IoTセキュリティ–誰が責任を負いますか？

多くの場合、人々はパスワードを明らかにしたり、簡単に解読できるパスワードを選択したりすることに騙されて、セキュリティチェーンの中で最も弱いリンクと見なされます。これは誤解であり、一部のビジネスオーナーやITプロフェッショナルは、ほぼ完全なレベルの自動化を考えると、IoTは本質的に安全であると信じ込む可能性があります。本質的に安全なものはないので、真実から遠く離れることはできません。

IHS Markit によると、IoT環境はサイバー犯罪者にとってのチャンスの迷宮であり、今年はその迷宮のサイズが15％（前年比）増加して200億台のデバイスに到達すると予想されています。 。これをコンテキストに当てはめると、ユニークなモバイルサブスクリプションの総数は世界全体で49億になります（ GSMA による） ）。 IoTは、接続の観点から、そしてその後、セキュリティ違反の可能性の観点から、P2Pモバイルの使用を小さくします、と Cisco の製品マーケティングのグローバルディレクターであるSanjayKhatriは言います。 IoT。

IoTバリューチェーンは長く複雑であり、すべての要素が不可欠であり、相互に依存しています。チェーン内のすべてのリンクは潜在的な脆弱性を表しており、他のすべての業界と同様に、1つのプロバイダーがすべてのIoTセキュリティの脆弱性をカバーすることはできません。

この断片化された風景は、IoTセキュリティが村を奪うことを意味します。

IoTセキュリティビレッジの構築

デバイスメーカーは、間違いなくIoTリンクへの最も明白なチェーンです。これらの企業は、必ずしも接続されている「モノ」のメーカーではなく、モノを接続できるようにする通信モジュールやセンサーなどの要素の専門メーカーです。

物事を確保する責任を確立することが重要です。技術的責任を負う当事者は、エンドユーザーが責任を負うと考える当事者とは異なる場合があります。ただし、最終的には、エンドユーザー向けの企業が責任を負います。問題が発生した場合は、エンドユーザーが責任を負います。

エンドユーザーはハードウェアプロバイダーを責任者と見なす可能性がありますが、ソフトウェアに問題が存在する可能性が高くなります。開発者は、ユーザーアクセスを認証するための厳密な制御を含める必要があり、IoTソフトウェアには、デバイスとデータの両方を保護するための堅牢な不正検出および防止メカニズムが必要です。

デバイスがセルラー、Wi-Fi、Bluetooth、LPWAN、さらには衛星を介してインターネットに接続するため、ネットワークレベルにも脆弱性が存在します。セルラーの場合、すでにある程度のセキュリティが組み込まれています。セルラー接続は、SIM自体の暗号化キーや暗号化アルゴリズムなどのグローバル標準を使用して、データを安全に送受信します。セルラーIoTを使用すると、デバイスデータをプライベートネットワークに解析して、他のネットワークトラフィックから分離することもできます。

クラウドプラットフォームプロバイダーは、完全に機能するIoTセキュリティランドスケープの開発においても極めて重要な役割を果たします。 IBM、Microsoft などの一部 および Salesforce は、クラウド内の接続されたデバイスによって生成されたデータの保護に焦点を当てます。 IoTプラットフォームは、展開されたデバイスの接続を管理、監視、保護します。

デバイスの保護

デバイスに伴うリスクのレベルは、デバイスがどのように使用されているかによって異なります。接続されたデバイスを保護するには、認証、ユーザーアクセス、アプリケーションアクセス、デバイスライフサイクル管理、データ暗号化などのセキュリティレイヤーをすべて考慮する必要があります。

多くの場合、すべてを保護することとすべてに支払うことの間にはコストとメリットのトレードオフがあります。これは、多数が使用されているデバイスでは非常に顕著です。さらに、デバイスデータにはさまざまなレベルの感度があります。使用されているデバイスの数と数、および収集されるデータの種類を理解することは、適切なデバイスセキュリティ戦略を構築するための重要な最初のステップです。

ネットワークとデータの保護

デバイスがゲートウェイである場合、ネットワークは、IoTサービスを提供するクラウドアプリケーションにデータが転送される接続ハイウェイを表します。この高速道路を保護することは、デバイスを安全に保つことと同じくらい重要です。デバイスは安全かもしれませんが、どのネットワークにも無数のエントリポイントがあるからです。ネットワークを保護するためのオプションは多数あり、使用される戦略は、接続の種類、ネットワーク、およびデバイスの使用状況によって異なります。

Wi-Fiやセルラーなどのワイヤレス接続、および固定回線接続には、それぞれ独自のセキュリティプロトコルのセットがあります。デバイスデータは、インターネットを介してオープンに送信するのではなく、常に安全なプライベートネットワークで暗号化および解析する必要があります。さらに、ネットワーク認証により、ユーザーはネットワーク上のデバイスとネットワーク内のアプリケーションの両方を検証および承認できます。

雲量

IoTは、安全なネットワークを介してデバイスをクラウドに接続することに由来するため、堅牢なクラウドセキュリティの重要性を強調しすぎることはありません。クラウドインフラストラクチャを保護する場合、組織はデジタルと非デジタルの両方のセキュリティ慣行を考慮する必要があります。 ISO / IEC 27001などの標準に準拠することで、情報セキュリティを確保するための全体的な戦略の重要な部分を提供できます。

環境全体を保護することに加えて、企業はIoTアプリケーション自体の制御、特に役割ベースのアクセスと異常検出をきめ細かく行う必要があります。ロールベースのアクセスでは、組織はID管理とアクセス制御リストを実装して、クラウド内のアプリケーションが適切なユーザーに適切なアクセスを提供できるようにする必要があります。異常検出により、IoTプラットフォームは異常または疑わしい動作を検出できるだけでなく、異常の修正も自動化できます。

IoTセキュリティチェックリスト

IoTの成長の予測は非常に大きいですが、大きな見返りには大きなリスクが伴います。バリューチェーン全体の企業は、セキュリティビレッジの全体像を把握する必要があります。もちろん、これは口で言うほど簡単ではありません。

IoTセキュリティ戦略に集中できるように、次のことを確認してください。

• IoTサービスに関与するすべてのエンティティ（ゲートウェイ、エンドポイントデバイス、ホームネットワーク、ローミングネットワーク、サービスプラットフォームなど）のエンドツーエンドの識別と認証を評価します
• エンドポイントデバイスとバックエンドサーバー間で共有されるすべてのユーザーデータが暗号化されていることを確認します
• 地域のプライバシーおよびデータ保護法に従って、「個人」および規制されたデータを保存および使用します
• IoT接続管理プラットフォームを利用し、異常な動作に即座に対応するためのルールベースのセキュリティポリシーを確立します
• セキュリティに対して全体的なネットワークレベルのアプローチを取ります

このブログの作成者は、CiscoIoTの製品マーケティングのグローバルディレクターであるSanjayKhatriです。