PKI:IoT認証問題の解決へ向けて

いわゆるビッグデータとコネクテビィティは、私たちの生活やビジネスのあり方を変え
ています。デバイス、製品、システムを常時、グローバルなインターネットに接続することで、意思決定の改善、パターンの分析、企業の収益向上を図るための豊富なデータを手軽に手に入れることができます。

すべてをインターネットに接続するこの動きは、しばしばInternet of Things(IoT)と呼ばれます。しかしながら、スマートカー、産業プラント、ホームオートメーションシステム、または接続された医療機器といったものが提供される際に、情報セキュリティは後回しにされています。

宣伝されているように製品が機能していることを確認することがまず必要です。IoTの次のステップは設計段階でのセキュリティの組み込みであり、致命的な攻撃を防ぐためにはデバイスとシステムの認証が不可欠です。最も一般的には、SSL / TLS証明書を使用してWebサイトを認証し、電子商取引のデータを暗号化する方法が考えられます。

公開鍵インフラストラクチャ(PKI)は、IoTデバイスとシステムを今日現在、安全に保護するスケーラブルで柔軟なソリューションを提供します。ガートナーのアナリストは下記のように述べています。「公開鍵基盤(PKI)は、組織がIoT認証問題に対処する最も関連性の高い認証メカニズムの1つとして再浮上するでしょう。 PKIの柔軟性は、クロスプラットフォーム、マルチプロトコルのアプローチで要件を変更し、アイデンティティを確認する際に有効です」
ガートナーはまた、今後5年間で発見、プロビジョニング、認証、データ保護といった分野の支出がセキュリティ支出の半分を占めると予測しています。

進化する脅威

今後数年間に市場に出回ると予想される接続デバイスの数は、指数関数的な拡大が予測されています。ガートナーは、2020年までに、世界中に250億以上のIoTデバイスが存在すると予測しています。これは、地球上に住む男女一人当たり約3つの接続デバイスです。この急速に拡大するデバイスを攻撃に使用されるリスクにより、IoTの成長や今日の生活様式を脅かす新たな脅威や脆弱性が浮上しています。

2008年に、ハッカーはトルコの石油パイプラインへの監視カメラを無効にしました。これにより、警報が発生することができなくなりました。通信を遮断さたパイプラインは超高圧をかけられたにもかかわらず、警告を発することはなく、施設を監督するチームが圧力上昇の適切な通知を受け取れなかったため、大規模な爆発が発生しました。

最近では、輸液ポンプを攻撃するデモンストレーションが行わています。このデモでは、ハッカーがどのように制御を奪い、救命中の患者に適用されている救命医療薬の量を変更できるということを示しています。

これらの報告に対応して、米国食品医薬品局(FDA)は最近、インスリンポンプの脆弱性に関する警告を発し、その後、医療機器におけるサイバーセキュリティのポストマーケットマネジメントの指針案を発表しました。

昨年、警備会社は、MRI装置から血液ガス分析装置に至る医療装置の脆弱性によって3つの病院がセキュリティ侵害を受けたと報告しました。また、セキュリティ研究者がジープの制御を奪い、ハンドルを操作して溝に落としたという、広く視聴されているオンラインビデオも公開されました。別の事件では、攻撃者はスマートライフルをハッキングし、乳幼児モニターの制御を奪い、幼児に直接話しかけました。これらの多くの攻撃はまだ実世界で行われておらず、脅威を示すデモですが、悪意を持ったハッカーが接続されたデバイスやシステムに見られる脆弱性を介してビジネス、コミュニティ、国家に重大な害を及ぼすのは時間の問題です。つまり、業界がセキュリティにもっと注意を払っていない限り、こうした脅威は現実として起きうることなのです。PKIは、IoTを介して送信される重要なメッセージの整合性を保護するために、デバイス検出、認証、およびデータ暗号化といった機能をスケーラブルに提供します。

PKIですべてのものを認証する

IoTの挑戦と市場に参入する数十億の接続デバイスは信頼が非常に重要です。非常に多く
のデータがWeb上を流れているため、誰がデータの送受信を許可されているかを知ること
が重要になります。これには、デバイスからクラウドサービス、およびデバイスユーザーに対する強力な認証が必要です。IoTでは、危険の度合いは他と比べ、きわめて高いものとなります。情報が間違った人間の手に入るか、または輸送中のデータの完全性が担保されないされた場合、輸液ポンプやペースメーカーに頼っている患者は生命の脅威に遭遇する可能性があります。
また、運転手が高速道路を時速100Km以上で走行していることも珍しくありません。組織は、IoTデバイスやシステムに信頼性が高く、そしてスケールする資格情報を提供する必要があります。

PKIの応用

相互運用性のためのオープンスタンダードを使用することで、PKIはさまざまなプロトコルやプラットフォーム間での多くのユースケースに対応できます。PKIは、PGPなどのより個人的な認証および暗号化とは対照的に、拡張可能であり、数十億のIoTデバイスおよびシステムに集中管理されたデジタル証明書をプロビジョニングできます。各デバイスとユーザーに固有の秘密鍵を提供することで、認証されたデータのみが流れ、暗号化され、監視と侵入者がアクセスできない安全なデジタルトンネルが構築されます。

このタイプの作業はすでに革新的な企業によって行われています。たとえば、PlexとDigiCertは、TLS証明書を使用して数千万台のデバイスとサーバーを保護するパートナーシップを2015年6月に発表しました。PKIは、接続された医療機器、産業システム、スマートな家庭や都市、その他多くの次世代製品を保護するために使用されているため、これはほんの始まりです。IoTはまだ発展中ですが、私たちはセキュリティを正しく実行し、誤ったセキュリティの潜在的な結果を制限する方法でこれらのデバイスを有効にする時間があります。

未来の接続ライフスタイルのための証明書管理

IoTには、高速でスケーラブルで信頼できるデジタル証明書の導入が必要です。パブリックインターネットを介して通信する場合、これらの企業は公的に信頼できる証明書ルート権限を使用する必要があり、ユーザーがWeb上の承認された場所に接続していることを確認するのに役立ちます。他のIoT環境は、閉じたシステムで動作するため、公衆の信頼に依存しません。これらのネットワークはプライベートPKIを利用できますが、依然として信頼できるパートナーだけが提供できる高度な自動化と証明書管理が必要です。

公共の信頼が必要かどうかにかかわらず、企業はデバイスを発見し、信頼できる認証情報を提供し、Webサーバーとネットワークへのアクセスを認証し、転送中のデータを暗号化する必要があります。包括的なデジタル証明書管理は、これを大規模に行うことができます。PKIが重要なIoTデバイスやシステムを今日どのように保護するかについて、次の3つの基本シナリオを考えてみましょう。

配布サービスまたはプラットフォームサービスの証明書の展開

証明書の展開:デバイスに直接展開する

証明書の展開:製造時に署名

DigiCertは、IoTを念頭に置いてモダンで堅牢な証明書管理プラットフォームを構築しました。これには、RESTプロトコルを使用するレスポンシブで柔軟なAPI、業界最速のレスポンスタイムに対応するCDNによる証明書チェックを行うOCSPレスポンダ、および数十億の証明書をシームレスに処理するためにテストされたクラウドベースの証明書管理システムが含まれます。同社の高度な証明書管理プラットフォームであるCertCentral(R)は、高速インストール・コマンドによるIoTプラットフォーム全体の証明書のインストールを簡素化します。企業はまた、証明書の有効期限、不正な証明書、および脆弱性を提示する可能性のあるベストプラクティスにおける構成の貧弱さやその他のギャップを監視するために、独自の証明書の見方を得ることもできます。

待ってはいけない、PKIを今すぐ使用する

PKIは、IoTで認証を必要とする多くのもののオンライン識別として機能する、最も拡張性と柔軟性があり、既製のソリューションを提供します。私たちがPKIの可能性をどのように活用し、それをIoT製品開発および管理システムに組み込むかによって、IoTの未来がどのように成功するかが決まります。

原文はこちら