セキュリティを向上させるためにすべてのIoTメーカーがすべき3つのこと

モノのインターネットが新しいセキュリティの戦場であることは間違いありません。インターネットに接続されたWebカメラ、HVACシステム、車、テレビ、時計、プリンターなどにより、人々はデバイスをより多く利用できるようになっています。しかし、これらのデバイスは、企業データを盗んだり、DDoS攻撃を仕掛ける可能性のあるボットネットに何千ものデバイスを投げ縄で投げたり、ダラスの156の緊急屋外サイレンを鳴らしたりするハッカーにも門戸を開いています。

関連項目： これらの中国の衛星は、ハッキングに強いデータセキュリティを提供しますか？

セキュリティに関しては、企業は問題が進展する速度に追いつくのに苦労しています。たとえば、Google Project Zeroの研究者は最近、Broadcom Wi-Fiチップに欠陥があり、影響を受けたiPhone、Nexus、Samsungデバイスの近くにいるだけでコードをリモートで実行できる可能性があることを発見しました。別の研究者は、Samsungのスマートウォッチ、電話、テレビ用のTizenオペレーティングシステムに40のゼロデイ脆弱性を発見しました。彼は、コードがこれまでに見た中で最悪だった可能性があると述べました。

一方、Miraiボットネットの新しいバージョンは、DDoSing Webサイトだけでなく、アプリケーション層攻撃を開始し、インターネットの広い範囲を暗くすることができることが最近発見されました。

これらの問題に対処するために、企業は常に新しいソリューションを発明しています。たとえば、Soprisと呼ばれる新しいMicrosoftプロジェクトは、Wi-Fiマイクロコントローラーを再設計することでIoTのセキュリティ問題を解決することを目的としています。このような取り組みは役に立ちますが、スケーラブルな方法でIoTセキュリティの問題に対処するには、企業内でさらに多くのことを行う必要があります。

どのように？ IoTデバイスを製造している企業が自社製品のセキュリティを向上させるためにすべき3つのことは次のとおりです。

＃1：説明責任を果たす

IoT製品を開発している多くの企業はテクノロジー企業ではないため、必ずしもセキュリティを念頭に置いて製品を設計したり、セキュリティを確保するためのベストプラクティスを知っているとは限りません。 IoT市場に参入するベンダーは、デバイスに脆弱性があり、インターネットに接続すると、デバイスが攻撃されたり、攻撃に使用されたりする可能性が高くなることを認識する必要があります。企業がこの現実を認めずに製品を販売した場合、企業はすでに失敗しており、顧客だけでなくインターネット全体を危険にさらしています。

＃2：自動的に更新

自動的に更新する方法がない製品は、座っているアヒルです。

たとえば、店舗の棚を離れた瞬間、Miraiボットネットに対して脆弱なデバイスは事実上寿命が尽きました。デバイスを更新したり、脆弱性を修正したりする方法がなかったため、影響を受けるデバイスの所有者は、新しいデバイスを購入します。デバイスのリコールには費用がかかるため、デバイスを更新する方法を提供することは、顧客をオフにする瞬間的な陳腐化を回避するために不可欠です。

10年のライフサイクルを持っていたWindowsXPでさえ、手動でインストールするためにセキュリティパッチを顧客に出荷しました。 Microsoftは、長期的には、より多くのセキュリティエンジニアを雇用するなど、カスタマーサポートとメンテナンスを計画し、それを初期費用またはサブスクリプションに織り込みました。

同様に、Nestは維持サービスに月額10ドルを請求します。これにより、市場で最も安全なIoTデバイスの1つを作成できます。

＃3：開示を受け入れる

IoTデバイスのメーカーは、倫理的なハッカーが脆弱性を簡単に報告できるようにする必要もあります。企業は、バグレポートの送信先となる、見つけやすいメールアドレスまたはウェブフォームを使用した脆弱性開示プロセスを用意する必要があります。バグを見つけて修正するためにセキュリティの精査を促進したい場合、企業はハッカーに脆弱性の報告を補償するバグ報奨金プログラムを設定することもできます。

バグの影響を受けない製品はありません。IoTデバイスがどれほど普及し、ハッキングに対して脆弱であるかを考えると、IoTデバイスを製造する企業は、人々のプライバシーを可能な限り保護するために必要なすべての予防措置を講じることが不可欠です。