IoT(モノのインターネット)デバイスの利用は急増していますが、デバイスメーカーによるサイバーセキュリティへの配慮は依然として遅れており、企業は分散型サービス拒否(DDoS)やデータ窃取につながるその他の攻撃に対して脆弱なままです。問題を抑制するための新たな取り組みも進行中ですが、進展は依然として遅い状況です。
今号から定期的にお届けする「記者のノート」動画シリーズでは、2人の勇敢なサイバーセキュリティジャーナリスト、Dark Readingのアリエル・ウォルドマンとCybersecurity Diveのエリック・ゲラーが、IoTセキュリティの問題や、接続デバイス向けの新たな政府主導の安全対策について、最近の調査結果を解説します。
センサー、家電、スマートウォッチといったIoTデバイスは、脆弱性パッチやその他の重要なアップデートを受け取るように設計されていないため、最初から安全ではありません。しかし、IoTがあらゆる場面、たとえばスマートオフィスの照明から高度な医療機器、農業分野の接続トラクターまで普及している現在、そのセキュリティ上の欠点はさらに深刻です。また、IoTデバイスは遠隔操作を前提に設計されているため、攻撃者はこれらをハッキングして遠隔制御する手口にますます熟練しています。
幸いなことに、関係者はIoTセキュリティを支援するための法整備、政策、草の根の取り組みに注力しています。IoTデバイスメーカー向けの米国サイバートラストマーク(任意のラベリングプログラム)はその代表例ですが、いつ、あるいは本当に公式に施行されるのかは、運営責任者の中国との関係に関する懸念から不透明です。もし承認されれば、IoTセキュリティ管理の透明性向上が期待されます。現時点では、IoTの普及にセキュリティが追いつくまで、企業向けに任意の推奨事項が示されています。
アリエル・ウォルドマン&エリック・ゲラー:全ビデオ書き起こし
この書き起こしは分かりやすさのために編集されています。
Dark Readingのアリエル・ウォルドマン:こんにちは。私はDark Readingの特集ライター、アリエル・ウォルドマンです。ここにエリック・ゲラーがいます。自己紹介をお願いします。
Cybersecurity Diveのエリック・ゲラー:こんにちは。私はCybersecurity Diveのシニアリポーターです。
DRのアリエル・ウォルドマン:今日はIoTセキュリティについて話します。まず、企業が直面しているIoTセキュリティの問題から始めましょう。IoTデバイスは本質的に安全ではありません。脆弱性パッチやその他のアップデートを受け取りません。また、長寿命を前提に作られており、管理が難しいです。さらに、レガシーのものも多く、それが企業にとって多くの問題を引き起こしています。
攻撃者もIoTデバイスへのハッキングにますます熟練しており、もはやボットネットの展開だけではありません。ルーターに侵入し、企業への足がかりを得るために利用しており、これはますます懸念される問題となっています。
一方で、製造上の問題もあります。多くのメーカーはデフォルトパスワードのまま出荷しており、ユーザーはより安全なパスワードに変更することを知らないため、これも大きな問題です。
サイバーセキュリティの多くの事柄と同様に、セキュリティと利便性のバランスを取るのは難しく、常に課題です。ユーザーの負担を減らしたい一方で、それが時にセキュリティの欠如につながります。エリックも同じように感じますか?
CDのエリック・ゲラー:まったくその通りです。これが大きなトレードオフです。企業は自社製品を魅力的かつ利用しやすくしたいと考えますが、それがしばしばセキュリティへの配慮の低下につながります。製品の利用を妨げたくないからです。
DRのアリエル・ウォルドマン:現在、市場にはますます多くのIoTメーカーやサプライヤーが登場していますが、必ずしも過去の失敗から学び、最初からセキュリティを構築しているとは限りません。それは常に重要ですが、特にIoTメーカーでは実現されていないことが多いです。
セキュア・バイ・デザインを実現するのは簡単ですが、コストもかかりますし、問題発生後に修正するのも高額です。それが問題を引き起こします。
効果的な実践が大きな課題であり、特に医療技術において懸念されています。多くの医療用IoTデバイスは、ユーザーの利便性のためにパスワードが設定されていない場合がありますが、それが大きな脆弱性となり、攻撃者に悪用される可能性があります。
IoTセキュリティを支援するための法整備や新たな政策について、何か気づいたことはありますか?
CDのエリック・ゲラー:はい。前政権の終わりに、FCCが「US Cyber Trust Mark」というプログラムを開始しました。これは企業が自社製品を政府認定のラボでテストしてもらうことができ、テストに合格すれば「米国政府認定」と示すラベルを製品に貼ることができます。一定年数のアップデート保証や、サポート終了ポリシーなど、特定の基準に従っていることを示します。
消費者は店頭やAmazonでこの認証マーク付き製品を見つけることができ、箱のQRコードをスキャンすれば、ソフトウェアアップデートの提供期間やパッチ適用プロセスなどの情報も確認できます。これは家電のエネルギースターのように、政府が定めた基準を満たしていることを示すものです。
同様のものをサイバー分野でも構築しようとしています。しかし、現政権がプログラム運営会社(UL Solutions)に対する調査を開始したため、まだ始動していません。この調査が終わり、運営会社の扱いが決まるまで、プログラムがいつ始まるかは分かりません。今年中か、数年後かも不明です。調査は、運営会社と中国政府との関係が疑われていることに関するものです。
FCCは、中国とつながりのある企業が通信機器(IoTを含む)の監査や検査を行うことに非常に懸念を持っています。無線通信のためのアンテナが搭載されていれば、FCCの管轄となります。
このプログラムは、安全なIoT製品に米国政府認定マークを付与し、企業が最初から安全なIoT製品を作ることを促す最良の取り組みと考えられていました。
DRのアリエル・ウォルドマン:とても重要ですね。先ほども話した通り、メーカーは必ずしもセキュリティを最優先にしていません。外部からの圧力やインセンティブが必要かもしれません。今は各社バラバラで、競合他社が安全なプロトコルを守っていなければ、他のメーカーも従わない可能性が高いです。
中国の問題はSoHo(小規模オフィス/家庭用)ルーターや、中国の国家支援攻撃者(Volt Typhoon)がSoHoルーターなどのIoTデバイスに潜んでいた件とも関係していますか?中国側から見ても懸念材料かもしれませんね。
EG:政府は、この会社が中国に拠点を持っているため、中国に情報を渡さなければならなくなることを非常に懸念しています。もしこの会社がどの製品が安全か、どの製品が安全でないかという情報を持ち、それを中国に提供する義務がある場合、中国がこれらの製品情報を入手することになりかねません。
現時点では憶測に過ぎませんが、政府が懸念しているのはそういったことです。
AW:このプログラムが可決される可能性はどのくらいあると思いますか?調査には時間がかかり、広く普及するにはさらに時間がかかりそうですね。セキュリティの進展は少し遅いように感じます。
EG:はい。調査が終われば、FCCがこの会社の運営を認めれば次のステップは早く進むかもしれません。良い点は、これはFCCが独自の権限で立ち上げたプログラムなので、議会を通す必要がないことです。しかし、まだ多くの手続きが残っています。テスト基準案の承認など、細かな官僚的な作業が多いです。もし調査でこの会社の運営が認められれば、1年以内にプログラムが始動する可能性もあります。
これが今の大きな障害です。他にもやるべきことはありますが、ロジスティクス的にはそれほど野心的でも問題でもありません。現時点では書類作業のようなものです。
AW:良かったです。米国や英国で他に推進されている法整備や政策はありますか?
EG:現在ヨーロッパでは、サイバーレジリエンス法の施行準備が進んでおり、あらゆる接続製品を製造する企業に要件を課しています。IoTデバイスも対象です。今後数年で、ヨーロッパで製品を販売する企業はこれらの要件を満たし、同じ安全性を持つ製品を米国でも販売するようになるでしょう。FCCのプログラムが始動すれば、「自社製品は安全です」と米国消費者や世界にアピールできるようになります。FCCプログラムが始動すれば、製品に分かりやすいラベルを貼ることができ、企業や消費者が「この会社から買おう」と判断できます。
プログラムが始動していなければ、そのラベルを貼れず、基準を満たそうとしない企業との差別化ができません。今後数年で、メーカーはヨーロッパでは義務、米国では任意で「正しいことをしている」と示したがるでしょう。
AW:これらの新しい規制が施行されるまで、企業が今できることはありますか?
EG:ドラフトのテスト基準を確認し、自社が要件を満たせるかどうか検討することはできます。これらは奇抜な要件ではなく、パッチ適用のサポートや監査のサポートなど、どのIoTデバイスにも求められる基本的な機能です。責任あるメーカーなら、業界団体やFCCと直接このプログラムへの参加について話し合っているかもしれません。
最大の懸念は、CiscoやAvanti、Juniperといった大手ではありません(これらの製品もハッキングされていますが)。より大きな懸念は、米国のサイバーセキュリティ議論にあまり関わっていないアジアの小規模ルーターメーカーです。政府は、これらの企業がプログラムに参加せず、製品をテストに出さないことを懸念しています。彼らはこのプログラムの存在すら知らないかもしれません。つまり、最も安いルーターを買おうとすると、米国外のこうした企業から購入することになり、米国のサイバーセキュリティプログラムに関与していない場合が多いのです。
そうなると、これらの企業は望ましい形でサイバーセキュリティを向上させず、そこから購入する企業も以前と同じくリスクにさらされることになります。
DRのアリエル・W:全員の足並みを揃えるのはいつも難しいですね。議論を始めることは重要ですが、実際に行動に移すには時間がかかります。その間、企業ができることはありますか?認証やデフォルトパスワードの変更が重要だと知っていますが、他に推奨事項はありますか?
CDのエリック・ゲラー:最近の大きなポイントは、アイデンティティ管理全般に注意を払うことです。パスワードの変更、ユーザーアクセスの制限、アラートの有効化などが重要です。異常な動作が見られた場合、ベンダーがAIによる自動検知を推奨していることも多いでしょう。すべての企業に最適とは限りませんが、異常な活動を早期に発見できる場合もあります。時にはその異常がハッキングの兆候なので、注意を払うべきです。
DRのアリエル・ウォルドマン:そうですね。監視は理にかなっています。中小企業には難しいかもしれませんが、今は重要です。
本日はこれで終了です。エリック、IoTセキュリティについて一緒に話してくれてありがとうございました!
翻訳元: https://www.darkreading.com/iot/iot-security-flounders-amid-churning-risk
