更新:大統領は2020年12月4日、Internet of Things Cybersecurity Improvement Act of 2020に署名した。
新たなセキュリティ法案がトランプ大統領の署名を待っている。この法案は、米国標準技術研究所(NIST)に対し、米国政府が所有または管理する機器に関する最低限のセキュリティ基準(IoT )を策定するよう指示するものである。この基準には、IoT デバイスの使用と管理、脆弱性の協調的開示が含まれる。
このセキュリティ法案が、IoT 。
IoT デバイス・セキュリティのカオスに(ある程度の)秩序をもたらす
セキュリティ標準の欠如は、10年前にIoT ・デバイスが普及して以来、問題となってきた。
合意に至らなかったのは、努力が足りなかったからではない。ここ数年、いくつかの業界団体や政府団体が、IoT 、機器の相互運用性とセキュリティを向上させるための標準規格を策定した:
- クラウド・セキュリティ・アライアンス(CSA)
- モバイル協会(GSMA)
- IEEE規格協会
- ioXtアライアンス
- IoT セキュリティ財団
- オープン・ウェブ・アプリケーション・セキュリティプロジェクト(OWASP)
- 米国国土安全保障省
このようなグループの努力にもかかわらず、業界には、単一の標準の周りに整列するための十分なインセンティブがありませんでした。その結果、IoT デバイス・セキュリティの一部の側面にしか対処していない、つぎはぎだらけのガイドラインとなっている。
例えば、欧州連合サイバーセキュリティ機関(ENISA)は、IoT のセキュリティに関連する既存の規格についてギャップ分析を行い、「...ユーザーを認証でき、送信するデータを暗号化でき、受信するデータを復号化でき、完全性の証明を配信または検証できるデバイスを市場に提供することは可能であるが、それでもなお安全ではない」ことを発見した。
IoT 脆弱性の報告や取り扱いに関する標準が現在欠如しているため、ベンダーは脆弱性の開示や修復の義務を負わず、何百万台もの脆弱なデバイスが悪用されるリスクにさらされている。
なぜ今回は違うと感じるのか
この新しい取り組みは、これまでの業界の取り組みが失敗していたところでも成功する可能性が高い。というのも、非常に懐の深い顧客である米国政府に代わって実施されるからだ。この法案は政府によって購入または管理される機器にのみ適用されるが、その購買力はメーカーにとって規格を採用する強力なインセンティブとなるだろう。
さらに、米国議会は前回の会期で2つのサイバーセキュリティ法案(IoT )を通過させることができなかった。この法案は、NISTによる標準の確立に焦点を移し、上下両院の承認を得た。
IoT リスクと脆弱性のために開発されている基準
IoT 機器セキュリティ法案は、サイバーセキュリティのリスクを管理するための基準やガイドラインを作成するために、特に4つの分野を挙げている:
- 安全な開発
- アイデンティティ管理
- パッチ
- コンフィギュレーション管理
また、NISTは米国国土安全保障省と協力し、「サイバーセキュリティの研究者や民間の業界専門家」と共に、脆弱性の報告と修復に関するガイドラインを公表するよう指示している。このガイドラインは、「業界のベストプラクティス」や、広く採用されているIT標準ISO29147(脆弱性の開示)および30111(脆弱性の取り扱い)とも整合させる必要がある。
NISTのCybersecurity forIoT Programにご興味のある方は、こちらで関連基準を確認し、提案されている基準についてご意見をお寄せください。
大統領の署名を待つ
IoT 、あとは米国大統領が署名するだけである。米下院が今年初めに同一の法案を可決した後、米上院は11月下旬にこの法案を全会一致で可決した(IoT のセキュリティ基準のような複雑なトピックについて、この権威ある団体が集団で合意できるとは信じ難いと思ったことは認めるが、それはまた別の日の話だ)。
IoT デバイスのリスクOT
OT 環境においてIoT 機器がもたらすリスクの例を3つ挙げる:
マルウェア OT/IoT Security Reportのウェビナーで強調されたように、Nozomi Networks Labsチームは、MiraiボットネットやDark Nexusボットネットなど、2020年上半期にIoT デバイスを標的としたマルウェアのいくつかの系統を特定した。悪質な行為者がマルウェアで成功を収めているのは、以下のような要因のおかげです:
- で展開されるIoT デバイスの数が急増している。OT
- インターネットから直接アクセス可能なIoT デバイスの安全でない展開
- 多くのIoT デバイスのセキュリティアップデートが不足している。このため、デバイスは、脅威者による一般的な(ゼロデイではない)エクスプロイトに対して脆弱なままとなる。
- 多くの資産所有者が経験する、IoT デバイスのセキュリティ状況の可視性の欠如
脆弱性 Palo AltoNetworks' Unit 42は、「IoT デバイスの57%は、中程度または高度な攻撃に対して脆弱であり、IoT は攻撃者にとって低空飛行の果実である」と報告している。
よくある間違いOWASP はOWASPIoT Top 10 を作成した。これは、IoT システムを構築、配備、管理する際に避けるべき上位 10 項目をリストアップしたもので、IoT デバイスを配備する際に組織が犯しがちなミスを強調している。
リスクを軽減する方法
標準がないにもかかわらず、IoT 。
以下を可能にする可視性とセキュリティのソリューションをお探しください:
- ネットワークに接続されているすべてのOT およびIoT デバイスとその動作を確認し、認識を向上させます。
- サイバー脅威、脆弱性、リスク、異常を検出し、迅速な対応を実現
- セキュリティ、可視化、監視をすべての資産で統一し、耐障害性を向上
Guardian と当社のCentral Management Console を含む、業界最高水準のNozomi Networks セキュリティソリューションがお役に立ちます。資産発見、ネットワーク可視化、脆弱性評価、リスク監視、脅威検出を1つのソリューションに統合しています。
さらに先のことを考えると、今後数年間に導入されると予想される大量のIoT ・デバイスは、オンプレミスのモニタリング・テクノロジーを圧倒し、ネットワークをセキュアに保つ能力を混乱させる可能性が高い。Nozomi Networks' Vantageこのような課題にも、本製品が対応します。SaaSのパワーを活用し、1つのアプリケーションであらゆる場所のあらゆる数のデバイスを保護できるように拡張できます。
IoT セキュリティのための大きな前進
デバイス標準の開発という困難な作業は完了しておらず、法案はまだ署名されていないが、この進展はIoT セキュリティにとって大きな前進である。NISTは米国だけでなく、世界中の何千もの組織に採用されている。IoT デバイス・セキュリティ規格の世界的な採用は、産業および重要インフラ全体のセキュリティ向上に大きく貢献するだろう。
