スマートデバイスとIoTで安全を保つ

この記事では、「モノのインターネット」または「IoT」という用語を、相互接続されたスマートデバイス、マシンツーマシン（M2M）通信、および関連ソフトウェアを表す包括的な用語として使用します。 /ハードウェアテクノロジー。

モノのインターネット（IoT）テクノロジーによって提供されるデータの洞察と自動化の可能性は、ビジネスの運営方法におけるプロセスの改善やその他の革命の大きな機会を生み出しました。これらのデバイスの人気は大幅に高まっています。世界のIoT市場は、2025年までに世界中のさまざまなIoT業界でアクティブに接続されたデバイスが220億に達すると推定されています。

他の新しいテクノロジーと同様に、モノのインターネットにはサイバーセキュリティの欠点がないわけではありません。 IoTデバイスを実装しようとしている企業は、デバイス、システム、およびデータを安全に保ちたい場合、サイバーセキュリティを主な関心事として実装する必要があります。

IoTはビジネスにどのように役立ちますか？

IoTの傘下にあるテクノロジーは、さまざまなセクターのビジネスに驚異的な効果をもたらす可能性がありますが、産業企業での使用によって大きな影響が実証されています。

IoTデバイスは、3D印刷、人工知能、量子コンピューティング、エネルギー貯蔵の進歩など、急速に発展している他のテクノロジーとともに、産業企業の能力に前例のない革命を引き起こし、 Fourthとして知られるようになりました。産業革命。

IoTデバイスにより、産業企業は次のことが可能になります。

• サプライチェーンをリモートで制御および監視する
• IoTセンサーを既存のテクノロジーと組み合わせて、摩耗の兆候を監視し、必要なソリューションを実行することで、予防保守の予測と実装を支援します。
• リアルタイムのエネルギーデータを通じて、よりエネルギー効率の高い方法でプロセスを運用します

他のセクターの企業にとって、IoTデバイスは、データインサイトの改善という形でかなりの変化をもたらす可能性があります。これらの改善により、在庫/在庫管理の強化、スケジューリングの効率の向上、廃棄物の削減などの機能強化などのメリットを企業に提供できます。

IoTの危険性

IoTデバイスに付属するデータ収集と自動化によって得られる明らかな利点はありますが、リスクがないわけではありません。多くのIoTおよびスマートデバイスのユーザーは、一部のデバイスがどれほどアクセスしやすいかを理解していません。検索エンジンShodanは、パスワード保護が不十分なデバイスをWebで検索し、アクセスできたもののスクリーンショットを表示します。最も顕著な例は、ビジネススペースと個人住宅の両方で使用されるIoTセキュリティカメラからのストリームです。

このリストは包括的ではありませんが、安全でないIoTデバイスが悪用される可能性があるため、十分な注意を払って実装する必要があることを思い出させてくれます。

IoTおよびスマートデバイス向けの組み込みセキュリティの欠如

IoTの力を活用したい企業は、使用するIoTデバイスのメーカーがサイバーセキュリティを真剣に受け止めていることを確認する必要があります。

デバイスを大量に販売し、コストを低く抑えるために、多くのスマートデバイスメーカーはサイバーセキュリティへの投資をやめ、代わりにデバイスの費用対効果を優先して、この進化する市場の購入者を引き付けています。

英国や米国などの政府はIoTサイバーセキュリティ法を真剣に受け止め始めていますが、ほとんどの場合、デバイス開発プロセスでサイバーセキュリティを優先するようにスマートデバイスメーカーに求める外部からの圧力は十分ではありません。

多くのスマートデバイスには、2要素認証（2FA）機能が統合されておらず、収集および転送するデータを暗号化することもできません。スマートデバイスメーカーが開発の初日から優先事項としてセキュリティを実装する責任を負うまで、スマートデバイスはサイバーセキュリティの脅威の実行可能なベクトルであり続けます。

IoTセキュリティ違反の例

歴史的に、IoTデバイスはマルウェア攻撃のエントリポイントとして使用されてきました。さらにコンテキストを提供するために、ここにいくつかの注目すべき例があります。

分散型サービス拒否（DDoS）攻撃

2016年、「Mirai」と呼ばれるボットネットは、さまざまなIoTデバイスのデフォルトのパスワードを悪用して分散型サービス拒否（DDoS）攻撃を実行しました。 DDoS攻撃により、米国東海岸の大部分でインターネット接続が失われました。

この攻撃は比較的簡単に実装できるため、IoTテクノロジーを悪用する方法についての洞察が得られ、侵害されたIoTデバイスを利用した唯一のボットネット攻撃とはほど遠いものでした。

Stuxnetによる原子力機械の破壊の試み

Stuxnetの作成者は確認されていませんが、この非常に回避的なコンピューターワームの広範な研究により、原子力発電所で使用される遠心分離機をターゲットにして、物理コンポーネントに損傷を与えるサイクルを実行するように再プログラムするという目的が確認されました。 Stuxnetは、接続された機械の脆弱性が、データの損失やソフトウェアの無効化よりも大きな問題を引き起こす可能性があるという警告を提供します。これらは、デバイスに深刻な物理的損傷を引き起こしたり、生命を危険にさらしたりする可能性があります。

サーモスタットがデータ侵害につながる方法

ラスベガスの名前のないカジノでは、水族館のサーモスタットを介して、可能な限り予想外の方法で顧客データのデータベースが盗まれました。カジノは、wifi接続されたIoTサーモスタットを使用して、水族館の温度を監視および調整しました。温度計は顧客のデータと同じネットワーク上にあるため、サイバー犯罪者は温度計の脆弱性を悪用してエントリポイントとして使用することができました。

クラウドコンピューティングからフォグコンピューティングへの移行

一般に信じられていることとは異なり、モノのインターネットは外部のクラウドコンピューティングプロバイダーがなくても機能しますが、クラウドレスソリューションへの移行を決定する前に、クラウドコンピューティングの利点を十分に検討する必要があります。

データを完全に制御したい企業は、ローカルで制御される独自の「フォグコンピューティング」インフラストラクチャを活用して、外部のクラウドコンピューティングプロバイダーと共有することなく、IoTデータを処理および送信できます。

フォグコンピューティングは、IoTデバイスからローカルエリアネットワーク（LAN）上のゲートウェイにデータを送信する分散型コンピューティングインフラストラクチャであり、適切な処理ハードウェアへのデータの送信を処理します。このデータ処理にローカルハードウェアを使用することは、「エッジコンピューティング」。フォグコンピューティングとエッジコンピューティングには、待ち時間の短縮やデータの共有方法と送信方法の制御の強化など、一連の利点がありますが、脆弱性がないわけではありません。

フォグコンピューティングとエッジコンピューティングを活用してデータを保存および送信する企業は、収集したデータを保護するために必要な物理的、手続き的、および技術的なサイバーセキュリティ対策の唯一のプロバイダーです。これは簡単な作業ではありません。

主要なクラウドコンピューティングプロバイダーは、ビジネスモデル全体が信頼性とセキュリティに依存しているため、保存、送信、処理するデータを保護するための主要なサイバーセキュリティ対策の実装と維持に多額の投資を行っています。 IoTデバイスを通常の運用のアップグレードとして使用したいだけの企業は、クラウドコンピューティングプロバイダーと同じレベルのセキュリティを合理的に維持できない可能性があり、フォグコンピューティングの使用が同等に堅牢なサイバーセキュリティで実行されない場合、サイバーセキュリティのリスクが高まります。対策。

IoTデバイスを安全に使用する方法

リスクがないわけではありませんが、IoTデバイスは、データの収集と送信を進歩させる前例のない機会を提供し、機能と効率の驚異的な向上につながる可能性があります。 IoTデバイスを安全に使用するために、実装できる重要なセキュリティ対策があります。

機密データの暗号化

クラウドコンピューティングプロバイダーに処理のために送信される前にデータを暗号化するプロセスは、データ送信の遅延を引き起こす可能性がありますが、機密データにとって重要なステップです。 IoTデバイスからクラウドに機密データ（医療データなど）を送信する企業は、そのデータの機密性を真剣に受け止める必要がありますが、より無害なデータは暗号化されないままにしておくことができます。

一意のパスワードを使用する

MiraiボットネットDDoS攻撃で見られるように、IoTデバイスを悪用するために使用される方法の1つは、IoTデバイスの製造元が使用する既知の工場出荷時のデフォルトパスワードを使用して侵入を試みるソフトウェアを使用することです。

工場出荷時のデフォルトのパスワードを一意のパスワードに変更することに加えて、使用するIoTデバイスは、デバイスを工場出荷時のデフォルトのパスワードにリセットできないように製造する必要があります。デフォルトのパスワードにリセットする機能は、サイバー犯罪者に攻撃のための追加のベクトル。

IoTデバイスに個別のネットワークを使用する

機密データの管理者である企業の場合、そのデータはIoTデバイスとは別のネットワークに保持する必要があります。 IoTデバイスのセキュリティは比較的未成熟であるため、それらを別のネットワークに保持すると、メインネットワークへの入り口として使用できる可能性が低くなります。

IoTクラウドとデバイスプロバイダーを賢く選択する

IoTデバイスにクラウドコンピューティングの能力を活用することを選択した企業は、システムに保存および処理するデータを保護するために信頼できるIoTクラウドプラットフォームプロバイダーを慎重に選択する必要があります。また、サイバーセキュリティを重要な関心事として製造されたIoT製品を選択する必要があります。

ニーズに合ったIoTデバイスプロバイダーを決定するときは、次のことを考慮してください。

• デバイスの製造元は、サイバーセキュリティの脆弱性レポートの公開連絡先を提供していますか？彼らはこれらの報告を真剣に受け止めてきた歴史がありますか？
• デバイスメーカーは製品のセキュリティアップデートをどのくらいの期間提供しますか？
• デバイスメーカーは、製造上の義務の一部としてサイバーセキュリティを優先していますか？

IoTクラウドサービスプロバイダー（CSP）のサイバーセキュリティに関する考慮事項：

• CSPには、サイバーセキュリティを真剣に受け止めてきた歴史がありますか？
• データを保護するためにCSPはどのようなサイバーセキュリティ対策を講じていますか？
• CSPは、IoTインフラストラクチャの成長に合わせて、暗号化やその他のセキュリティ対策を大規模に提供できますか？

上記のリストは包括的ではなく、各ビジネスユースケースには固有のサイバーセキュリティの考慮事項があります。 IoTテクノロジーは急速な成長に貢献し続けているため、IoTテクノロジーが提供する洞察と機能の進化を活用しようとしている企業は、まずサイバーセキュリティを優先し、ニーズに最適なソリューションを調査して実装し続ける必要があります。