IoTセキュリティのトレンド、ソリューション、ベストプラクティス

モノのインターネット（IoT）機器に対するサイバー攻撃は増加傾向にあり、10社に8社がIoT攻撃を経験している。ヘルスケア、公益事業および産業、小売およびサプライチェーン、ウェアラブル、スマートホーム、コネクテッドカーの各市場に属する企業が、IoT侵害のリスクに最もさらされている。組織が犯す最大の過ちには、次のようなものがある：

• 堅牢なIoTセキュリティ設計の欠如
• 安全でないハードウェアの使用
• 適切な認証メカニズムとアクセス制御を実装していない
• デフォルトの認証情報を使用する（または使用しない

このような過ちにより、IoTデバイスはランサムウェア、分散型サービス拒否（DDoS）攻撃、データ盗難に遭いやすくなる。このような混乱は、ダウンタイム、莫大な金額の損失、ブランドの評判の低下につながる可能性があります。

このようなIoT攻撃を防止するため、組織は信頼の根をハードウェアで構築するセキュリティ技術の採用を増やしている。注目すべきIoTセキュリティ・ソリューションには、セキュア・エレメント（SE）、認証集積回路（IC）、トラステッド・プラットフォーム・モジュール（TPM）、トラステッド実行環境（TEE）、セキュア・マイクロコントローラー・ユニット（MCU）などがある。

IoTセキュリティの動向

ABI Research は、IoT サイバーセキュリティの将来を形成する以下の傾向を観察しています：

• 自動車メーカーによる車両へのハードウェア・セキュリティ・モジュール（HSM）の統合： 自動車メーカーによる自動車へのハードウェア・セキュリティ・モジュール（HSM）の統合：自動車がますます接続されるようになるにつれて、自動車メーカーは自動車のハッキングを防止する強固なセキュリティ技術を採用するようになる。車載用HSMは、車載システムに信頼できる基盤を提供するため、IoTサイバーセキュリティの優れたソリューションとして注目されています。これらの小型HSMは、データの暗号化／復号化だけでなく、通信やファームウェアのアップデートを保護するためのデジタル署名の生成と認証も可能です。
• 医療機器セキュリティの強固な成長： 医療機器には非常に機密性の高いデータが含まれているため、医療施設に対するサイバー攻撃の格好の標的となっている。政府の対応は、機器レベルでのデータ保護を保証する規制の導入である。これにより、IoTデバイス・セキュリティに対する需要はさらに高まるだろう。
• 小売およびサプライチェーンのセキュリティ・プロトコル： IoTデバイスは、小売業やサプライチェーン業務における在庫管理や資産追跡にますます不可欠になっている。IoTデバイスの導入が進むにつれて、無線セキュリティ・プロトコルの強化が組織の重要な焦点となる。
• PUF（Physical Unclonable Functions）： スマートカード分野で人気の高いセキュリティ技術であるPUFは、IoTや産業用メーカーでますます使用されるようになっている。PUFは、各IoTデバイスのハードウェアの微細な物理的差異を利用して、一意の暗号鍵を生成する。

IoTデバイスのセキュリティはハードウェア層から始まる

IoTデバイスの導入は、脅威行為者が組織のネットワークに侵入する新たな方法を生み出す。適切なセキュリティ・ソリューションを導入しなければ、医療機器からコネクテッド・ビークルに至るまで、あらゆるものがリモート・アクセスされる可能性がある。製造業はその好例で、生産施設では多数のコネクテッド・デバイスやシステムが日々使用されている。脅威者がIoTデバイスのハイジャックに成功すれば、デバイスの設定を操作し、機密データを抽出し、より広いネットワークへの発射台としてデバイスを使用することができる。

このようなサイバー攻撃は、作業員の安全、生産量、収益性にまで及ぶ重大なリスクを引き起こすだろう。このような環境では、多数のスマートメーター、センサー、その他のIoTデバイスが導入されているため、同じシナリオが公共事業にも適用できる。SEとMCUは、このようなアプリケーションにおけるIoTセキュリティにとって重要な技術です。SEとMCUは、信頼性の高いハードウェア・ルートとセキュアな実行プロセスを活用して、機密データを保護します。

小売業では、POS（販売時点情報管理）端末が、顧客データや決済カードの詳細情報を取得しようとする脅威のターゲットになることが一般的です。アップルビーズ（Applebee’s）やウェンディーズ（Wendy’s）を含む多くの企業が、POS端末にマルウェアをインストールされ、脅威行為者に機密情報を抜き取られています。SEは、金融取引時のセキュリティを確保するために不可欠である。この技術は端末に直接設置されるため、小売業者に耐タンパー性を提供する。機密情報はSE内に保存・処理され、顧客データと決済情報の完全性と安全性が確保されます。

TEEもまた、IoTサイバーセキュリティに不可欠なソリューションである。TEEは、IoTアプリケーションに関連する機密データを保存するための保護された実行空間を作成します。TEE は、政府が顧客データの保護を目指しているため、規制の厳しいヘルスケア分野でますます不可欠になっています。例えば、連邦食品医薬品化粧品法（FD&C法）第524B条(b)(3)は、サイバーデバイスの製造業者に対して、医療用IoTデバイスのソフトウェア部品表（SBOM）を提供することを義務付けています。このような規制により、医療分野はIoTサイバーセキュリティ・ソリューションにとって最大の市場の1つとなっている。

続きを読む IoTサイバーリスクを抑制するためにどのようなセキュリティソリューションが使用されているか？

IoTデバイスの安全性を確保するための主なステップ

IoTに対するサイバー脅威が拡大し続けているため、デバイスメーカー/開発者は自社製品のセキュリティを重視せざるを得なくなっています。脅威の主体が進化し、より洗練された手口を活用するにつれて、IoTデバイスのメーカー/開発者も進化しなければなりません。強固なIoTサイバーセキュリティ戦略には、セキュリティ・ファーストの考え方、ゼロ・タッチ・オンボーディング、ゼロ・トラスト・アーキテクチャ、信頼できる組織からのガイダンスという4つの重要なステップが含まれます。

1. 組み込みセキュリティを最初から統合する： デバイス・メーカーにとって、セキュリティを後回しにすることはもはやできない。IoTセキュリティは、デバイス設計の中核となる基盤であるべきだ。EUのサイバー・レジリエンシー法や米国のCHIPS法のようなフレームワークのガイダンスにより、IoTデバイス・メーカーは、セキュリティ・ハードウェアおよびソフトウェア機能をデバイス・アーキテクチャに組み込む必要があります。
2. ゼロタッチ・オンボーディングのためのIoTセキュリティ・ハードウェアの活用： IoTデバイスを手動でオンボーディングすることは、サイバーリスクと潜在的な不正確さを伴います。代わりに、ゼロタッチ・オンボーディングを活用して、IoTデバイスを安全にプロビジョニングすることができる。ユーザーは、SE、TPM、セキュアMCUなどのIoTセキュリティ・ソリューションを使用して、デバイス上にデータ（オンボーディング認証情報など）を保存できます。
3. IoTデバイスにゼロ・トラスト・アーキテクチャを採用する： ゼロ・トラストがデバイス設計の主要な教義になることは明らかです。ゼロ・トラストとは、IoTデバイスのユーザーを一切信用せず、ネットワーク・アクセスには常に検証を必要とすることを意味する。SEのようなセキュアなストレージ・テクノロジーは、アクセス制御と認証対策を可能にするため、ゼロトラストを実現するために不可欠となる。
4. セキュアIoT製品設計ガイドラインからヒントを得る： 米国国立標準技術研究所（NIST）のガイダンスに従うことが不可欠である。NISTは、「NIST Cybersecurity for IoTProgram」や「U.S. IoT Cybersecurity Improvement Act」など、IoTの最低セキュリティ基準の策定を主導している。欧州連合サイバーセキュリティ機関（ENISA）もまた、インダストリー4.0、コネクテッドカー、スマート病院、スマートシティなどにおけるIoTサイバーセキュリティのベストプラクティスを特定する、優れたガイダンスの情報源である。

1件のIoT侵害を解決するためのコストは、10,000～50,000米ドルと推定されている。包括的なIoTサイバーセキュリティ戦略を実施しなければ、こうしたコストはあっという間に膨れ上がる。企業はますます、オンデバイス・セキュリティ・ソリューションを提供し、IoTエコシステムを保護する実証済みの経験を持つサイバーセキュリティ・ベンダーに注目するようになるでしょう。

情報源：ABI Research社

お問合せ：ABI Rsearchに関するお問合せはデータリソース（office@dri.co.jp)までご連絡下さい。