DigiCertが、現実の問題を解決するために、デジタルトラストの確立、管理、拡大をどのように支援しているかをご覧ください。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
2023年8月15日よりCertCentralのサインインではユーザ名とパスワードのほかにワンタイムパスワード(OTP)もしくはクライアント証明書の二要素認証による提示が必要となりました。 設定等についてはこちらのKnowledgeを参照ください。
2月中旬、私はホスピタリティ業界でInternet of Things(IoT)デバイスを保護することに焦点を当てたセミナーに参加しました。このイベントは、CLM(Claims and Litigation Management Association:苦情/訴訟管理専門家協会)によって主催されたものです。 ホスピタリティの現場でIoTデバイスがどのように使用されているか考えたことはありますか?現在家庭で利用されているスマートホーム製品と同じようにホテル等で利用されているのです。考えてみてください。お客様が到着する前に室温を調整する温度調節器、遠隔で水の流れを制御する給水装置、オフシーズンで閉鎖されているリゾートの監視装置、部屋の鍵として利用できるスマートフォン、全部屋に設置された時計の時刻を正しく管理する機器、どんな要求にも対応するバーチャルコンシェルジュアプリとスピーカー(Amazon Echo“Alexa”のようなもの)。これら全てのデバイスには共通点があります。第一に、公共のインターネットを使って通信します。そして、お客様あるいは経営者たちに利益を提供します。素晴らしいですよね?どんな問題が出てくるというのでしょうか?
まず、インターネットに接続されているものはすべて危険にさらされています。IoTデバイスの場合、開発においてセキュリティは最優先事項ではありませんでした。ほとんどのデバイスは、デバイス認証、デフォルトパスワードの変更機能、安全な更新方法、ファイアウォールの導入など、基本的なセキュリティ原則を考慮せずに開発されました。残念なことに、消費者向けデバイスは非常に厳しい競争環境にあり、市場投入までの時間とコストが最重要とされているのです。セキュリティは後回しにされ、必須要件ではなく“負担”と考えられてきました。サイバー犯罪者は常にネットワークへの侵入方法を探しており、これらのデバイスは犯罪者たちにとって容易なアクセスポイントとなるのです。 ホスピタリティ業界でこのような弱点を利用するのは誰でしょうか?動機を持ち、接触する機会がある“誰か”です。例えば、ホテルで不快な思いをされたお客様がたまたまハッカーである場合。あるいは、退職させられた従業員がコンピュータスキルのある人間だった場合。彼らはどんな被害を与えることができるでしょうか?攻撃者に身代金(多くの場合、Bitcoinのような追跡不可能な通貨が使われる)が支払われるまで正当なユーザーをロックアウトするランサムウェアをインストールすることや、デバイスに不正侵入して新しいファームウェアをインストールし遠隔制御ボット変えることもできるのです。 突然、雷雨の中スプリンクラーシステムが作動し始めたり、夏に室温が32℃まで上げられたり。あるいは、オフシーズンで閉鎖中のリゾート施設のはずが、高い公共料金の請求を受けることも考えられます。また、不正侵入したデバイスをネットワーク化して、「ボットネット」を作成し、それを利用して外部ターゲットに対して分散サービス拒否(DDOS)攻撃を開始することもできます。これはまさに複数の企業や教育機関が被害にあったMirai攻撃を受けた際に起こった事です。 議論を経て、パネリスト達は以下の提言に同意しました。PKI(Public Key Infrastructure)ソリューションは、デバイスの製造者がこれらの問題を解決するのに大変役立ちます。 PKIは、認証、整合性、否認防止、および暗号化といういくつかの特性を持ちます。したがって、デバイスを認証する、無線でのアップデートを実行する、デバイス間の通信を暗号化する、等の場合PKIは大変有効です。ほとんどの企業は、PKIソリューションを展開する専門家ではありません。 DigiCertは完全なアウトソーシングサービスを提供しているため、製造者はPKIのライフサイクルを気にせずに製品を構築し販売することができます。
原文はこちら
© 2024 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム