ETSI IoT標準：規制当局はIoTデバイスを保護するのに十分なことをしていますか？

ETSI によるモノのインターネット（IoT）セキュリティの新しい標準の発表 2020年6月の技術委員会は情報セキュリティ業界で大歓迎でした。 ETSI EN 303 645は、インターネットに接続された製品のセキュリティベースラインを設定し、デバイスを保護してコンプライアンスを確保するためにメーカーが実行できる手順の概要を示す13の規定を示しています。アラングラウ、 IoTおよび組み込みソリューション担当副社長、 Sectigo レポート。

新しい規制は、モノのインターネットにおけるサイバーセキュリティの緊急の問題に目覚める議員や規制当局の増加傾向に沿っています。 2020年の初めに発効したカリフォルニアのSB-327、およびオーストラリアの2019年の「ドラフト行動規範：消費者のためのモノのインターネットの保護」フレームワークに続いて、政府および国際機関が取り組み始めていることが明らかになりました。真正面から挑戦してください。

英国が2020年1月に新しいIoTフレームワークを発表したとき、この動きはIoTセキュリティが何年も不十分であったという議論を促進し、規制当局はそれを修正する準備ができていました。

ただし、疑問は残ります。これらの法律と標準は、IoTデバイスのセキュリティに対処するのに十分な機能を果たしていますか？

IoTの保護における法律の役割

何年もの間、デバイスは、防御可能な境界で保護された、閉じた独自のネットワークで動作していました。インターネットの出現により、これらのシステムはTCP / IPを介して相互にリンクされるようになりました。これの利点については、IoTデバイスが消費者の生活の中心であり、企業のネットワークでもあるため、多くの議論がなされてきました。そして、彼らの成長は止められないままです：アナリストハウス IDC 2025年までに、416億の接続されたIoTデバイスが使用されると予測しています。

しかし、立法上のコンセンサスはこの成長に追いつくことができませんでした。市場が拡大するにつれ、新しいベンダーやメーカーは、人気がありアクセスしやすい市場に参入するために、価格設定で競合他社を下回ることがよくあります。コストを削減することでソリューションを迅速に市場に投入できますが、適切なレベルの認証とセキュリティを組み込むために十分な時間と組織の焦点を投資している人はほとんどいません。

効果的なIoT立法フレームワークがないため、メーカーは何十年もの間、セキュリティがほとんどまたはまったく組み込まれていないデバイスを開発してきました。多くの場合、サイバー犯罪者の障壁として静的なクレデンシャルしかありません。セキュリティが義務付けられない限り、メーカーは安全性を犠牲にして手抜きを続けます。 IoTセキュリティが設計によって、製造時点で、およびデバイスのライフサイクル全体にわたって実装されることを保証できるのは、法律と徹底したガバナンスだけです。

セキュリティに向けた小さな進歩

一方では、IoTデバイスを保護するために行われた進歩的なステップを見るのは素晴らしいことです。一方で、まだまだ変更が必要であり、より幅広いコンセンサスに達する必要があることは明らかです。

たとえば米国を見ると、SB-327は、メーカーが次世代のセキュリティおよび認証ツールを使用するための明確なフレームワークを示しています。これは重要なステップであり、以前のセキュリティ慣行で深刻な不備を明らかにしたボットネットを標的にするように設計されました。残念ながら、これはカリフォルニア州に固有の孤立した法律であり、全国的に拘束力はありませんでした。

ETSI EN 303 645のレンズを通して見ると、同様の結論に達することができます。これは、業界、学者、政府の関係者間のコラボレーションの結果ですが、新しい標準は強制力がなく、法的拘束力もありません。

メーカーとIoTの利害関係者が目指すべき単一の目標を提示しますが、業界には、説明を求められることなく、より安価で、多くの場合、それが可能であるという理由だけで、緩いセキュリティプロセスを実装する傾向があるものもあります。

IoT全体のセキュリティの課題に対処する先進的な標準を作成することは重要ですが、これは、製造業者がデバイスを作成するときにサイバーセキュリティフレームワークを遵守することを保証する立法議題で補足する必要があります。

組み込みが最適な理由

政府や業界団体がIoTセキュリティコンセンサスの作成にもっと積極的に取り組む必要があることは明らかですが、これらのデバイスを保護するためのベストプラクティスについてはいくつかの議論があります。現在一般的に知られているのは、製造時点での組み込みのセキュリティとPKI認証の重要性です。サプライチェーンがますます複雑になっているため、OEMは、デバイスが作成された瞬間にデバイスが安全であることを保証することに重点を置いています。

デバイスを認証および暗号化するには、悪意のある攻撃者によってサプライチェーンに沿ってさらに改ざんされないように、PKIを組み込む必要があります。チップセットが製造のファウンドリ段階からの証明書によって認証および保護されている場合にのみ、デバイスのライフサイクル全体で安全性が維持されます。

グローバルサプライチェーン–グローバルスタンダードの時期ですか？

IoTは、デバイス、人、企業の間に比類のない接続性をもたらしますが、家庭やビジネスのネットワークにもリスクをもたらします。業界の巨大な成長により製造プロセスが複雑になり、デバイスは非常に複雑なサプライチェーンや国境を越えて作成されるようになりました。

この問題のある課題に取り組むために、議会が協力して、ライフサイクルのすべての段階でデバイスを保護するグローバルなコンセンサスを作成する時が来ました。この方法でのみ、サプライチェーンと最終製品の安全性が維持され、資産、生命、およびデータのセキュリティに対するリスクが回避されます。

著者は、SectigoのIoTおよび組み込みソリューション担当副社長であるAlanGrauです。