IoT の導入により、IoT デバイスの機能に関連する多数の IoT セキュリティ問題が発生します, 処理能力とストレージ能力の点で軽量な暗号化アルゴリズムの必要性など, 標準プロトコルの使用。IoTデバイス 従来のインターネットベースのコンピュータよりも処理能力が低く、メモリ リソースが限られているため、セキュリティの脅威に対して脆弱です。, 保護の執行を強化する. 現在のインターネット ネットワーク プロトコルは IPv4 から IPv6 に移行しており、グローバル IP アドレスを持つ IoT デバイスがますます増えています。, これらのデバイスをセキュリティ攻撃のターゲットとして特定するのに役立ちます. IoT デバイスの自律的な動作と通信もセキュリティ攻撃を促進します. したがって, IoT システム向けの新しくて強力なセキュリティ ソリューションが緊急に必要とされています. この記事では、ネットワークからハードウェアまでモノのインターネットについて説明します。, ソフトウェア, あらゆるレベルの議論におけるその他のセキュリティ問題.
1. IoTのセキュリティ問題とは何ですか?
IoT のセキュリティ上の懸念は IT セキュリティと多くの共通点を持っています. しかし, IoT システムは個人の私生活をデジタル化するため、より高い感度と機密性を必要とします。. IoT テクノロジーの機密性は、セキュリティに対する高い要件から生じます, 極めて高い機密性を持って, 信憑性, プライバシー, そして誠実さ. IoTのセキュリティには物理的および論理的な問題がある. 一方では, 物理的な問題はデバイスのエネルギーです. ほとんどの IoT デバイスはバッテリーで駆動されます, エネルギーが比較的不足しているため、. 一方で, IoT デバイスの処理能力は比較的低く、メモリ リソースは限られています. 認証に論理的な問題が存在します, マルウェアからの保護, プライバシー保護, そして監視.
インターネットとそのテクノロジースタックは何十年も前から存在しています. この間, 集中化されたクライアントとサーバーのアーキテクチャが、現在のプラットフォームとサービスを構築する基礎となった. これらのアーキテクチャは、IoT の観点から見ると扱いにくい場合もあります. 例えば, 無数のワイヤレスセンサーがデータを集中サービスに送信する必要がある場合, モノリシック サービスは、セキュリティ アップデートを分散型または分散型センサー ネットワークに配布できる必要があります。. これらのセンサー ネットワークは通常、分散型通信アーキテクチャの恩恵を受けます。, ある程度は自己管理が可能です. 伝統的に, 分散型アーキテクチャを作成する際の障壁となっているのは、他の参加者からの信頼です. 暗号通貨ビットコインの導入は、二者間に信頼が必要ないことを前提としています. これは、以前のトランザクション履歴を利用しながら、新しいトランザクションの検証の証拠として分散型コンセンサスメカニズムを組み込むことで実現されます。. したがって、これは暗号通貨の範囲外の一般化されたトランザクションの設計にまで拡張されます。. 今日, この一般化されたメカニズムは、多くの場合、ブロックチェーンと呼ばれます。.
規制当局からの最近の注目, 特に欧州連合では, IoT 分野におけるセキュリティとプライバシーへの注目が高まっています. ブロックチェーン技術の採用は、将来のIoTシステムが規制要件を満たすための実行可能なソリューションとして大きな可能性を秘めています。. IoTデバイスの設計に関する規制要件について, 欧州議会は最近、新しい指令と規制を可決しました. これらの要件, 世界で最も厳しいと考えられる, EU に個人データを提供する場合、または EU 居住者の個人データを処理する場合、デバイス メーカー、サービスおよびプラットフォーム プロバイダーに適用されます。.
加えて, EU 加盟国は、機密情報を扱う分野に対していくつかの分野固有の規制を設けています。, ヘルスケアや金融サービスなど. 米国には一般的なデータ保護法やプライバシー法が存在せず、主に業界に関連する少数のプライバシー関連法に依存しています。. 情報システムの設計に対するアメリカのアプローチでは、一定レベルのプライバシーの維持について共通の結論に達することが困難になっています. 例えば, 同じIoTシステムを異なる地域で使用できる, 一般的なプライバシー要件または定義の欠如がそれを示唆しています. したがって、製造業者は、設計システムの使用目的を少なくともある程度予測する必要があります。, デザインシステムが米国への入国を制限されている場合のデザインシステムの使用目的. 市場.
一方で, 人々は、EU の規制要件を、個人データを扱うとき、または特定の重要なインフラストラクチャの運営者と取引するときに満たすべき義務のベンチマークとみなす可能性があります。. 情報システムの開発と管理を担当する EU の法律と規制は 2 つあります。. それは一般データ保護規則です (GDPR) およびネットワークおよび情報システムセキュリティ指令 (NIS指令).
GDPR には加盟国間で微妙な違いがある可能性があります, しかし、これは EU 内の統一されたデジタル単一市場の基礎を築くものです. 指令として, 加盟国はNISに対して異なるアプローチをとる可能性がある, ただし、これは情報システムに対するセキュリティ責任の最低レベルと考えられるものを定義しています。.
モノのインターネットとは(IoT) プライバシー?
の発展に伴い、 IoT技術, デジタル技術は私たちの生活と環境にさらに浸透しています. ストラテジー・アナリティクスによると, 世界中で接続されているデバイスの数に達しました 22 年末までに10億 2018 に達すると予想されます 50 10億まで 2030. 楽観的なデータに基づく, IoT と人工知能の組み合わせにより、よりインテリジェントなコミュニケーション方法が生み出されます。全体, モノのインターネットの社会的および経済的影響は重大になるでしょう, 接続されたデバイスが私たちの生活のあらゆる側面に組み込まれている, ウェアラブルから車両のインターネット、スマートホーム、あらゆるもののインターネットまで. モノのインターネットの利便性と遍在性は大きなメリットをもたらします, しかしそれは、情報収集がオンラインの世界からオフラインの世界に移行することも意味します, 私たちの身体やプライベート空間が情報収集源となる. この文脈では, モノのインターネット, 特に消費者向けモノのインターネットに関連するプライバシー問題, 注目の的となっている. 9月に 19, Internet Society は、「ポリシー概要」と呼ばれる IoT プライバシーに関するレポートを発表しました。: 政策立案者のための IoT プライバシー」, モノのインターネットが個人のプライバシー保護にもたらすリスクと課題を分析します。, そして政策立案者に具体的な行動の推奨事項を提案します, IoTサービスプロバイダーおよびその他の関係者, そして、マルチステークホルダーの協力参加によるガバナンスモデルの強化を求めています。.
モノのインターネットの発展により、コンピューター以外の日常の物体やセンサーでも、, 人間の介入を減らしてデータを交換および消費する. 今日, モノのインターネットは規模の発展傾向を示しています (接続されているデバイスの数は増え続けています), 親密 (ウェアラブルデバイスおよび人体に埋め込まれたデバイス, 等), 遍在する, 常に接続されている, そしてインテリジェントな. しかし、この規模の開発はプライバシー保護に影響を与える可能性があります, 個人をより簡単に特定できるようにする, 追跡された, プロファイルされた, そして影響を受けた.
個人のプライバシー保護に対するモノのインターネットの課題には次のものがあります。: 初め, モノのインターネットの保護は広範囲に及びます, さまざまな部門や管轄区域の規制境界を含む. 一方では, プライバシー法は分野ごとに細分化される傾向がある, 医療プライバシーなど, 経済的プライバシー, 学生のプライバシー, 等, IoT デバイスとサービスは分類が困難です. 一方で, 国や地域が異なれば、IoT デバイスやサービスに対するプライバシー法も異なる可能性があり、データの収集と処理が異なる法域で行われる場合には、異なる規制に直面することになります。. 2番, IoTはユーザーからインフォームド・コンセントを得るのが難しい. IoT導入時, デバイスの所有者からインフォームドコンセントを取得することに加えて、, 同時に周囲の人の同意を得ることが難しい. IoTデバイスは時計などのありふれたものと変わりません, スピーカー, そしてテレビ, そのため、デバイスがデータを収集および処理しているかどうかを知るのは困難です. ついに, IoTの課題 プライバシー保護の透明性原則. 例えば, ウェブサイトとは異なります, アプリ, 等, IoT デバイスとサービスは、ユーザーにプライバシー ポリシーを提示できない可能性があります, データを収集していることをユーザーにうまく伝えられない可能性があります.
これらの課題に適切に対処し、モノのインターネットに関連する個人のプライバシーの保護を強化するため, インターネット協会は 4 つの勧告を提出しました: 初め, IoTデバイスとサービスに対するユーザーの有意義な制御を強化する, IoTデータ管理の強化. 具体的には, それは含まれます: サービスプロバイダーの責任を明確にする, 個人データを収集する際にユーザーからインフォームドコンセントを取得することを含みます, 透明性を高める, データを安全に保存する, 等; IoTデバイスとサービスにおけるオープンスタンダードと相互運用性の促進; データ最小化の実践を奨励する. 2番, ユーザーデータの収集と使用の透明性を向上させる. 例えば, ユーザーが理解しやすい方法で IoT デバイスの機能とデータ収集をユーザーに通知する, ユーザーに対する効果的な同意およびオプトアウト機能を設定する, プライバシーポリシーの明確性を向上させる, データのライフサイクル全体を通して透明性を向上させる, プライバシーとセキュリティを確保します. 製品のライフサイクル全体を通じて保護されます, 等. 三番目, プライバシーに関する法律や政策は、テクノロジーの発展と歩調を合わせています。具体的には, それは含まれます: 既存のプライバシーと消費者保護法の改善; プライバシー保護法の適応性と範囲の見直し; プライバシー研究者がプライバシー問題の調査によって法的リスクを負わないようにするため、プライバシー研究者に対する法的保護を強化する; ネットワーキングの広範な利用は差別や不公平な慣行を悪化させない; IoT開発におけるプライバシー影響評価の導入, 等. 第4, マルチステークホルダーの参加を強化する. IoT関連のリスクと課題の解決には政府の共同参加が必要, 公共, 業界, 学術界, 社会組織, および技術者. 社会レベルで広範な対話を実施すべきである, そして消費者の発言権に注意を払うべきである.
全体, IoT とクラウド コンピューティングなどの新興テクノロジーの組み合わせ 人工知能 私たちの経済と社会をさまざまな方法で変革するでしょう. テクノロジーは大きなチャンスをもたらします, しかし、それにはリスクも伴います. IoT の利点がプライバシーのリスクをはるかに上回るようにするには、適切な措置を講じる必要があります。, 安全, 等. これには関係者全員の協力が必要です, 政府も含めて, メーカー, 消費者, 等, IoT テクノロジーが責任ある持続可能な方法で開発されるようにする. 海外ではすでにIoTのプライバシーとセキュリティに関する法制化が進んでいる. 法制化にはIoTデバイスやサービスの特性を考慮し、柔軟かつ合理的な規制メカニズムを採用する必要がある. 例えば, EUのGDPRでも, ユーザーのインフォームドコンセントは、サービスプロバイダーがユーザーの個人情報を収集および処理する唯一の法的根拠ではありません. したがって, モノのインターネットのプライバシー ポリシーはインフォームド コンセントに限定されるべきではなく、技術的特性を考慮する必要があります。, そして特定の状況下では, 事前の許可からプロセス中およびイベント後のデータ保護義務に変わります. 加えて, 消費者のプライバシー意識が目覚めている. 例えば, アンケートで, 77% の消費者は、IoT のプライバシー保護機能とセキュリティが、購入を決定する際に考慮すべき重要な要素であると回答しました. IoT メーカーは、IoT を開発および構築する際に、ユーザーのプライバシーとデータ セキュリティの問題を考慮する必要があります. 「プライバシー・バイ・デザイン」の概念を実践し、データに対するユーザーの制御を強化します。.
なぜですか 私ああT 安全 致命的?
01. 今日、IoT セキュリティが非常に重要になっている理由
今日, モノのインターネットのデバイスとアプリケーションは人々の仕事や生活に広く使用されています, そして、ほぼすべてのオブジェクトがインテリジェントになり、グローバル インターネットに接続される利点を活用できるようになります。.
初期の頃, ネットワークの脅威は企業の IT 施設に集中していました, 現代世界では、それらはより広範囲に、頻繁に行われるようになりました。. IoT のセキュリティ対策を議論する前に, モノのインターネットを取り巻くネットワーク脅威ベクトルのいくつかを理解することが重要です.
02. モノのインターネットの一般的な脅威ベクトル
脅威ベクトルとは、サイバー犯罪者がネットワーク内で動作している企業のコア システムにアクセスできる経路または手段を指します。. IoT における最も一般的な脅威ベクトルには、次のようなものがあります。:
(1) 物理的な境界はありません
IoT ネットワークの境界は、従来のインターネットの境界よりもオープンです. デバイスへのアクセスを制限する従来のセキュリティ方法はもう利用できません. これらの IoT デバイスは、必要に応じて新しい場所に移動し、ネットワークにアクセスできます。.
(2) Wi-FiおよびBluetoothのデータ漏洩
IoT の Wi-Fi および Bluetooth 構成はデータ漏洩の主な原因. ブルートゥース パスワードが弱い WI-FI は、データ送信中にネットワーク攻撃者によって簡単に盗まれる可能性があります。. また, ほとんどの場合, 設定に使用されるパスワードはデバイスごとに一意に設定されるわけではありません. 1 つのデバイスのみがネットワークによって攻撃され、侵害された場合, 不正アクセスのための隙間が残される.
(3) IoTデバイスへの物理的アクセス
サイバー攻撃者がIoTデバイスやワークロードに物理的にアクセス, すべての脅威ベクトルの中で最悪のもの. このアクセスにより, サイバー攻撃者は、IoT デバイスの内部情報とそのコンテンツに簡単にアクセスできる. BusPirate などのツールを使用する, シクラ, またはLogicAnalyzer, ネットワーク内のすべてのトラフィックを読み取ることもできます. 物理的なアクセスがある場合, サイバー攻撃者はパスワードを抽出できる, 彼らのプログラムを修正する, または、管理する他のデバイスに置き換えます.
03. イオT 対IT
多くの IoT デバイスがエッジにある一方で、, ITインフラはクラウド上にある. IoT セキュリティに対する脅威により、サイバー攻撃者が IoT 脅威ベクトルを通じてコア IT ネットワークにアクセスする可能性があります。. ここでは実際のサイバー攻撃をいくつか紹介します.
- HVAC システムを介したネットワークへのアクセスはデータ侵害につながります
メディア報道によると, 株式会社ターゲット, 上位の一人 10 米国の小売業者, ハッキングされて盗まれました 40 会社からの何百万ものクレジットカード番号. これは世界最大のデータ侵害の 1 つです. ハッカーはサードパーティの認証情報を盗むことで HVAC システムをハッキングし、企業ネットワークにアクセスしました.
- SubwayPoS がハッカー攻撃を受ける
現在、PoS に関連するセキュリティバグがいくつか報告されています。. SubwayPoS の侵害により、 $10 百万, 少なくとも 150 対象となるサブウェイのフランチャイズの数. 米国の書店バーンズでも同様のハッキングが発生 & ノーブル, どのクレジット カード リーダーが 63 店舗が攻撃され侵害された.
SamSam ランサムウェア
システム侵害のもう 1 つのよく知られたケースは、SamSam ランサムウェアによるサイバー攻撃です。, コロラド州運輸省やサンディエゴ港などの行政機関を襲った。 2018 そして突然サービスを停止した.
04. IoT規制
一部の国や地域ではIoT規制が発令されていますが、, サイバー攻撃に伴うリスクを軽減するには十分ではありません. カリフォルニア州には、サイバー攻撃の抑制に関して合理的なセキュリティレベルの規制がある. 同じく, 英国は独自のパスワードポリシーを導入しました, また、企業は、脆弱性を開示して定期的なセキュリティ更新を実行するために、ローカルの IT インフラストラクチャに接続されている IoT デバイスに明確な連絡先の詳細を提供する必要があります。. これらの規制ガイドラインは多くのセキュリティ評論家によって歓迎されていますが、, 誰がこれらのポリシーを施行するのかは不明です. コメンテーターは、既存の規制当局を通じて規制がどのように施行されるかを理解するために取り組んでいると付け加えた。.
サイバー攻撃者の戦略と対策がより迅速に更新される, これらの規制は、毎年または半年ごとに発行または施行される場合があります。. したがって, 規制ポリシーだけではサイバー攻撃者による攻撃に対応するのは困難.
05. 企業が取るべきセキュリティ対策とは
上記規定を遵守しつつ、, 企業はIoTデバイスの導入に向けてセキュリティ対策を開発する必要がある.
初め, IoT デバイスのセキュリティを判断する必要がある. IoT デバイスが一意の ID を持つようにすることが重要です, 他のセキュリティ対策の基礎となるもの.
それから, アイデンティティ層に基づく, ソフトウェアは署名付きコードなどの手段によって保護されています, ファームウェア, 等.
ついに, 企業は、どのバージョンのソフトウェアを実行するかを決定するために、最上位レベルでコンプライアンスを遵守する必要があります。.
イオT ハードウェアセキュリティ
電子製品の設計において, 安全は最も重要です. これは特にコンプレックスに当てはまります, リソースに制約のある, 高度に接続されたモノのインターネット (IoT). IoT セキュリティを実現するには、実証済みのセキュリティ原則に依存し、進化する脅威に対する警戒が必要です. しかし、設計エンジニアは、製品を市場に投入する際に、IoT セキュリティのいくつかの課題に直面します。.
01. IoTはセキュリティの脅威に直面している
IoT は現在、ほとんどの産業および商業業務に組み込まれています。, 公共事業を含む, 重要なインフラ, 交通機関, ファイナンス, 小売り, とヘルスケア. IoT デバイスは物理世界を感知して測定し、人間のさまざまな活動に関するデータを収集できます, インテリジェントなシステムの広範な展開を促進する, 自動化された, 自律的な指揮制御技術. スマートデバイスを相互接続するユビキタスIoTを通じて, 企業は、将来の人間社会と経済生活のあらゆる側面を改善する真に革新的な技術を生み出すことができます。. しかし、主流メディアはほぼ毎週、デジタルセキュリティ侵害について報道しています。. 報告されている損失の多くは、消費者のクレジット カード情報の盗難または悪用です。, 毎日発生する何千ものサイバー攻撃に比べれば、これらはバケツの中の小さなものです. セキュリティ攻撃には、貴重なデータが盗まれ、広範囲にわたる損害が発生することが含まれます, そしてさらに, 重要なシステムを制御する. 消費者の視点から, 分散型サービス妨害 (DDoS) 攻撃はおそらく最も一般的な脅威です. Mirai ボットネット, インターネット全体を混乱させた 2016, 最初の警鐘を鳴らした, 政府機関に脅威を認識させる. ミライの後, エイドラ, ウィファッチ, そしてガフジット, BCMUPnP などの新しいボットネットだけでなく, ハンター52, と鳥居53, 累積的に数百万台の IoT デバイスに侵入して DDoS マルウェアを拡散させています, 暗号通貨マイナー, そしてスパム.
より多くのIoTデバイスが私たちの仕事や生活に登場するにつれて, 潜在的なセキュリティ攻撃はどこにでも存在し、その規模はますます大きくなっています. インテリジェントな交通制御を例に挙げます. センサーのインフラが整った大都市を想像してみてください。, 信号機, 車のメッシュネットワーク, トラフィックの流れを制御する制御デバイスが敵にさらされる. 重要な交差点での信号機の制御や無線ネットワークを介した車両間の通信は、もはやハリウッドの超大作映画の話ではありません。, しかし、現実的で深刻な問題です.
インターネット対応の医療機器についても考えてみましょう, 小売ショッピング体験の向上に役立つ店舗のスマートラベル, 家電製品がどのように接続されているか. スマホでコンロを点火できれば, ロックを解除し、警報システムをオフにします, 他の人はどうですか?
上記の例は私たち全員に当てはまります, しかし、平均的な消費者には見えない状況がたくさんあります. 想像してみてください 産業用モノのインターネット (IIoT) 自動化された製造環境に導入. セキュリティ侵害が発生した場合、どのような混乱が生じるでしょうか, 生産のダウンタイムと設備の損傷による経済的コストはいくらになるでしょうか?
攻撃の可能性が飛躍的に増大する中, IoT セキュリティは包括的かつ堅牢である必要があります, すぐに回復する能力がある.
02. あなた いけない ソフトウェアアプローチのみに依存する
情報を盗聴したり違法に入手したりする試みは、何も新しいことではありません。. オランダのコンピューター研究者であるヴィム・ヴァン・エックは、以来このことに取り組んでいます。 1985. 彼は、ディスプレイの電磁場を傍受し、それを解読することで、ディスプレイから情報を抽出することに成功しました。. 彼の先駆的な研究は、安価なコンポーネントを使用することで高価なセキュリティ対策を回避できるという事実を浮き彫りにしました。.
このような非侵入的で受動的な電磁サイドチャネル攻撃は現在、より洗練されており、多くの攻撃兵器の 1 つとなっています。. 他のエッジチャネル攻撃手法には、差分電力分析が含まれます。 (DPA) その他, 電磁エッジチャネル攻撃と一緒によく使用されます。. この攻撃を通して, 暗号化キーなどの機密情報, パスワード, 暗号化処理命令が実行されると、IoT デバイスのマイクロコントローラー内の個人情報が電磁信号の形で「侵害」されます。. ソフトウェア無線アプリケーションとしてのブロードバンド受信機は現在非常に安価であり、動作中の電磁信号を検出して保存するために使用できます。.
DPA はより複雑な窃盗方法です, 簡単な電力解析により、デバイス動作時のプロセッサの消費電力を把握できます。. 処理装置の消費電力は実行する機能によって異なるため、, 消費電力を知ることで離散機能を識別できる. AESに基づく暗号化アルゴリズムの機能, ECC, および RSA は大量の計算を必要とし、電力測定分析によって識別できます。. マイクロ秒間隔で消費電力を調べると、暗号化でよく使用されるさまざまな数値演算が明らかになります, 和二乗乗算など. DPA は、単純な電力解析に統計とエラー修正技術を追加します。, 機密情報の高精度な解読を実現します.
有線または無線通信によるデータ漏洩によって機密情報が漏洩する可能性もあります. 秘密チャネルと「中間者攻撃」は、IoT デバイスとホスト システム間の通信を傍受してデータを収集する効果的な方法です. このデータを分析すると、リモート接続されたデバイスの動作を引き継ぐために必要なデバイス制御プロトコルと秘密鍵が明らかになります。.
ハッカーが使用するもう 1 つの攻撃手法は、保護されていないマイクロコントローラーやワイヤレス システムオンチップに対するインプラント攻撃です。 (SoC) デバイス. 最も単純なケースでは, この技術により、マイクロコントローラーの供給電圧が低下したり、干渉したりする可能性があります。, 奇妙な間違いをする. これらのエラーは、他の保護されたデバイスをトリガーして、機密情報を保持するレジスタを開く可能性があります。, それにより侵入にさらされることになる. 周波数を変更してシステムのクロック信号を改ざんする, 間違ったトリガー信号を植え付ける, 信号レベルの変化により、IoT デバイスに異常が発生し、機密情報が漏洩したり、制御機能が操作されたりする可能性があります。. どちらの場合も物理的な処置が必要です, しかし侵襲的ではない, デバイス内のプリント基板へのアクセス.
IoT デバイスの保護に使用されるセキュリティ テクノロジーの多くはソフトウェア ベースであるため、, セキュリティ情報が不正に読み取られる可能性がある. AES などの標準暗号化アルゴリズム, ECC, および RSA は、マイクロコントローラーおよび組み込みプロセッサー上のソフトウェア スタックとして実行されます。. 以下のコストのデバイスとソフトウェア $100 消費電力を確認するだけでなく、DPA テクノロジーを使用してキーやその他の機密情報を取得するためにも使用できます。. これらの分析手法に習熟していなくても、プロセス全体を自動化する既製の DPA ソフトウェア ツールを簡単に入手できるようになりました。.
このような攻撃はもはや理論の領域に限定されません。, そしてそれらは世界中のハッカーによって広く使用されています.
攻撃の激しさが増していく中で, IoT デバイスやシステムの開発者は、セキュリティ保護方法を再考し、セキュリティ保護機能を改善して、より堅牢で復元力の高いものにする必要があります。.
03. ハードウェア的なアプローチ 私を守ってああT 安全
新しいIoTデバイスを設計する前に, デバイスがどのような攻撃にさらされる可能性があるかを包括的に理解することが最善です, そしてどのような種類の脅威から保護する必要があるか. セキュリティ要件を最初から見直し、製品仕様に組み込むことが賢明です。. ほとんどの IoT デバイスは何年も使用できる傾向があります, これだけでもさらなる攻撃につながる可能性があります, だからそれは考慮する必要がある. したがって, ファームウェアのアップデートは無線で実行する必要がある (太田), そしてあらゆる攻撃から守るために, ハードウェアベースのセキュリティ設計を実装するには、チップからクラウドへのアプローチが必要です.
インフィニオンが最近リリースした OPTIGA® Trust M2 ID2 セキュリティ チップは、完全にハードウェアベースのセキュリティ ソリューションです, その最大の利点は、ハードウェア レベルで攻撃に抵抗できることです。. 特別に設計された合理化されたロジックを使用して、データのストレージをより適切に保護します。. 非常に専門的なリバース エンジニアリングにもかかわらず、, 元のデータは簡単にハッキングされたりクラックされたりすることはありません. 一部の専門的な設計や非標準のコード実装は、実際には分析と理解が困難です. 最も重要な点は、ハードウェア ベースのセキュリティ チップ ソリューションが、システム全体の信頼できる「ルート」とシステムの信頼のソースを提供できることです。.
イオT ファームウェアのセキュリティ
IoT端末の数が飛躍的に増加する中で, IoTセキュリティの関連規制と標準は徐々に定着しつつある, 低リソースの組み込みデバイスのファームウェアのセキュリティが徐々に注目されるようになる. エンドツーエンドのIoTセキュリティ検出プラットフォームとして, TinyScan は、ソースから隠された機密情報とセキュリティ リスクを真にスキャンしてマイニングします。. ファームウェア開発者とファームウェア ユーザーの両方がこのツールを使用して、指定されたファームウェアのセキュリティ ステータスを把握し、対象を絞った保護または回避を実行できます。, これにより、ファームウェアの脆弱性によって引き起こされる IoT セキュリティ問題の数が減少します。.
モノのインターネットの時代に, 知覚の三層構造モデル, 伝染 ; 感染, そしてアプリケーションはよく使われます, センサーなどの組み込みデバイス, ゲートウェイ, 3 つのレイヤーに分散されたコントローラーにより、多数の新しいセキュリティ問題が発生しました。: 建築.
01. Sシステムセキュリティ
現在のところ, 主流の組み込みオペレーティング システムは依然として Linux または Linux 派生製品によって支配されています。, さまざまな企業が、製品の要件や特性に応じて Linux システムをカスタマイズおよび開発しています。. しかし, 組み込み機器のリソースには限りがあるため, 既存のセキュリティ防御ソリューションを IoT デバイスに完全に移植することは困難.
02. コンポーネントのセキュリティ
組み込みデバイスはオペレーティング システムとして Linux を使用するため, 多くのオープンソースコンポーネントが使用されることになる. C/S モードの一部のオープンソース コンポーネントの隠れた問題が、モノのインターネット時代に再発見され、活用される可能性があります。. 空間内には同一のIoTデバイスが同時に多数存在するため, 脆弱性が発生した後、デバイスのファームウェアが時間内にアップグレードされなかった場合, 大きな損失を引き起こす可能性があります.
03. R&D 安全性
インターネット時代に, クライアントはサーバーに直接アクセスして制御することはできません, しかし、この現象はモノのインターネットの時代に変化しました. オープンソースのリバースツールを介して, ユーザーは、デバイスのファームウェアに残された構成ファイルと平文情報を簡単に取得できます。, そして、デバイスのアクセス権を直接取得します。, 同じ仕様の多数のデバイスに脅威をもたらす.
以下の観点からファームウェアのセキュリティ分析を行う必要があります。, 分析結果をレポート形式で出力します.
(1) ファイルシステムサービスのセキュリティ分析
● ファームウェアファイルシステムの基本情報を自動的にスキャンして取得します。, CPUアーキテクチャも含めて, 設定時間, 圧縮モード, タイプ, サイズ, ファイルシステムのストレージモード.
● ファイルシステムの基本情報を取得した後, スキャン対象のタイプを決定し、別のスキャン エンジンに切り替えることができます。.
(2) システム & サービス分析コーディング
● システムサービス情報の取得, システムサービスパスとMD5値を含む.
● システムサービス情報の取得による, システムサービスの自己起動状況を知ることができます, 自己起動サービス内に未知の悪意のあるスクリプトが存在するかどうかなどの情報を迅速に把握できます.
(3) 成分 & ソフトウェア安全性分析SPA
● 方向走査, システムコンポーネントの取得 & ソフトウェア情報, コンポーネントを含む & ソフトウェアパス, 説明, とウェブサイトのアドレス;
● コンポーネントを入手することで & ソフトウェア情報, コンポーネントのバージョン情報をすぐに取得できます & ファームウェアにインストールされているソフトウェア, そしてそれに応じてセキュリティスキャンを実行します.
(4)ユーザーパスワードの取得
● ディレクショナルスキャン, ユーザーのパスワード情報を取得する, パスワード関連のファイルパスを含む, およびパスワード情報;
● ユーザーパスワード取得後, ファームウェアの規格外開発によるパスワード情報漏洩の可能性.
(5)暗号認証セキュリティの解析
● 暗号化認証ファイル情報を自動的にスキャンして取得します。, 暗号化認証ファイルのパスと暗号化情報を含む;
● 暗号化認証検出後, ファームウェアの非標準開発による暗号化認証情報漏洩が摘発される可能性がある.
(6)センシティブな分析 情報セキュリティー
ファームウェア内の疑わしい機密情報の自動スキャンと取得には、ハードコードされたトークン/キーが含まれますが、これに限定されません。, 構成のハードコードされたパスワード, ハードコードされたIP, ハードコーディングされたHTTPアドレス, キャッシュファイルの漏洩, 等, ファームウェアの非標準開発によって引き起こされる機密情報の漏洩を暴露する可能性があります.
(7)CVE脆弱性検出
ファイルシステム内のCVE脆弱性情報を迅速に検出, CVE-IDを含む, リリースタイム, 説明, そしてレベル. CVE 脆弱性検出後, 現在スキャンされているファームウェアにインストールされているソフトウェアの最新の CVE 脆弱性情報を取得できます.
モノのインターネット(IoT) ソフトウェアセキュリティ
72% の情報セキュリティ リーダーが、クラウド コンピューティングがデジタル変革の最優先事項であると述べています. クラウドベースの IoT ソフトウェアは、デジタルと物理の両方のセキュリティ要素を統合し、より安全な電話機からデータにアクセスして悪用できるようにします。.
クラウドベースでできること IoTソフトウェア 安全保護をもたらす? この記事では、IoT ソフトウェアがセキュリティ分野のセキュリティ向上にどのように効果的に役立つかを説明します。. また、セキュリティ インシデントに対処するためにデジタル セキュリティ要素と物理的セキュリティ要素を組み合わせる方法についても紹介します。.
01. クラウドベースのIoTソフトウェアの影響
クラウド型IoTソフトウェアがビジネスでさまざまな形で活用されている. そしてクラウドベースのソリューションはセキュリティ分野にメリットをもたらしています. その核心, IoT テクノロジーが企業部門を変革, ビジネスの運営方法を刷新する.
02. クラウドベースのソリューションを統合してデータを活用する
データはあらゆる業界で非常に重要です, セキュリティ分野も例外ではありません. クラウドベースのソリューションを使用する, データと情報を単一のインターフェイスに保存すると、企業はビジネスで何が起こっているかを常に把握できるようになります。.
加えて, AI で強化されたソフトウェアとクラウドベースのソリューションを組み合わせることで、, セキュリティ担当者は、潜在的なセキュリティ脅威をより適切に特定できるようになります。クラウドベースのIoTテクノロジーを活用すると生産性が向上します. 警備員の責任は多岐にわたるため、, カメラのリアルタイム監視は不可能. IoT テクノロジーにより、セキュリティ担当者がいつでもカメラ情報を受け取り、フィードバックを記録できるようになります, どこでも, より良いセキュリティ ポリシーの確立を支援する. 一部の IoT ソリューションは、リアルタイムのビデオと AI 分析ツールを組み合わせてセキュリティ担当者にリアルタイムのアラートを提供し、セキュリティ システムの機能を強化し、セキュリティ インシデントへの対応を迅速化します。.
03. 組み合わせるe フィジカルとサイバーの力 安全
デジタル セキュリティと物理的セキュリティの組み合わせは、IoT セキュリティ システムの最適化に有益です, オンライン侵害や違反からシステムを保護するのに役立ちます. プラス, 物理的なセキュリティ対策はハッカーから機密情報を保護するのに役立ちます. デジタルセキュリティ要素と物理セキュリティチームの融合が強化されるほど, 組織の保護が強化される.
04. ソフトウェアの自動アップデート
IoT システムが侵害された場合でも、組織がサイバー セキュリティの脅威にさらされないようにするには、すべてのソフトウェアを最新の状態に保つことが非常に重要です。. 伝統的に, ローカル セキュリティ システムは、新しいアップグレードのたびに認定専門家によって手動で更新されています. クラウドベースのソフトウェアを使用する, 更新はオンサイトまたはリモートで実行できるだけではありません, 自動化することもできます, コストを大幅に削減.
05. リモート機能
IoTクラウド技術の柔軟な展開により, セキュリティ担当者はモバイルデバイスを使用してセキュリティツールをリモートで操作できます. 例えば, 現在の入退室管理システムで使用されているビデオ インターホン システムを使用すると、セキュリティ担当者が訪問者のスマートフォンでビデオ通話を行うことで訪問者の身元を確認できます。. 加えて, インターホンプログラムはリモートロック解除もサポートしています. ご本人であることが確認できた場合, ドアのロックを遠隔から解除して訪問者が入場できるようにすることができます. クラウドベースのIoT技術の活用により, 来訪者の認証手続きが簡素化され、認証時間が大幅に短縮され、来訪者がより早く建物に入場できるようになります。.
06. 要約する
クラウドベースの採用 IoTソリューション 企業のセキュリティ保護戦略において、時代に合わせたセキュリティ システムを構築するのに役立ちます。. サイバーセキュリティは、企業が IoT テクノロジーを使用する際に直面する脅威と課題です. しかし、物理的なセキュリティ要素とデジタル的なセキュリティ要素を組み合わせることで、, クラウドベースの IoT システムは脆弱性から大幅に保護され、企業が変化するセキュリティ状況に対処できるように保護を強化できます。.
モノのインターネット(IoT) ネットワークセキュリティー
モノのインターネットの急速な発展と同時に, モノのインターネットのセキュリティ問題も頻繁に発生. 鉱山や設備のハイジャック事件が繰り返し発生. スマートホーム製品はセキュリティの抜け穴を突破し続けています, 抜け穴が悪用されると取り返しのつかない経済的損失が発生する. 同時に, これは、モノのインターネット産業の構築の初期段階におけるモノのインターネット アプリケーションのインフラストラクチャとしてのセキュリティの重要性も反映しています。.
近年では, などの主要テクノロジーの画期的な進歩により、 5G, モノのインターネットの開発は飛躍的に進歩しました. 同時に, 新型コロナウイルス感染症(Covid-19)の影響により, オフィスのリモートワーク形態が増加, これは企業に利便性をもたらすだけでなく、ハッカーが企業の機密情報を攻撃するための利便性も提供します。.
モノのインターネットは私たちの生活のあらゆる側面に浸透しています. スマートデバイスに対する頻繁な攻撃により、個人のプライバシーとセキュリティが脅かされています. デジタル ネットワーキング変革を実現する上で、重要インフラも大きなリスクに直面している. IoT セキュリティでは、リスクをタイムリーに検出して効率的に回復するために、合理的な管理計画と規制を確立する必要があります。.
IoT のセキュリティ問題は主にデータ セキュリティに関係します, プライバシー, レプリケーション, およびRFIDシステムの脅威.
- RFIDへの攻撃: RFID技術 は人気のあるモノのインターネット技術です, 現在は「無人スーパー」などで主に利用されている.
- WSNへの攻撃: WSN はワイヤレスセンサーネットワークです. モノのインターネットの最下層は知覚層です. この層には多数のセンサーが含まれています. センサーが作動すると, 大量のデータが生成されます. 送信プロセス中に犯罪者によって傍受された場合, その結果は想像を絶するものになるだろう. WSN は現在、軍事分野で関連アプリケーションを提供しています。.
- ルーターへの攻撃: ルーターは非常に重要なネットワークデバイスです. 一度攻撃されたら, ネットワークが麻痺している可能性があります. 加えて, 通信回線への攻撃がある, ユーザーへの攻撃, そしてサーバーへの攻撃.
具体的には, モノのインターネットが現在直面している主なセキュリティ脅威は、「クラウド」の 3 つの側面に要約できます。, パイプ, そして終わりのセキュリティ:
(1)IoT端末のセキュリティ
1つ目はIoT端末のセキュリティです。. 情報空間と物理空間が深く融合した代表的なプロダクトとして, IoT端末は個人消費向けのパイオニア製品から経済社会のさまざまな分野へ急速に拡大. それは教育に貢献します, 医療, 小売り, エネルギー, 工事, 自動車, 新しいサービス手段を備えた他の多くの産業, 官公庁等の都市基盤機能の向上を支援します。, 公安, 交通機関, と物流. 既存のIoT端末機器は機能実現を重視, 一方、従来の機器メーカーではセキュリティ機能が不十分です, 時間やコストなどの要素を考慮する, そして通常、端末設計におけるセキュリティ問題は無視されます。.
IoT端末はインテリジェント端末と非インテリジェント端末に分けられる. ほとんどのインテリジェント端末デバイスにはオペレーティング システムと端末アプリケーションが組み込まれています, 一方、ほとんどの非インテリジェント端末装置は単一の構造と機能を持っています。, データの収集や送信などの機能のみを実行します。. したがって, インテリジェント端末デバイスは情報セキュリティに対する大きな脅威を抱えています.
(2)IoTパイプラインのセキュリティ
2 番目の側面は IoT パイプラインのセキュリティです. モノのインターネットの「チューブ」は「クラウド」と「エンド」を結ぶパイプラインです. モノのインターネットの「チューブ」のセキュリティは、大容量とインテリジェンスを備えた情報パイプラインのセキュリティです. モノのインターネットの情報パイプラインの調査によると, モノのインターネットのパイプライン セキュリティには 4 つの主要なセキュリティ脅威があることが判明しました。.
(3)IoTクラウドサービスのセキュリティ
三番目, IoT クラウド サービスのセキュリティ. 一般的に言えば, IoT クラウド サービスは、情報を他の当事者と共有するときに使用されます。. したがって, クラウド サービスのセキュリティを保護することは、モノのインターネットのセキュリティを保護するための重要なリンクでもあります.
モノのインターネットのセキュリティを向上させる方法
企業は IoT デバイスのセキュリティを向上させる必要があります。そうしないと、莫大な経済的損失と評判の損失を引き起こすことになります。. データ暗号化と内部監視は、企業が IoT デバイスのセキュリティ向上に注力できる方法の 1 つです.
01. クラウド インフラストラクチャとソフトウェア保護を使用する
Cumulonimbus ネットワーク デバイスは、デバイスによって記録された情報の機密性と整合性を維持するのに役立つため、デバイスを安全に保ちます。. 同時に, 交換内の情報は暗号化され、ハッカーから保護されます。.
02. デザイン ある 安全 デバイス 別のネットワークを作成します
IoT デバイスのセキュリティ向上に重点を置いた、より優れたデバイスの設計が重要. デバイスのシステムを変更するには、特定の条件下でのデバイスの動作をタイムリーに内部レビューすることが重要です.
03. 適用する 私ああT API に ID スプーフィングを防ぐ
API セキュリティ保護の役割は、許可されたデバイスのみが相互に通信できるようにすることです。. システムへの不正アクセスや操作を企業やユーザーに通知できます。.
今日の世界では, 使用されるIoTデバイスの数は増加しています. 同時に, IoT開発は課題に直面している. 企業はIoTセキュリティの重要性を徐々に認識し、デバイスのセキュリティを保護する技術をさらに強化する必要があります.
どの業界が最も影響を受けやすいか 私ああT セキュリティの脅威?
IoTのセキュリティ課題はあらゆる業界・分野に浸透している. つまり, 人命と財産に関わる産業である限り, モノのインターネットのセキュリティ脅威に対して脆弱です.
例えば, 麻薬を保管する冷凍システムへの攻撃, IoTシステムによる監視, 温度が変動すると薬剤の生存能力が損なわれる可能性がある. 同じく, 油井への攻撃の影響, 給水システム, そしてエネルギーグリッド, 人命に大きく関わる重要インフラ, 壊滅的なものになる可能性があります.
しかし, 他の攻撃を過小評価してはなりません. 例えば, スマートドアロックが攻撃されると、泥棒がスマートホームに侵入する可能性があります. または, 他の場合には, のような 2013 ターゲットのハッキングまたはその他のセキュリティ侵害, 攻撃者は接続されたシステムを通じてマルウェアを配布する可能性がある (対象ケースの HVAC システム) 個人を特定できる情報を盗み、影響を受ける人々に大混乱をもたらすこと.
01. どのようにすることができます 私ああT システムとデバイスを保護する必要がある
IoT セキュリティのアプローチは、IoT アプリケーションと、ビジネスが IoT エコシステムのどこに位置するかによって異なります。. IoT ソフトウェアの開始時には、安全なソフトウェアの開発と統合に重点を置く必要があります. IoT システムの導入には認証とハードウェアのセキュリティに注意が必要です. 同じく, オペレーター向け, システムを最新の状態に保つ, マルウェアの削減, 監査インフラストラクチャ, 認証情報の保護は重要です.
モノのインターネットに関するセキュリティ基準と法律 (アメリカとヨーロッパ)
01. EU モノのインターネットのセキュリティ ガイドライン
EUサイバーセキュリティ庁はモノのインターネットに関するセキュリティガイドラインを発行しました. の上 9 11月 2020, 欧州連合サイバーセキュリティ局 (エニサ) モノのインターネットのセキュリティ ガイドラインを公開 (IoT) (以下、ガイドラインといいます), IoT メーカーを支援することを目的としています, 開発者, インテグレータ, IoT サプライ チェーンを所有する利害関係者は、IoT サプライ チェーンを構築する際に最善の決定を下します。, 配備する, またはIoTテクノロジーの評価. ガイドラインの目的は、IoT サプライ チェーンのセキュリティを確保するために、IoT セキュリティの課題と脅威を定義および特定することです。. ガイドラインでは 5 つの推奨事項が示されています: 初め, IoT エンティティは相互により良い関係を構築する必要があります, サイバーセキュリティ保証を提供するサプライヤーとの協力を優先することを含む, 透明性の向上に努めています, 革新的な信頼モデルの開発, 顧客にセキュリティへの取り組みを提供する. 2つ目は、ネットワークセキュリティの専門知識をさらに普及させることです。, 専門家の維持と訓練を強化する, モノのインターネットのユーザーのセキュリティ意識を高める. 三番目, IoTの設計基準を改善することでセキュリティを実現, セキュリティ設計原則の採用を含む, セキュリティ管理と監査のための新しいテクノロジーの使用, およびリモート更新メカニズムの実装. 第4, セキュリティを向上させるために、より包括的かつ明確なアプローチを採用する, 包括的なテスト計画の確立を含む, 認証メカニズムを回路に統合する, デフォルトで工場出荷時の設定を使用する. 5番目, 既存の基準と成功した慣行を最大限に活用して、サプライチェーンにおける製品の安全性とサービス品質を向上させる.
02. アメリカ. モノのインターネット サイバー 安全性向上法 2020
法案は9月に可決された 14, 2020. IoT デバイスのセキュリティが国家安全保障の優先事項である新たなサイバー課題であることを考慮すると、, この法案は、IoT デバイスが連邦政府で使用される前にサイバー セキュリティ上の懸念に対処することで、連邦政府のインターネットに接続されたデバイスのセキュリティを向上させることを目的としています。. この法律では、連邦政府が使用するすべての IoT デバイスが、NIST が発行する最低限のセキュリティ基準を満たすことが義務付けられています。.
03. オーストラリアの行動規範: 私ああT 消費者の保護
この法律はオーストラリア政府によって9月に公布されました。 3, 2020, 国内のIoTデバイスのセキュリティ向上に向けた第一歩とみなされている. IoT デバイスのセキュリティのグローバルな性質を考慮して, 行動規範が提案する業界標準は他の国際標準と一致しており、以下に基づいています。 13 原則, 主に、弱いパスワードやデフォルトのパスワードを繰り返さないことが含まれます, 脆弱性開示ポリシーの実施, 継続的なソフトウェアセキュリティアップデート, 認証情報は安全に保管されます, 個人データの保護が確実に行われている, 攻撃対象領域への露出が最小限に抑えられます, 通信が安全に保たれている, ソフトウェアの完全性が保証される, システムは中断に強い, 測定データ監視システム, 等. その中で, 暗号化, 脆弱性の開示, およびセキュリティ更新アクションは、短期間で最大のセキュリティ上の利点を実現できるため、業界が優先する上位 3 つの原則として推奨されています。.
04. ヨーロッパ人との類似点と相違点, 私たち, およびオーストラリアの IoT セキュリティ法とガイドライン
この法律は、IoT デバイスのセキュリティ保護基準をさまざまな方法で改善します。. この記事では、欧州連合における IoT デバイスの多数のセキュリティ標準を紹介します。, 米国, そしてオーストラリア, デバイスのパスワードの複雑さが十分であることを確認するなど, 多要素認証方法, 安全なストレージなどのアイデンティティ認証情報のセキュリティの確保, 適時開示, セキュリティ上の脆弱性の修復, 定期的なセキュリティアップデートの提供により、サイバー攻撃対象領域などへの露出を最小限に抑えます。.
3 つの法律はすべて、モノのインターネットにおける個人のプライバシーの保護を強化することに焦点を当てています。. EUの法律とガイドライン, 私たち, とオーストラリアはいずれも、プライバシー保護を IoT セキュリティの重要な部分としています。. 例えば, オーストラリアは、行動規範の中で、IoT デバイスにはデフォルトでプライバシー保護を備えるべきだと提案しました, 個人データはユーザーの事前の同意を得て処理する必要があること. また、デバイスはユーザーがいつでも個人データを削除できるようにサポートし、プライバシーを取り消す権利と時間を与える必要があります。, ユーザーの個人プライバシーと機密データを最大限に保護するため.
法律の適用範囲と対象が異なる. オーストラリアの行動規範は消費者志向です, IoT デバイスに関連するセキュリティ保護に対する意識の向上に役立ちます, IoTテクノロジーに対する消費者の信頼を高める, オーストラリアがその展開から恩恵を受けられるようにする. EU ガイドラインは、IoT デバイスやソフトウェア開発者などの IoT サプライ チェーン エンティティを対象としています。, メーカー, セキュリティの専門家, 調達チーム, およびその他のサプライチェーンエンティティ. サプライチェーンがさまざまな段階で直面するさまざまなセキュリティ脅威を調査し、対応することによって, 安全なIoTエコシステムを構築するという目的は達成されました. 米国法は主に米国連邦政府を対象とし、政府による IoT デバイスのセキュリティ評価を規制し、政府機関が購入および使用する IoT デバイスがセキュリティ基準を満たしていることを保証することを目的としています。.
IoT セキュリティに対する政府規制はさまざまな影響を及ぼします. EUガイドラインとオーストラリアの行動規範は、関連政府機関が推奨する措置として義務付けられていない. アメリカ. この法案は政府のものであり、いくつかの義務が含まれています, 米国国立標準技術研究所に対する明示的な要件など (NIST) インターネット対応デバイスのセキュリティ使用に関する標準とガイドラインを発行する 90 連邦政府が行政機関と予算を指導する法案を制定してから数日 インターネット検閲の実施; 連邦政府および政府機関は、セキュリティ要件を満たさない IoT デバイスを購入または使用しません。.