IoTサイバーセキュリティ改善法：それはどういう意味で、どのように準備するのですか？

2017年のIoTサイバーセキュリティ改善法の目標は、「連邦政府機関が購入したインターネット接続デバイスやその他の目的のために、最小限のサイバーセキュリティ運用基準を提供すること」です。

提案された法律の下では、ベンダーは政府機関と契約する前に、次のような多くの要件を満たす必要があります。

• デバイスには、既知の脆弱性や欠陥があってはなりません
• デバイスは定期的なソフトウェアアップデートを受信できる必要があります
• デバイスには、リモート管理、更新の配信、または通信に使用される固定またはハードコードされたクレデンシャルを含めることはできません

ただし、個人所有のIoTネットワークの安全性と経済的影響を考慮すると、このような規制は政府との契約を超えて拡大する可能性があります。テッドコッペルは、米国の電力網へのIoT攻撃が大規模な停止を引き起こす可能性があると警告し、イスラエルの研究者がオフィスの街区の照明を制御するための「スマート電球」への攻撃をシミュレートしたとき、これは単なる警戒ではないことを示しました。

企業にとって、このような攻撃は実存的な脅威をもたらす可能性があります–DNSプロバイダー Dyn ビジネスの8％を犠牲にする可能性のあるDDoS攻撃を経験しました。したがって、より多くの規制と業界標準を確実に期待できますが、組織はシステムを保護するために独自の積極的な措置を講じる必要があります。

すべての企業が取るべきステップ

ネットワークを保護するための標準的なアプローチ（パッチ、ファイアウォール、スパイウェアの検出、従業員の教育など）は、IoTの脅威を食い止めるのに十分ではないことは明らかです。ソフトウェアインフラストラクチャとリモートで展開されたデバイスの組み合わせにより、セキュリティに新しい次元が追加され、新しい考え方が必要になります。

ただし、攻撃を防ぐだけでなく、新進気鋭の法律に準拠できるようにするために、企業が取るべきいくつかの手順があります。

• （特定のエリア/リージョンを制御するゲートウェイとは対照的に）個々のデバイスを監視および管理できるため、ネットワークをより詳細に制御するために、個々のデバイスのキーを暗号化します。
• 特定の機能には暗号化キーの派生物のみを使用してください
• キーを定期的にローテーションして、デバイスが危険にさらされた場合でも、ハッカーが短時間だけ使用できるようにします。
• システムの可視性と制御を一元化して、疑わしいデバイスを直接隔離して無効にできるようにします
• ハードウェアベースのセキュリティ、つまりコンピュータシステムにインストールされているソフトウェアではなく物理デバイスによって生成される保護を活用する、アナリストのPatrick Moorheadが主張する戦術は、変更できないためソフトウェアよりも安全であり、マルウェアがオペレーティングシステムと仮想化レイヤーに侵入するのを防ぎます

IDC によると 、IoTへの投資は2021年までに合計1.4兆ドル（1.17兆ユーロ）になると予想されています。ヒューレットパッカードによると、IoTシステムはすでに約250億台のデバイスをオンラインで利用しています。 調査によると、70〜80％は暗号化と十分なパスワード保護が不足している可能性があります。

これらは、考えられる最悪の種類のサイバー攻撃の主要な標的であり、企業はそれらを確実に保護するために今すぐ行動を起こす必要があります。ただし、適切なアプローチを使用すると、企業は安全性の高いIoTネットワークを構築でき、IoTによって提供される途方もない経済的可能性を確実に実現できます。

このブログの作成者は、HeliumのCEOであるAmirHaleemです