使用して、効率的かつ効果的にこれを行うことができます。もっと知りたいですか？オンデマンドウェビナーであるCiscoIoT：Public Safety、Oil and Gas、ManufacturingSectorsのドライブトランスフォーメーションをご覧ください。また、エンタープライズIoTが直面しているその他の主要な課題については、CiscoIoTブログを確認することを忘れないでください。