IoTセキュリティ：リスクを最小限に抑えながらデジタルトランスフォーメーションを推進する方法

わずか数年で、モノのインターネット（IoT）は、私たちの生活と仕事の方法を根本的に変えました。手首や家にあるガジェットから、私たちが仕事で生活する接続された建物やスマートな工場に至るまで、組織に新たな成長の機会を提供しながら、私たちをより安全に、より幸せに、より生産的にします。このテクノロジーは、すでに大多数の企業に浸透しているデジタルトランスフォーメーション革命の先駆者であり、より効率的で機敏な顧客中心のビジネスを実現するのに役立っています。

ただし、デジタル拡張はデジタルリスクの増大も意味します。最新の数値は、IoT攻撃が前年比で100％増加していることを示しています。したがって、ITチームにとって重要なのは、新しい接続時代に適応したベストプラクティスのセキュリティを通じて、これらのサイバーリスクを最小限に抑えながら、ビジネスの成長をサポートすることです。

デジタル化

IoTは、比較的短い時間で長い道のりを歩んできました。ガートナーは、2019年には142億の接続されたものが使用され、2021年までに合計で250億に達すると予測しています。この膨大な量のデバイスにより、データが爆発的に増加しています。シスコは、すべてのデバイスによって作成されるデータの総量が2020年までに年間600ゼタバイトに達すると予測しています。これは、2015年の年間わずか145ゼタバイトから増加しています。これは膨大な量のデータです。1つのゼタバイトは10億テラバイトに相当します。

なぜIoTは過去数年間でビジネス環境に完全に浸透し始めたのですか？ 2018年からの700人の幹部のフォーブスインサイトの世論調査は説明するのに役立ちます。 60％の企業が新しい事業を拡大または変革しており、同様の数（63％）が顧客に新しい/更新されたサービスを提供しており、3分の1以上（36％）が新しいビジネスベンチャーを検討していることがわかります。今後12か月間で、ほぼすべて（94％）の回答者が、IoTのおかげで利益が5〜15％増加すると予測しました。

IoTセンサー、収集され、分析のためにクラウドに送信されるデータは、明らかにされた洞察のおかげで、顧客体験を強化し、複雑なビジネスプロセスを合理化し、新しいサービスを作成するための主要な新しい機会を提供します。これには、水漏れや停電の早期警告の兆候を監視している公益事業会社、工場フロアの運用効率を改善している製造会社、予知保全に基づいて顧客に新しいアフターサービスを提供しているハードウェアメーカーが含まれます。

リスクはどこにでもあります

IoTおよび産業用IoT（IIoT）システムの使用を拡大する企業が直面する課題は、その過程で企業の攻撃対象領域を拡大することです。 OWASPの IoT攻撃対象領域の概要 ドキュメントは、弱点の可能性のある新しいポイントがいくつ導入されたかを示しています。これらは、ファームウェア、メモリ、物理/ウェブインターフェースなどのデバイス自体から、バックエンドAPI、接続されたクラウドシステム、ネットワークトラフィック、更新メカニズム、モバイルアプリにまで及びます。

このようなシステムの最大のリスクの1つは、ITセキュリティのベストプラクティスを十分に理解していないメーカーによって製造されていることです。これにより、ソフトウェアの欠陥から工場出荷時のデフォルトログインで出荷される製品まで、攻撃者が悪用できる深刻なシステム上の弱点や脆弱性が発生する可能性があります。また、製品の更新が困難であるか、セキュリティパッチを発行するプログラムがないことを意味する場合もあります。

このような欠陥は、さまざまな攻撃シナリオで悪用される可能性があります。これらは、データを盗むレイドの一部として企業ネットワークを侵害したり、主要な運用プロセスを妨害したりするために使用される可能性があります。被害者の組織から金銭を強要するか、単に最大の混乱を引き起こします。より一般的なシナリオでは、ハッカーはインターネットをスキャンして、工場出荷時のデフォルトまたは簡単に推測/解読できるパスワードによってのみ保護されている公開デバイスを探し、それらをボットネットにコンスクリプトすることができます。これは、悪名高いMiraiの攻撃者によって使用され、その後、他の多くの模倣攻撃に適応されたモデルです。これらのボットネットは、分散型サービス拒否（DDoS）、広告詐欺、バンキング型トロイの木馬の拡散など、さまざまなタスクに使用できます。

暗闇の中で

ITセキュリティチームにとっての難しさは、多くの場合、組織内のすべてのIoTエンドポイントの可視性を獲得することであり、検出された一部のIoTデバイスは、IT部門の知識がなくても動作することがよくあります。このシャドーIT要因は、多くの点で企業のBYODの課題の後継です。ただし、ユーザーは携帯電話の代わりに、スマートウェアラブルやその他のアプライアンスを持ち込み、企業ネットワークに接続してサイバーリスクを高めています。たとえば、スマートTVが攻撃者に乗っ取られて会議に参加したり、カフェテリアのスマートケトルが海岸堡として使用されて企業ネットワークに対してデータを盗む襲撃を開始したりすることを考えてみてください。

ITセキュリティのボスにとってさらに悪いのは、この増大するサイバーリスクを、より少ない熟練した専門家に依頼して管理しなければならないことです。実際、ある採用グループによると、2018年第4四半期のIoTの役割に対する需要は、過去3か月から49％急増しました。

規制当局が追いつく

主要なIoT関連のサイバー脅威の影響は深刻である可能性があります。データの損失、ITシステムの停止、運用の中断などは、経済的および評判の低下につながる可能性があります。セキュリティ違反を調査して修正するだけのコストは、法外なものになる可能性があります。深刻な停止は、残業中にITスタッフに多額の資金を投資する必要がある可能性があります。規制上の罰金は、覚えておくべきもう1つのますます重要なコストです。顧客または従業員の個人データに影響を与える問題について検討するGDPRがあるだけでなく、EUのNIS指令は、特定の重要な業界で事業を行う企業にベストプラクティスのセキュリティを義務付けています。どちらも同じ最高罰金が科せられます。

この規制の監視は、大西洋の両側に侵入しています。米国で提案されている新しい法律では、米国国立標準技術研究所（NIST）が、IoTメーカー向けの最小限のセキュリティガイドラインを作成し、連邦政府機関がこれらのベースライン基準を満たすサプライヤーからのみ購入することを要求しています。

可視性と制御

可決された場合、この米国の法律は、欧州のETSI TS 103 645規格に基づいて構築される可能性があります。この規格自体は、英国政府が提案した業界の行動規範に基づいています。これは確かに素晴らしいスタートであり、消費者や企業が市場でより安全な製品を探すことを可能にする一方で、業界がよりセキュリティを意識するようになることを願っています。しかし実際には、そのようなステップが市場に浸透するまでにはしばらく時間がかかり、それでも組織はすでに何千もの安全でないレガシーIoTエンドポイントを実行している可能性があります。

ITセキュリティチームは、IoT環境に対する洞察を向上させることにより、今すぐ行動する必要があります。 IT資産管理ツールは、最も重要な最初のステップである可視性を提供することにより、ここで役立つはずです。次に、自動パッチ管理ツールを使用してデバイスファームウェアが最新であることを確認し、このプロセスが正しく機能していることを確認します。一部のセキュリティ更新プログラムはベンダーのWebサイトの奥深くに埋め込まれており、これらが有効になっていることを確認するには人間の介入が必要です。 。さらに、ITチームは、ユーザー名/パスワードがすぐに強力で一意の資格情報に変更されることを確認する必要があります。さらに良いことに、それらを多要素認証に置き換えます。その他のベストプラクティスには、転送中のデータの暗号化、継続的なネットワークモニタリング、ID管理、ネットワークセグメンテーションなどが含まれます。最後に、サイバーセキュリティの人的側面を忘れないでください。従業員は、IoTに関連するセキュリティリスクと、システムやデバイスを安全に使用する方法を理解するように教えられる必要があります。

これは、企業を不必要な追加のリスクにさらすことなく、IoTイニシアチブから最大の価値を得る方法です。現代のデジタルビジネスの成功に不可欠なイノベーションによる成長を損なうには、重大なセキュリティ侵害が1つだけ必要です。