IoT Day（英語リンク）は、モノのインターネット（IoT）が日常生活に与える影響について議論を深める国際的な機会となっています。最近のいくつかの侵害事件や新しい法律により、IoTセキュリティの問題が注目を集めています。今回のIoT Dayでは、数十年にわたる業界での経験から、IoTセキュリティに関するいくつかのヒントをご紹介します。

最近のIoT関連ニュース

つい最近、Verkada Inc.の15万台のライブ監視カメラにハッカーがアクセス（英語リンク）しました。 報告によると、ハッカーはネットワークを移動するためにユーザーの認証情報を標的にし、Verkadaの2要素認証も回避した（英語リンク）。そして少し前、SolarWinds（英語リンク） 社が標的にされました。これについて、マイクロソフトの社長（英語リンク）は、「世界がこれまでに経験したことのない最大かつ最も巧妙な攻撃」と述べています。

これらの攻撃は、2要素認証は最低限の必要条件として、可能であれば電子証明書を伴うべきであることを示しています。さらに、ネットワークに接続されたセキュリティカメラは、以前からIoTのターゲットとして注目されており、その多くは設計・開発時のセキュリティ計画の欠如による脆弱性を含んでいます。メーカーにはより良い対応が求められ、消費者には購入した機器のセキュリティへの影響についてより多くの教育が必要となっています。

これを受けて、米国政府はデバイスメーカーに対する要求事項を強化しました。2020年12月には、民間のIoTデバイス製造会社向けに連邦政府の基準を策定する「Internet of Things (IoT) Cybersecurity Improvement Act（英語リンク）」が署名されました。この法律（英語リンク）は、議会がIoTメーカーに対して、IoT機器の開発・製造時にセキュリティを組み込むよう働きかけることを意図していました。法制化されて以来、米国標準技術研究所（NIST） は、米国連邦政府が使用するすべてのデバイスの最低限のセキュリティ要件を定めたガイドラインを作成する責任を負っています。そして、米国政府に販売するためにメーカーがこの基準を満たすよう努力することで、民間企業に販売される機器にも、これらのセキュリティのベストプラクティスが含まれるようになることが期待されます。結果的に、この法律によって、製造されるすべてのIoTデバイスのセキュリティ強化が促進（英語リンク）されることが期待されることになります。

このような環境の中で、メーカーは製品開発からデバイス製造まで、いかにしてセキュリティを組み込むかを検討し、準備する必要があります。公開鍵基盤（PKI）は、デバイスのライフサイクルを通じて、完全性、真正性、機密性を維持するのに役立ちます。

米国標準技術研究所(NIST)のガイドラインに準拠したPKIについて

認証、暗号化、完全性、およびIDは、存在するすべてのIoTセキュリティ標準またはガイドラインの一部として考慮される必要があります。米国標準技術研究所（NIST）の要件に対応するためのアプローチをメーカーが考え始めるとき、良い出発点となるのは、標準ガイドラインの中の複数の要件に対応するソリューションを見つけることです。公開鍵基盤（PKI）と電子証明書の使用は、認証とアクセス、データの機密性、データとデバイス操作の完全性の確保という共通のセキュリティ課題に対応する、実績のあるセキュリティアプローチです。

PKIは以下のようなセキュリティアプローチを可能にします。

• 相互認証
• データの暗号化
• 安全な起動
• デバイスIDの確立
• ファームウェアのアップデートとデータの整合性を確保
• 安全なOTA（Over The Air）通信
• 多要素認証（MFA）

PKIは複数のセキュリティ要件に対応しているので、まずはそこから始めるのが良いでしょう。

PKIによる製造の柔軟性

PKIを採用するIoTメーカーは、証明書の導入、供給、作成において、より柔軟にセキュリティを確保することができます。PKIを導入する際のメーカーの環境やニーズは様々です。製造業では、製造中にネットワークが利用できない場合、オンプレミス型のソリューションが必要になることもあります。また、低コストでセットアップが簡単なクラウドソリューションを必要とする場合もあるでしょう。供給の柔軟性とは、メーカーがコンポーネントやデバイスを製造前、サプライチェーン、または製造中に供給したり、さらにはフィールドでデバイスを供給できることを意味します。

最後に、メーカーは、それぞれのソリューションや環境に合わせて、さまざまな証明書プロファイル、テンプレート、プロトコル要件を必要とする場合があります。すべてのIoTデバイスは、計算能力、通信プロトコル、保存期間などが異なるユニークなものであるため、メーカーは柔軟で安全なPKIソリューションを必要とします。適切なプラットフォームがあれば、メーカーはあらゆるタイプのIoTデバイスのニーズを満たす証明書プロファイルを作成することができます。

PKIの使用例

PKIがIoTメーカーに役立つ方法の1つは、デバイスに組み込まれたIDによって、自社製品の真正性を識別することです。IoTメーカーは、これらのデバイスのソフトウェアを定期的に更新する必要があり、最新のセキュリティソフトウェアや独自の設定変更が、自社の正規に製造されたデバイスに確実に適用されるようになります。システムとデバイスの間で識別が行われると、再びPKIを使用してデバイスを対象とした更新ソフトウェアを暗号化し、メーカーのデバイスのみがソフトウェアの更新を復号できるようにすることで、ネットワークとIoTデバイス間の安全で改ざんのない通信を実現します。

PKIのもう一つの用途は、クラウドサービスへのデバイスの認証であり、IoTメーカーはセキュリティの状態を監視することができます。メーカーにとって、本物の自社デバイスが自社のクラウドサービスに接続されていることを識別できることは、デバイスになりすましたり、サービスに侵入したりする悪意のある攻撃者を排除するために重要です。識別情報が確保されれば、メーカーは安心して自社のサービスで機器のメンテナンスを続けることができます。

DigiCert PKIソリューションは、メーカーが米国標準技術研究所（NIST）ガイドラインを満たすのに役立ちます。

デジサートは、メーカーがInternet of Things (IoT) Cybersecurity Improvement Act」に準拠するためのPKIソリューションを提供しています。DigiCert® IoT Device Manager と DigiCert® Secure Software Manager は、デバイスのIDと認証、機密性と完全性によって、メーカーが米国標準技術研究所（NIST）によって作成されたこれらのガイドラインに準拠することを支援します。

• IoT Device Manager は、電子証明書の供給と監視を支援するPKIライフサイクル管理プラットフォームで、各IoTデバイスの安全な暗号化とデータ保全のための固有の識別子を作成します。
• Secure Software Manager は、メーカーが各デバイスにアップデートされるソフトウェアの機密性と完全性を、安全で改ざんのないことを保証するのに役立ちます。

どちらのマネージャーも、クラウドネイティブでコンテナベースの最新アーキテクチャに基づいて構築されたPKIプラットフォームである DigiCert ONE™に組み込まれています。立ち上げが容易で拡張性が高く、クラウド、オンプレミス、ハイブリッド、エアギャップ（ネットワークから隔離した状態）など、複数の展開オプションがあります。

PKIが、IoTデバイスのセキュリティを確保し、米国標準技術研究所（NIST）のIoTサイバーセキュリティガイドラインに準拠する方法の詳細については、DigiCert IoT Device Manager または DigiCert Secure Software Manager を参照ください。