PKI (公開鍵基盤) 04-10-2018

ホスピタリティ業界でインターネットに接続されたデバイスを保護する方法

Dean Coclin
Blog | DigiCert

2月中旬、私はホスピタリティ業界でInternet of Things(IoT)デバイスを保護することに焦点を当てたセミナーに参加しました。このイベントは、CLM(Claims and Litigation Management Association:苦情/訴訟管理専門家協会)によって主催されたものです。 ホスピタリティの現場でIoTデバイスがどのように使用されているか考えたことはありますか?現在家庭で利用されているスマートホーム製品と同じようにホテル等で利用されているのです。考えてみてください。お客様が到着する前に室温を調整する温度調節器、遠隔で水の流れを制御する給水装置、オフシーズンで閉鎖されているリゾートの監視装置、部屋の鍵として利用できるスマートフォン、全部屋に設置された時計の時刻を正しく管理する機器、どんな要求にも対応するバーチャルコンシェルジュアプリとスピーカー(Amazon Echo“Alexa”のようなもの)。これら全てのデバイスには共通点があります。第一に、公共のインターネットを使って通信します。そして、お客様あるいは経営者たちに利益を提供します。素晴らしいですよね?どんな問題が出てくるというのでしょうか?

まず、インターネットに接続されているものはすべて危険にさらされています。IoTデバイスの場合、開発においてセキュリティは最優先事項ではありませんでした。ほとんどのデバイスは、デバイス認証、デフォルトパスワードの変更機能、安全な更新方法、ファイアウォールの導入など、基本的なセキュリティ原則を考慮せずに開発されました。残念なことに、消費者向けデバイスは非常に厳しい競争環境にあり、市場投入までの時間とコストが最重要とされているのです。セキュリティは後回しにされ、必須要件ではなく“負担”と考えられてきました。サイバー犯罪者は常にネットワークへの侵入方法を探しており、これらのデバイスは犯罪者たちにとって容易なアクセスポイントとなるのです。 ホスピタリティ業界でこのような弱点を利用するのは誰でしょうか?動機を持ち、接触する機会がある“誰か”です。例えば、ホテルで不快な思いをされたお客様がたまたまハッカーである場合。あるいは、退職させられた従業員がコンピュータスキルのある人間だった場合。彼らはどんな被害を与えることができるでしょうか?攻撃者に身代金(多くの場合、Bitcoinのような追跡不可能な通貨が使われる)が支払われるまで正当なユーザーをロックアウトするランサムウェアをインストールすることや、デバイスに不正侵入して新しいファームウェアをインストールし遠隔制御ボット変えることもできるのです。 突然、雷雨の中スプリンクラーシステムが作動し始めたり、夏に室温が32℃まで上げられたり。あるいは、オフシーズンで閉鎖中のリゾート施設のはずが、高い公共料金の請求を受けることも考えられます。また、不正侵入したデバイスをネットワーク化して、「ボットネット」を作成し、それを利用して外部ターゲットに対して分散サービス拒否(DDOS)攻撃を開始することもできます。これはまさに複数の企業や教育機関が被害にあったMirai攻撃を受けた際に起こった事です。 議論を経て、パネリスト達は以下の提言に同意しました。
  1. デバイスがインターネットに接続する必要がない場合は、接続しないこと。
  2. ソリューションを調達する際には、「成熟した」製品を求めること。その市場に長くいるベンダーから第一世代の製品ではないものを購入すること。
  3. デフォルトのパスワードをすぐに変更すること。
  4. デバイス上のファームウェア/ソフトウェアを定期的にアップデートすること。
  5. IoTデバイスを定期的に棚卸すること。製品のリコールや更新の際に何を持っているかすぐに把握する事ができるからです。そして、ITチームがそれらを管理していることが重要です。
  6. 不正侵入を受けた場合は、デバイスをネットワークから切り離し、できるだけ早く当局に通報すること。なお、当局が指示するまで電源を切らないこと。
大部分の資産が把握されていない、または、準備が整っていないホスピタリティ業界にとって、IoTデバイスは大きな攻撃対象となるのです。上記の提言に従うことで、ホテルやリゾートの安全とセキュリティを確保するための適切な措置を講じることができます。

PKI(Public Key Infrastructure)ソリューションは、デバイスの製造者がこれらの問題を解決するのに大変役立ちます。 PKIは、認証、整合性、否認防止、および暗号化といういくつかの特性を持ちます。したがって、デバイスを認証する、無線でのアップデートを実行する、デバイス間の通信を暗号化する、等の場合PKIは大変有効です。ほとんどの企業は、PKIソリューションを展開する専門家ではありません。 DigiCertは完全なアウトソーシングサービスを提供しているため、製造者はPKIのライフサイクルを気にせずに製品を構築し販売することができます。

原文はこちら

UP NEXT
5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失