IoTトラフィックの98％が暗号化されていない理由

IoTトラフィックの98％は暗号化されていません。パロアルトネットワークスがUnit42 2020脅威レポートで公開した統計を読んだとき、私はショックを受けたはずだと、 DigiCert のIoTセキュリティ担当副社長であるMikeNelson氏は述べています。 。

昨年、 Z-Scaler レポートは似たようなことを言っています：IoTトラフィックの91％は暗号化されていませんでした。これらの数値が実際の問題を真に表していない可能性はありますが、確かなことが1つあります。それは、完全に暗号化されるべきときに暗号化されていないIoTトラフィックが多すぎることです。

暗号化されていないIoTトラフィックは、攻撃者が中間者（MiTM）攻撃を実行できることを最も明確に意味します。攻撃者は、暗号化されていないデータストリームを利用することで、デバイス間、またはデバイスと大規模なネットワークの間に侵入し、データを盗んだり変更したりする可能性があります。

IoTセキュリティの失敗は十分に文書化されています。接続されたデバイスは、多くの場合、設計プロセスで痛々しいほど明白になりますが、ほとんどの場合簡単に防止できるセキュリティの間違いを犯すメーカーによって迅速に市場に投入されます。その後、これらの障害を考慮に入れていないことが多い企業に熱心に買収され、他の方法で安全なネットワークに展開されます。そこから、攻撃者は単純なshodan検索を介してそれらを発見し、企業への簡単な違反ポイントを見つけます。

それでも、セキュリティの状態がどうであれ、IoTは急速に成長しています。マッキンゼーは、2023年までに430億のIoTデバイスがインターネットに接続されると予測しています。現在の傾向が続き、IoTトラフィックの98％が暗号化されないままになっている場合、サイバー犯罪者にとっては熱狂的なものになるでしょう。

多くの場合、人々がIoTハッキングについて考えるとき、つまり脆弱な人形やドアベルについて考えるとき、デバイスの機能を利用する攻撃は興味深いものですが、最終的にはギミックです。本当の脅威ははるかにカラフルではありません。エンタープライズIoTの展開は、多くの場合、数千とは言わないまでも数百の個々のデバイスで構成されます。これらのデバイスの1つだけを公開したままにすると、安全なネットワークへの簡単な侵入ポイントを提供する可能性があります。

ラスベガスでの今では悪名高いIoT違反で、まさにそのような例を見ることができます。 2017年、ハッカーは水槽を使用してカジノの強盗を実行しました。問題の水槽はセンサーを介してインターネットに接続されていたため、オペレーターは水槽をリモートで操作および制御できました。しかし、設置して間もなく、セキュリティスタッフは、水槽がフィンランドのリモートサーバーにデータを送信していることに気づきました。さらなる調査により、大規模な侵害が明らかになりました。ハッカーはその水槽を使用して、カジノのハイローラーのデータベースから10ギガバイトのデータを盗み出しました。

ハックは3つの差し迫ったポイントを明らかにしました。第一に、盗まれた情報はカジノのシステムで暗号化されておらず、攻撃者が単に拾うことができるということです。第二に、カジノにはアクセスと認証のチェックが不十分であり、攻撃者がそのIoTデバイスから保持している最も機密性の高い情報にアクセスするのを防ぐことができませんでした。最後に、その水槽はカジノのより広範なネットワークに接続されており、その製品の弱点を利用することで、大量の機密データに接続して盗むことができました。

このような攻撃の結果は、財務データや顧客データの漏洩から重要なインフラストラクチャへの攻撃までさまざまです。大規模な電力網の停止、インターネットの停電、全国的な医療システムのシャットダウン、および救命救急へのアクセスによる被害について考えてみてください。リストは続きます。

100％暗号化を利用する

IoTまたはIoTなし–すべての機密データを暗号化する必要があります。すべて–0パーセントを超えるものはすべて受け入れられません。あちこちで間違いを少し許容できるかもしれませんが、暗号化されていないデータは危険にさらされる可能性があります。

だからといって、それ自体に課題がないわけではありません。最新のデータの性質は、ハブからゲートウェイ、ゲートウェイからクラウドなど、常に移動していることです。保管中と飛行中の両方でデータを暗号化する必要があるため、事態はさらに複雑になります。

これは、エンタープライズIoTネットワークに特に当てはまります。エンタープライズIoTネットワークは、通常、一連の異なるエンドポイント、センサー、デバイスで構成されており、さまざまな部分の間でデータを絶えず送受信しています。そのネットワークに1つの亀裂があると、攻撃者が侵入する可能性があり、特に機密性の高い領域であるだけでなく、修正が特に重要な領域になります。

デジタル証明書を備えた公開鍵インフラストラクチャ（PKI）は、その問題を解決し始めています。 PKIは、大規模ネットワークのさまざまなノード間で相互認証を提供し、IoTに適した大規模なデータフローを暗号化できるため、企業は大規模なIoT展開を保護する方法としてPKIを利用し始めています。

業界は進歩を遂げており、大手企業、実務家、規制当局は協力してこれらのデバイスのセキュリティ体制を改善するための措置を講じていますが、まだ長い道のりがあります。セキュリティを優先し、ベストプラクティス（暗号化、認証、整合性など）を実装するには、より多くのメーカーが必要です。実装を段階的に行うことはできません。それだけでは十分ではありません。

大規模な暗号化は、企業がIoTトラフィックを保護するために必要なものです。大手メーカーは注目を集め、PKIを実装しています。残りが追いつくことを期待しましょう。そしてすぐに。

著者は、DigiCertのIoTセキュリティ担当副社長であるMikeNelsonです 。

作者について

Mike Nelsonは、デジタルセキュリティのプロバイダーであるDigiCertのIoTセキュリティ担当副社長です。この役職で、マイクは、ヘルスケア、輸送、産業運営、スマートグリッドやスマートシティの実装など、機密性の高いネットワークやモノのインターネット（IoT）デバイスを保護する、さまざまな重要インフラストラクチャ業界向けの同社の戦略的市場開発を監督しています。

マイクは頻繁に組織と相談し、メディアレポートに貢献し、業界標準化団体に参加し、業界の会議で、重要なシステムとそれに依存する人々のサイバーセキュリティを向上させるためにテクノロジーをどのように使用できるかについて話します。

マイクは、米国保健社会福祉省の GE Healthcare での勤務を含め、ヘルスケアITでキャリアを積みました。 、およびLeavitt Partners –ブティックヘルスケアコンサルティング会社。マイクの業界への情熱は、1型糖尿病患者としての個人的な経験と、治療におけるコネクテッドテクノロジーの使用に由来しています。