安全でないモノのインターネット(IoT)を作成していますか? セキュリティの課題と懸念

公開: 2022-03-11

モノのインターネット(IoT)は何年もの間業界の流行語でしたが、開発の遅れと限られた商品化により、一部の業界ウォッチャーはそれを「モノのインターネット」と呼び始めました。

駄洒落はさておき、IoT開発は問題を抱えています。 ほとんどの社交の場にふさわしくないオタクなジョークを生み出すことを除けば、誇大広告は役に立ちませんでした。 そして実際、私はそれが実際に善よりもはるかに多くの害を引き起こしたと信じています。 IoTにはいくつかの問題がありますが、すべてのポジティブなカバレッジと根拠のない誇大宣伝は、私たちがなくてもできることです。 より多くの注目を集めることの利点は明らかです:より多くの投資、より多くのVC資金調達、より多くの消費者の関心。

セキュリティとモノのインターネット

ただし、これらには追加のレベルの精査が伴い、多くの欠点が痛々しいほど明白になっています。 数年にわたる強気の予測と大きな約束の後、IoTセキュリティが最大の懸念事項のようです。 2015年の最初の数週間はこの新興産業に親切ではなく、否定的な報道のほとんどはセキュリティを中心に展開していました。

それは正当化されましたか? それは、長年の誇大宣伝によってもたらされた単なる「恐れ、不確実性、疑い」(FUD)でしたか? それは両方のビットでした。 いくつかの問題は誇張されているかもしれませんが、実際、問題は非常に現実的です。

「IoTの年」からIoTのアナス・ホリビリスまで

多くのコメンテーターが2015年を「IoTの年」と表現しましたが、これまでのところ、悪い報道の年でした。 確かに、まだ10か月ありますが、否定的な報告が山積みになっています。 セキュリティ会社のKasperskyは最近、「 Internet of Crappy Things 」という不愉快な見出しで、IoTセキュリティの課題についてひどい批判をしました。

Kasperskyは、IoTの批判や論争に見知らぬ人ではありません。 同社はしばらくの間警鐘を鳴らしており、ハッキングされたスマートホーム、洗車機、さらには警察の監視システムの例でそれらをバックアップしています。 ハッカーが乗り物を無料で洗い流したい場合でも、フィットネストラッカーを使用して誰かをストーキングしたい場合でも、IoTセキュリティの欠陥がそれを可能にする可能性があります。

ウインドリバーは2015年1月にIoTセキュリティに関するホワイトペーパーを発表しました。レポートは冷静な紹介から始まります。 「銀の弾丸の検索」というタイトルで、問題を3つの段落にまとめています。これを、いくつかのポイントに要約します。

  • セキュリティは、IoTの基本的なイネーブラーでなければなりません。
  • 現在、デバイスのIoTにセキュリティを実装する方法についてのコンセンサスはありません。
  • 一般的で非現実的な期待は、25年間のセキュリティの進化を新しいIoTデバイスに圧縮することがどういうわけか可能であるということです。
  • 脅威を効果的に軽減できる特効薬はありません。

ただし、いくつかの良いニュースがあります。 知識と経験はすでにここにありますが、IoTデバイスの固有の制約に適合するように適合させる必要があります。

残念ながら、これはシステムセキュリティ開発者として別の問題であるハードウェアの問題に遭遇する場所です。

米国連邦取引委員会のエディス・ラミレス委員長は、今年初めにラスベガスで開催されたコンシューマー・エレクトロニクス・ショーで演説し、センサーを日常のデバイスに埋め込み、私たちの行動を記録させることは、大きなセキュリティリスクをもたらす可能性があると警告しました。

ラミレスは、IoTの将来に向けた3つの重要な課題について概説しました。

  • ユビキタスデータ収集。
  • 消費者データの予期しない使用の可能性。
  • セキュリティリスクの高まり。

彼女は、セキュリティに重点を置いたアプローチを採用し、IoTデバイスによって収集されるデータの量を減らし、透明性を高め、消費者にデータ収集をオプトアウトする選択肢を提供することにより、プライバシーを強化し、安全なIoTデバイスを構築するよう企業に促しました。

ラミレス氏はさらに、IoTデバイスの開発者は、サイバー攻撃からデバイスとサービスを保護する方法について考えることに時間を費やしていないと述べています。

「接続されている多くのデバイスのサイズが小さく、処理能力が限られているため、暗号化やその他の堅牢なセキュリティ対策が妨げられる可能性があります」とラミレス氏は述べています。 「さらに、接続されたデバイスの中には、低コストで本質的に使い捨てのものもあります。 そのタイプのデバイスに脆弱性が発見された場合、ソフトウェアの更新やパッチの適用が困難になる可能性があります。さらに、消費者に修正のニュースを入手することさえ困難になる可能性があります。」

ラミレスはほとんどの点で注目を集めていますが、インターネットは20年前に同様の段階を経たことに注意する必要があります。 多くのセキュリティ上の懸念があり、90年代には、インターネットを介したマルウェア、DDoS攻撃、高度なフィッシングなどが出現しました。 ハリウッドはいくつかの映画でディストピアの未来を描いていましたが、私たちはソーシャルネットワーク上の子猫とあちこちで注目を集めるセキュリティ違反に終わりました。

インターネットはまだ安全ではないので、IoTも安全であるとは期待できません。 ただし、セキュリティは新しい課題に対応するために絶えず進化しています。これまでに見たことがありますが、IoTとそれに続く接続テクノロジーによって再び見られます。

IoTハードウェアは問題であり、今後も問題が続く

皆さんの中には、FTCのボスが言及したハードウェアの問題が解決されると考える人もいるでしょう。 はい、それらのいくつかはおそらくそうするでしょう。

IoT市場が成長するにつれて、より多くの投資が見込まれ、ハードウェアが成熟するにつれて、セキュリティが向上します。 IntelやARMのようなチップメーカーは、セキュリティが市場の差別化要因となり、より多くの設計上の勝利を獲得し、より大きなシェアを獲得できるようになるため、新しい世代ごとに優れたセキュリティを提供することに熱心になります。

テクノロジーは常に進歩しているので、なぜですか? 新しい製造プロセスは一般に、より高速でより効率的なプロセッサをもたらし、遅かれ早かれギャップが縮まり、開発者に、より優れたセキュリティ機能を実装するための十分な処理能力を提供します。 ただし、これが現実的なシナリオかどうかはわかりません。

安全でないIoT

まず第一に、IoTチップは小さく、通常は時代遅れのアーキテクチャに基づいているため、大きな金儲けにはなりません。 たとえば、第1世代のIntel Edisonプラットフォームは、Quarkプロセッサに基づいており、基本的に同じCPU命令セットと、古代のPentiumP54Cの設計の多くを使用しています。 ただし、次世代のEdisonマイクロコンピューターは、今日の多くのWindowsおよびAndroidタブレットに搭載されているAtom Silvermontコアをベースにした、はるかに高速なプロセッサーをベースにしています。 (Intelは2014年に約46mのBay Trail SoCを出荷しました。)

表面的には、IoTデバイスに比較的最新の64ビットx86 CPUコアが搭載される可能性がありますが、安価ではなく、最小のARMコアよりもかなり複雑であるため、より多くのバッテリーが必要になります。パワー。

FTCの最大の関心事であると思われる安価で使い捨てのウェアラブルは、少なくともすぐにはそのようなチップを動力源としないでしょう。 消費者は、スマート冷蔵庫やタッチスクリーン付き洗濯機などの一部のスマート製品で、Intel AtomsやARMv8チップなどのより強力なプロセッサを使用することになりますが、ディスプレイがなく、バッテリ容量が限られている使い捨てデバイスには実用的ではありません。

完全なプラットフォーム、またはさまざまなIoTデバイスのリファレンスデザインを販売することで、チップメーカーはより多くの収益を生み出すと同時に、より多くの標準化とセキュリティを導入できます。 業界が最後に必要としているのは、標準化されていないデバイスと断片化です。 開発者はプラットフォームの数が少なくなり、セキュリティに割り当てられるリソースが増えるため、これは論理的で健全なアプローチのように聞こえるかもしれませんが、セキュリティ違反はより多くのデバイスに影響を及ぼします。

資金が流入している、アナリストは強気のまま、何がうまくいかない可能性があるのか​​?

テクノロジー業界の問題に取り組む最も一般的な方法の1つは、単にそれにお金を投じることです。 それでは、テクノロジーではなく資金調達の観点から、私たちが現在どこに立っているかを見てみましょう。

調査会社のIDCとGartnerによると、IoTは、10年の終わりまでにデータセンター業界を変革するほどに成長するでしょう。 ガートナーは、IoT市場に2020年までに260億のインストール済みユニットがあり、データセンターやハードウェアメーカーから開発者や設計者まで、すべての関係者に大きなチャンスをもたらすと予測しています。 IDCはまた、IoT業界が10年の終わりまでに「数十億のデバイスと数兆ドル」になると予想しています。

2014年5月に公開されたGartnerの最新のIoT市場予測には、潜在的な課題のリストも含まれています。その一部については、すでに説明しました。

  • セキュリティ:自動化とデジタル化の強化により、新しいセキュリティ上の懸念が生じます。
  • エンタープライズ:セキュリティの問題は安全上のリスクをもたらす可能性があります。
  • 消費者のプライバシー:プライバシー侵害の可能性。
  • データ:ビッグデータと個人データの両方について、大量のデータが生成されます。
  • ストレージ管理:業界は、費用効果の高い方法でデータをどう処理するかを理解する必要があります。
  • サーバーテクノロジー:サーバーへのさらなる投資が必要になります。
  • データセンターネットワーク: WANリンクはヒューマンインターフェイスアプリケーション向けに最適化されており、IoTはデータを自動的に送信することでパターンを劇的に変化させることが期待されています。

これらすべての点(およびそれ以上)は、遅かれ早かれ、多くの場合かなりのコストをかけて対処する必要があります。 小さなIoTチップやそのようなチップをベースにした安価なおもちゃについてはもう話していません。これがインフラストラクチャです。 これは、サーバーCPU、高価なDDR4 ECC RAM、さらに大きなSSDに多くのシリコンが含まれており、すべてがより大きなデータセンターの高価なサーバーに収容されています。

これは氷山の一角にすぎません。 業界は、帯域幅の懸念、データ管理とプライバシーポリシー、およびセキュリティに取り組む必要があります。 では、ガートナーのIoTの課題のリストの上位にあるセキュリティのために、どれだけのお金が残っているのでしょうか。

すでに多くの資金が業界に注ぎ込まれており、VCが参入しており、投資のペースは加速しているようです。 多くの場合、Google、Qualcomm、Samsung、Gemalto、Intelなどの大手企業が関与する買収も数多くありました。 PostscapesへのIoT関連の投資のリストがあります。 これらの投資の多く、特にVCからの投資の問題は、「光沢のある」もの、つまりすぐに販売できるデバイスに焦点を当てる傾向があり、ROIが大幅に向上する可能性があることです。 これらの投資は、基本的にIoTの需要を追跡する必要があるセキュリティやインフラストラクチャにはあまり効果がありません。

大手企業は、ベンチャーキャピタルに支援されたスタートアップやおもちゃメーカーではなく、重労働をしなければならないだろう。 アジャイルで革新的なスタートアップは、採用を促進し、需要を創出することで確かに大きな役割を果たしますが、すべてを行うことはできません。

ですから、このように考えてみましょう。小さな会社でも1台、数万台の車を作ることはできますが、高速道路、道路、ガソリンスタンド、製油所を作ることはできません。 その同じ小さな会社は、基本的な交通安全基準を満たすために既製の技術を使用して安全な車両を作ることができますが、同じ安全基準を満たすセグウェイのような車両を作ることはできませんでした。 自動車の安全基準がそのような車両に適用されることは決してありません。セグウェイで通勤する人はいないため、従来の技術セキュリティ基準が電力不足のIoTデバイスにも適用されることは期待できません。

通勤者がラッシュアワーの交通をセグウェイに乗っているときにメールをチェックしたり、キャンディークラッシュをプレイしたりするのは、あまり安全ではありませんね。 では、なぜIoTデバイスは、はるかに強力なハードウェアと成熟したオペレーティングシステムを備えた、他の接続されたデバイスと同じくらい安全であると期待する必要があるのでしょうか。 奇妙な例えかもしれませんが、肝心なのは、IoTデバイスが本格的なコンピューターと同じセキュリティ標準に準拠することは期待できないということです。

しかし、待ってください。IoTセキュリティの障害はそれほど多くありませんでした…

確かに、目覚ましいIoTセキュリティ違反についての見出しはあまり見られませんが、言い換えると、Android Wearについてセキュリティ関連の見出しはいくつ見られましたか? 一? 二? なし? 世の中には100万台未満のAndroidWearデバイスがあると推定されているため、ハッカーの主要な標的でも、セキュリティ研究者の対象でもありません。

現在、いくつのIoTデバイスを所有して使用していますか? あなたのビジネスはいくつ使用していますか? ここから「InternetofNoThings」のジョークが生まれますが、ほとんどの人はそれを持っていません。 数は増え続けていますが、平均的な消費者は多くを購入していないので、その成長はどこから来ているのでしょうか? IoTデバイスは世の中に出回っており、その数は消費者市場ではなく企業によって推進されて急成長しています。

VerizonとABIResearchは、昨年インターネットに接続されたデバイスは12億と推定していますが、2020年までに54億ものB2BIoT接続が見込まれています。

スマートリストバンド、トースター、犬用首輪はセキュリティの観点からは大きな懸念事項ではありませんが、Verizonの最新のIoTレポートは、もう少し興味深いもの、つまりエンタープライズに焦点を当てています。

製造業におけるベライゾンのマシンツーマシン(M2M)接続の数は、2013年から2014年にかけて204%増加し、続いて金融と保険、メディアとエンターテインメント、ヘルスケア、小売、輸送が続きました。 Verizonレポートには、さまざまな業界のIoTトレンドの内訳が含まれているため、ビジネス面に関する洞察が得られます。

レポートの全体的なトーンは明るいですが、セキュリティ上の懸念もいくつかリストされています。 Verizonは、エネルギー業界でのセキュリティ違反を「考えられない」と表現し、IoTセキュリティを製造業で「最重要」と表現し、医療や輸送に潜在的なリスクをもたらすことすらしません。

いつ、どのようにして安全なモノのインターネットを手に入れますか?

IoTセキュリティの課題をどのように解決できるか、いつ解決できるかについて、明確な答えを提供しようとはしません。 業界はまだ答えを探しており、まだ先は長いです。 最近の調査によると、現在利用可能なIoTデバイスの大部分にはセキュリティの脆弱性があります。 HPは、IoTデバイスの70%が攻撃に対して脆弱であることを発見しました。

成長には多くの機会がありますが、IoTはまだ成熟しておらず、安全でもありません。 数百万の新しいデバイス、ハードウェアエンドポイント、数十億行のコード、および負荷に対処するためのより多くのインフラストラクチャを追加すると、過去20年間に経験したことのない、膨大な一連の課題が発生します。

それが私が楽観主義者ではない理由です。

業界がIoTに多くのセキュリティの教訓を適用できるとは思いませんが、少なくとも今後2、3年は十分ではありません。 私の考えでは、90年代のインターネットは、このように大きく異なるタイプのハードウェアを扱う必要がなかったという理由だけで、インターネットのアナロジーは誤謬です。 暗号化を使用してセキュリティでクロックサイクルを浪費することは、大きなx86CPUやARMSoCでは問題になりませんが、処理能力がわずかで消費電力エンベロープが大きく異なる小さなIoTデバイスでは同じようには機能しません。

より大きなダイを備えたより精巧なプロセッサは、より大きなパッケージングを必要とし、より多くの熱を放散する必要があります。 また、より多くの電力が必要です。つまり、より大きく、より重く、より高価なバッテリーが必要になります。 重量を減らしてかさばりを減らすために、製造業者はエキゾチックな材料と生産技術を使用することに頼らなければなりません。 上記のすべては、より多くの研究開発費、より長い市場投入までの時間、およびより大きな部品表を必要とします。 価格が大幅に高く、プレミアムビルドであるため、このようなデバイスは使い捨てとは考えられません。

モノのインターネット-iot

では、IoTを安全にするために何をしなければならないのでしょうか? たくさん。 そして、技術の巨人から個々の開発者まで、誰もが果たすべき役割があります。

IoTセキュリティを今すぐ改善するために、何ができるか、何が行われているのかなど、いくつかの基本的なポイントを見てみましょう。

  • 初日からセキュリティを強調する
  • ライフサイクル、将来性、更新
  • アクセス制御とデバイス認証
  • 己の敵を知れ
  • セキュリティ違反に備える

特に未成熟なテクノロジーや未発達の市場を扱う場合は、最初からセキュリティを明確に強調することは常に良いことです。 独自のIoTインフラストラクチャを開発することを計画している場合、または既存のソリューションを展開することを計画している場合は、調査を行い、可能な限り情報を入手してください。 これには、ユーザーエクスペリエンスを損なうことを犠牲にしてセキュリティを強化するという選択肢が提示される可能性があるため、トレードオフが伴う場合がありますが、適切なバランスをとる限り、それだけの価値があります。 これはその場で行うことはできません。事前に計画を立て、適切に計画する必要があります。

新しい製品やサービスを市場に投入しようと急いでいる中で、多くの企業は長期的なサポートを見落としがちです。 それは大規模なリーグでも常に発生するため、パッチが適用されておらず、安全でない何百万ものコンピューターやモバイルデバイスが常に発生します。 それらは、ほとんどの企業が気にするには古すぎるだけであり、使い捨てのIoTデバイスではさらに悪化するに違いありません。 主要な電話ベンダーは2〜3年前の電話でソフトウェアを更新しないため、ネットワーク上に何年も存在する可能性のある20ドルのIoTデバイスで何が起こるか想像してみてください。 計画的陳腐化はその一部かもしれませんが、真実は、古いデバイスを更新することは、リソースとより良い関係があるため、製造業者にとってあまり経済的に意味がないということです。 安全なIoTデバイスは、設計上安全で最初から不浸透性であるか、ライフサイクル全体で重要な更新を受信する必要があります。少なくとも、どちらのオプションも現実的ではないことに同意するでしょう。

安全なアクセス制御とデバイス認証を実装することは当然のことのように思えますが、ここでは平均的な接続デバイスを扱っていません。 ユーザーエクスペリエンスを損なうことなく、または不要なハードウェアを追加することなく、安価でコンパクトなIoTデバイスに実装できるアクセス制御と認証方法を作成することは、思ったよりも困難です。 先に述べたように、処理能力の欠如は別の問題です。ほとんどの高度な暗号化技術は、たとえあったとしても、うまく機能しないからです。 以前の投稿では、ブロックチェーンテクノロジーを介して暗号化をアウトソーシングするという1つの代替案を検討しました。 私はビットコインブロックチェーンについて言及していませんが、いくつかの業界リーダーによってすでに研究されている同様の暗号技術について言及しています。

汝平和を求めて、パラベラム–平和を望むなら、戦争の準備をしてください。 IoTセキュリティに取り組む前に、脅威と潜在的な攻撃者を調査することが重要です。 脅威レベルはすべてのデバイスで同じではなく、考慮すべき考慮事項は無数にあります。 誰かがあなたの娘のテディベアをハックするのでしょうか、それとももう少し深刻なことでしょうか? データリスクを軽減し、IoTデバイスから可能な限り多くの個人データを保持し、必要なデータ転送を適切に保護するなどが必要です。 ただし、これをすべて行うには、最初に脅威を調査する必要があります。

他のすべてが失敗した場合は、少なくとも潜在的なセキュリティ違反に備えてください。 遅かれ早かれ、あなたや他の誰か(まあ、できれば競合他社)に起こります。 常に出口戦略を立ててください。これは、IoTインフラストラクチャを破壊することなく、可能な限り多くのデータを保護し、侵害されたデータを役に立たなくする方法です。 また、そのような違反のリスクについて、顧客、従業員、およびプロセスに関与する他のすべての人を教育する必要があります。 違反が発生した場合の対処方法と、違反を回避するための対処方法を説明します。

もちろん、最悪のシナリオに対処することになった場合は、適切な免責事項とTOSも役立ちます。