それらを構築するか購入するかにかかわらず–IoTデバイスのセキュリティは私たち全員を懸念します

モノのインターネット（IoT）は、IoTを施設や運用に統合したい、または革新的な製品でIoT市場に参入しようとしている中小企業（SMM）に多くの魅力を提供します。利用可能なIoT製品の範囲は広く、継続的に成長しています。 IoTの水域に足を踏み入れるときは、IoTを環境に導入する際の組織のリスク管理への影響や、製品ベンダーとして市場に参入する際の製品の設計とサポートに関する考慮事項など、潜在的なサイバーセキュリティの落とし穴に備えることが役立ちます。モノのインターネットプログラムのNISTサイバーセキュリティは、SMMがこれらの潜在的に乱流の海域をナビゲートするために必要な情報を提供するために取り組んでいます。

IoTとリスク管理

スマートサーモスタットを設置して従業員を快適に保つ前に、スマートコーヒーポットを追加して部屋を休憩させてカフェインを維持するか、生産環境に最新かつ最高の産業用制御システム（ICS）テクノロジーを導入する前に、潜在的な影響を認識することが重要です。従来のIT向けの堅牢な情報セキュリティプログラムがあるかもしれませんが、それらのツール、プロセス、および手順は、IoTが導入されたときに適応が必要になる可能性があります。 IoTの違いには次のようなものがあります。

• 現実の世界との相互作用。 IoTデバイスには、環境から情報を収集するセンサー、または「実世界」のオブジェクトを移動または変更させるアクチュエーターが装備されています。センシングは機密性の高いデータを大量に生成する可能性があるため、何が収集され、どこに行くのかを知ることが重要です。アクチュエータが危険にさらされると、攻撃者が重大な混乱を引き起こす可能性があります。スマートロックを誰が指揮しているかわからない場合はどうなるか考えてみてください。
• 従来のIT管理手法への挑戦。 IoTデバイスは多くの場合「ブラックボックス」であり、内部の状況を覆い隠し、エージェントを装備したり、サーバー、デスクトップ、ファイアウォールと同じ方法でクエリを実行したりすることはできません。その結果、一般的なIT管理手法はIoTでは効果がないことが判明する可能性があります。 IoTデバイスを「大規模に」導入する場合、これらの管理上の課題は急速に増大する可能性があります。
• 一般的なサイバーセキュリティおよびプライバシー機能の欠如。 IoTデバイスは、多くの場合、ロギングとモニタリングのサポート、新たに特定された脆弱性に対処するためのデバイスの更新のサポート、または生成または処理する機密情報を保護するために必要な暗号化機能を欠いています。これらのデバイスが、同じネットワーク上のITデバイスと同じサイバーセキュリティ機能を備えているとは限りません。

環境にIoTを採用するSMMは、これらの課題に対処する準備をする必要があります。ベンダーとしてIoT市場に参入する場合、これらの課題を理解することは、より良い顧客体験を提供する製品を開発する機会になる可能性があります。

IoTセキュリティリスクの管理

組織でIoTテクノロジーを採用する場合、SMMは、次の3つの目標を目指してこれらの課題に対処することを計画する必要があります。

1. IoTデバイスのセキュリティを保護して、製品が完全に所有者の管理下にあり、SMMのネットワークにアクセスしたりボットネットに参加したりするために外部の攻撃者に悪用されないようにします。
2. データセキュリティを保護して、IoTデバイスによって生成されたデータが、デバイスに保存されたり、ネットワークを介して転送されたり、製品の機能の側面を提供するために使用されるクラウドベースのサービスに送信されたりするときに公開または変更されないようにします。
3. 個人のプライバシーを保護し、プライバシーに配慮した情報がIoT製品によってキャプチャまたは作成される可能性に注意し、そのデータがどこに移動する可能性があるかを認識します。

これらの目標は、NISTIR 8228、モノのインターネット（IoT）のサイバーセキュリティとプライバシーリスクの管理に関する考慮事項に明確に示されています。 、および現在利用可能なIoT製品では達成が難しい場合があります。 NISTサイバーセキュリティフレームワーク（CSF）を適用している組織、またはNIST SP 800‑53コントロールを使用してセキュリティ要件を定義している組織の場合、NISTIR 8228は、CSFおよびSP 800‑53が意図する目的を達成するためにIoTデバイスが提示するさまざまな課題を特定します。たとえば、SP 800‑53の制御SI-2、欠陥修復は、安全なソフトウェア/ファームウェアの更新機能がないIoTデバイスでは満たすことができません。同様に、多くのIoTデバイスは、CSFサブカテゴリDE.CM-8：実行される脆弱性スキャンを満たすために必要な方法で分析することはできません。

IoTデバイスのセキュリティ機能は、デバイスが統合されているシステムの全体的なセキュリティ要件の達成に寄与するため、上記の3つの目標を考慮することで、IoT製品の選択とその管理方法を考慮する必要があります。

>

IoT製品のセキュリティ体制の改善

IoT製品の作成に挑戦している場合、サイバーセキュリティの課題を認識することは、製品の開発とサポートへのアプローチを導くのに役立ちます。上記の3つの目標は、IoT製品を開発するときにも当てはまります。これらの目標を念頭に置いた開発への思慮深いアプローチは、より管理しやすく、より安全な製品になります。このアプローチには、製品の設計と開発のフェーズと、製品が市場に投入された後のサポートフェーズの両方が含まれます。これは、NISTIR8259の IoTデバイスメーカー向けの基礎的なサイバーセキュリティ活動の図に示されています。 。

コアベースラインは、さまざまなニーズにわたるデバイスの機能とサポートアクションの概要を示しています。

技術的なサイバーセキュリティ機能

デバイスの識別	IoTデバイスは論理的および物理的に一意に識別できます。
デバイス構成	IoTデバイスのソフトウェアの構成は変更でき、そのような変更は許可されたエンティティのみが実行できます。
データ保護	IoTデバイスは、保存および送信するデータを不正なアクセスや変更から保護できます。
インターフェースへの論理的アクセス	IoTデバイスは、ローカルインターフェースとネットワークインターフェース、およびそれらのインターフェースで使用されるプロトコルとサービスへの論理アクセスを、許可されたエンティティのみに制限できます。
ソフトウェアアップデート	IoTデバイスのソフトウェアは、安全で構成可能なメカニズムを使用する場合にのみ、承認されたエンティティによって更新できます。
サイバーセキュリティの状態認識	IoTデバイスは、サイバーセキュリティの状態についてレポートし、許可されたエンティティのみがその情報にアクセスできるようにすることができます。

非技術的なサポート機能

ドキュメント	デバイスの開発とその後のライフサイクルを通じて、IoTデバイスのサイバーセキュリティに関連する情報を作成、収集、保存するためのメーカーやサポートエンティティの機能。
情報とクエリの受信	製造業者および/またはサポートエンティティが、IoTデバイスのサイバーセキュリティに関連する情報やクエリを顧客から受け取る機能。
情報の普及	製造業者および/またはサポートエンティティがIoTデバイスのサイバーセキュリティに関連する情報をブロードキャストおよび配布する機能。
教育と意識	製造業者および/またはサポートエンティティが、サイバーセキュリティ関連の情報、考慮事項、IoTデバイスの機能などの要素について顧客の認識を高め、顧客を教育する能力。

計画活動と技術的および非技術的ベースラインの適用を組み合わせることで、SMMは、より安全でサポートが強化された製品を開発し、リスク管理の課題への影響を制限しながら、顧客がIoTイノベーションを活用できるようになります。

役立つ情報

モノのインターネットプログラムのNISTサイバーセキュリティは、過去数年にわたってコミュニティと深く関わり、IoTサイバーセキュリティの課題に関する豊富なガイダンスのコレクションを開発してきました。 IoTの統合によって運用を改善しようとしているSMMであろうと、新製品で市場に参入しようとしているSMMであろうと、あなたの努力を支援するために利用できる多くのリソースと出版物があります。

NISTのIoT向けサイバーセキュリティは、現在の公開ドラフトに関するメーカーiotsec [at] nist.gov（フィードバック）を歓迎します。