英国政府は、新たな調査により多くのデバイスで深刻な脆弱性が明らかになったことを受け、企業向けIoT製品のセキュリティ向上を目的とした提案中の「政策介入」について、意見募集(Call for Views)を開始した。
科学・イノベーション・技術省(DSIT)はNCC Groupに委託し、「ハイエンド」と「ローエンド」のカメラ、VoIPデバイス、会議室パネル、NASデバイスといった各種コンポーネントをテストさせた。
その結果、重大(critical)1件と高(high)9件を含む、合計50件の問題が見つかった。一般的な所見としては、次の点が挙げられる。
- 認証なしの攻撃者がデバイスを完全に制御できた可能性のある、複数の「深刻な」リモートコード実行(RCE)脆弱性
- 複数デバイスにわたる旧式ソフトウェア(15年以上前のブートローダーを含む)
- 多くのデバイスで、物理的にアクセスできる攻撃者が完全に侵害し、永続的なバックドアをインストールできた可能性
- 多くのデバイスがすべてのプロセスを「root」ユーザーとして実行しており、攻撃者にデバイスへの無制限のアクセスや制御を与える可能性
- サービス、アプリケーション、または機能の安全でない設定
- NCSCのデバイスセキュリティ原則およびETSI EN 303 645標準への準拠状況がまちまち
IoTセキュリティの詳細:ITリーダーの半数がIoTをセキュリティ上の弱点と認識。
このため政府は、製品セキュリティおよび電気通信インフラ法(PSTI法)により消費者向けデバイスで実施したのと同様に、英国で販売される企業向けIoTデバイス全体のベースラインセキュリティを改善したい考えだ。
AI・デジタル政府担当大臣のフェリヤル・クラーク氏は、「今こそ、ビジネスの文脈で使用される接続デバイスについても、そのライフサイクル全体を通じてより良い保護が確保されるよう行動しなければならない」と述べた。
「そのため、企業向け接続デバイスのサイバーセキュリティに関する本意見募集を発表できることをうれしく思う。政府は、実務規範(コード・オブ・プラクティス)の公表と、重要なセキュリティ要件の採用を促進するために検討中の複数の政策介入からなる、2段階の介入を提案している。」
より安全なIoTデバイスに向けた3つの提案
実務規範は、国家サイバーセキュリティセンター(NCSC)とDSITが2022年に共同で作成した「11原則」のガイダンス文書に基づく。
主要要素の採用が期待外れに終わったことを受け、政府は業界の関与を高めるため、次のうち一部または全部の実施を望んでいる。
- 企業向け接続デバイスの製造業者が署名できる任意の誓約。製品のセキュリティ向上と、IT購入者に信頼できるブランドであることを示すことを目的とする
- 企業向け接続デバイスセキュリティ実務規範に基づく新たなグローバル標準。消費者向けIoTデバイスの既存標準を土台にし、政府によれば「メーカーのデバイスに対する信頼と確信を高め、国際市場全体で一貫したセキュリティ保護を提供できる」可能性がある
- 実務規範の原則を法律に明記するための立法。PSTI法の更新および適用範囲の拡大によって実現する可能性がある
DSITは次のように指摘している。「消費者とは異なり、企業は、問題を修正するためのセキュリティ更新を迅速に展開する専任スタッフを配置することや、自社ネットワークへの理解がより深いことなど、重要なセキュリティ緩和策が講じられていることを確保する能力が高い。」
「したがって、企業およびその他のエンドユーザーに対し、特定の行動を取るための具体的な義務を課すことを検討する。」
翻訳元: https://www.infosecurity-magazine.com/news/government-enterprise-iot-security/
