PKI (公開鍵基盤) 05-03-2018

PKIはIoTを安全に保つ鍵となるのか?

Mike Nelson
Blog | DigiCert
成長するインターネットが、その速度を落とすことはありません。しかし、セキュリティ上の懸念は、消費者にとって避けがたい問題になってきています。DigiCertのIoTセキュリティ担当のVP、Mike NelsonGreenがIoTセキュリティと公開鍵インフラストラクチャとの戦いについての彼の見識を共有します。

IoTがゴールドラッシュなら、そのセキュリティ環境は開拓時代の西部のようなものです。この信じられないほどの需要は、接続された世界と家庭の消費者が光り輝く新しい時代に移行することを望んでいる企業から、その多くが革新の興奮に盲目になっている不安定な状態に陥る恐れがあります。

ガートナーは、2020年までに204億のIoTデバイスが存在すると予測しており、現在のセキュリティ基準が継続するなると、そのセキュリティが強化されることはほとんどありません。これらの接続されたデバイスに対する大きな需要は、安価なデバイスをセキュリティを意識せずに販売することを主力を置いてきました 近年、私たちはそうした望ましくない慣習によって可能になった違法な行動を目にしました。IoTデバイスを通して簡単に行われる情報盗難のほかにも、IoTはサイバー犯罪者に危険な新機能を提供します。2016年、世界は、ミライ(訳注:ワームの名前)によって構成されたベビーモニター、カメラ、ルーターからなるたボットネットを悪用してインターネットの大部分を領した時に、こうした脅威が現実になることを目の当たりにしました。これらのボットネットは、最も一般的なデフォルトのユーザ名パスワードをリストにした小さなライブラリを使い、デバイスのパスワードを推測する攻撃を使用して構築されました。 研究者は、毎日、IoTの玩具や家庭用機器の脆弱性を発見し、攻撃者が機器の所有者、さらには子供たちを盗聴・盗撮することを可能にしています。ビジネスや産業設定におけるIoTの急増は、さらに厄介な可能性を秘めています。ここ数年の病院へのランサムウェア攻撃の急増 - 示的な攻撃ではない - によって、IoTの豊富な環境に対する攻撃がどのようなものになるかがわかり、重要なシステムをロックし、サービスを完全に機能停止させることができます。 国家はまだこの開発の規模を完全に把握しているようには見えません。政府や規制当局は、この大規模な流れに追いつくことが難しいと考えられます。IoTセキュリティの背後にある幅広い国家力を引き出す試みは、まだ初期段階にあります。昨年、ドイツは子供たちのスマートウォッチの脅威をを明らかにした後、彼らが遠隔地のオーナーを脅かすのに使われる可能性がある機能を禁止しました。米国議会はまた、米国政府機関が安全なIoT機器を確実に使用するように法律を制定しました。さらに最近では、英国政府がIoTの使用と製造におけるベストプラクティスのための暫定規則を発表しています。 結局のところ、これはすべて、特定のデバイスや地域に委譲された小額のソリューションであり、最終的にはグローバル化された市場に挑戦するのは苦労します。さらに、「物」の安価な洪水は、軽いタッチ規制と低コストで評価される分野に起因することがよくあります。これは、メーカーの規制がこれらの地域の境界内に到達しなければならないことを意味するだけでなく、多くの場合、不必要なコストとみなされます。 事実、製造業者はしばしばセキュリティを「後工程」として扱います。IoTデバイスには、ハードコードされたパスワード、認証が不十分なこと、セキュリティが損なわれていることなど、日常的なセキュリティの問題があふれています。セキュリティが追加されると、それはしばしば後工程として行われ、デバイスは改造されます。これは多くの場合非効率で、さらに、皮肉なことに経済的ではないソリューションです。法律によってセキュリティが強化されるか、設計プロセスの一環として広く採用されるまで、IoTセキュリティはユーザーの手に委ねられています。 デジタル証明書を使用する公開鍵インフラストラクチャ(PKI)は、製造者と消費者の両方がIoTを保護する方法を提供します。数十年前からマシン間の接続を確保し、信頼できる標準を開発してきました。この次世代のイノベーションにも同じことができます。彼らのオフィスや産業環境で使用するためのIoTデバイスの大規模なネットワークを展開している人は、数千、おそらく何百万というデバイスのネットワークを監視して、すべて情報を収集し、お互いに話をしなければならないかもしれません。

PKIによって発行されるデジタル証明書により、デバイス間およびユーザー間の安全なデータの交換および相互認証が可能になります。IDとして有効に機能する証明書を発行することにより、PKIは膨大なネットワークのデバイスとユーザー間で信頼を確立することができます。また、パスワードのような悪用可能な認証方法を使用する必要性からユーザを解放することもできます。そして、PKIはデバイスのネットワーク全体でデータフローを暗号化できるため、攻撃者がデータを盗むことができてもその努力は無駄になります。

さらに、大規模なIoTイニシアチブを展開しようとしている企業にとっては、PKIのスケーラビリティが優位点となります。ユーザー、ネットワークインフラストラクチャ、および無数のエンドポイント間の信頼できる接続を確立することで、セキュリティを強化するための多くのセキュリティの考慮事項が提供されます。このような規模でのPKIの使用はまだ初期段階にありますが、広範な支払いシステムでは、すでにこのようなスケーラブルなセキュリティソリューションのメリットがあります。それらは、ストリーミングメディア会社、プレックス、国際空港のWiFiプロトコル類似のAeroMACSがあります。主要な医療機器および接続された自動車メーカーはまた、IoTユースケースの展開にPKIを使用しており、大きな進展が見込まれています。 既に貧弱なセキュリティを修正できないデバイスを製造するIoTメーカーにとって、PKIインフラストラクチャは、安全なパッチ管理や無線アップデートを含むデバイスとシステムの完全性を提供することができます。しかし、おそらく最も重要なのは、公的認証局が主催するPKIは、現在の暗号を使用し、数年にわたって信頼性の高い方法で洗練された業界標準に準拠していることです。PKIに興味のある人は、ホスティングされたソリューションと、独自のPKIフレームワークを管理するかなりのタスクのどちらかを選択する必要があります。 ある企業は、管理するために他の人に引き渡す企業とは対照的に、企業自身が管理するフレームワークをより安全にしていると言う人もいます。少なくとも、第2の選択肢は、ユーザーの信頼性を高め、セキュリティイベントが発生した場合には非常に重要な俊敏性をユーザーに提供します。 一般の人々はIoT内の脆弱性に目を向け始めており、より安全なデバイスを求めている人々が増えました。また、責任ある製造業者は設計段階で計画されたセキュリティ基準でデバイスを製造しています。 長期的に見ると、製造者と設計者は設計・製造の形を整える必要があります。IoTの製造者が安全な機器を提供することができなければ、政府は強制的にそれを実現させることになるでしょう。英国政府は、IoTに関する新しい草案で、「政府がこの問題を解決することが政府の意向であることを明確に示しました。明確なセキュリティガイドラインは消費者に期待され、IoTプロデューサーによって提供されることになるのです。しかし、このような流れが速やかに行われなければ、法律によってこれらのガイドラインを義務化する見通しだ」としました。政府はこれらが公安の問題であることを認識して初めて、徹底されることになります。 文化、業界の規範、法律などを通じて、すべてのメーカーで良好なセキュリティが標準化されるまで、IoTがもたらす脅威から身を守ることはユーザーの責任です。その間に、PKIはこれを行う手段を提供し、企業が革新を提供することができるようにします。

原文はこちら

UP NEXT
5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失