機械制御/振動騒音
IR情報 会社情報

コカ・コーラ®や化粧品から:変わりゆくIoTセキュリティ環境とテストの重要性

SPIRENT 

Mike Jack氏、2015年12月30日
セキュリティ
セキュリティパフォーマンステスト脆弱性スキャンセキュリティヒント脅威モデリングペネトレーションテストペンテストサイバーマンデーサイバーセキュリティ企業
 

ARBOR
 

インターネットの歴史によると、1982年、カーネギーメロン大学計算機科学部の学生4人が、世界初のインターネット接続機器を開発しました。この優秀な学生たちが次にやったことはNext Big Thing (次の大仕事) ではなく、キャンパスのコカ・コーラ®自販機の開発でした。デスクからリモートで在庫を確認し、補充すべき時を判断できるというものでした。まさに、「必要は発明の母」だったのです。

 

その後1999年、P&G社のブランドマネージャを務めていたKevin Ashton氏によって、「モノのインターネット」という言葉が初めて作られたと言われています。その言葉はプレゼンテーションのタイトルとして使われました。きっかけとなったのは、口紅でした。
Ashton氏は、新しいOil of Olay®化粧品の在庫報告書の食い違いに注目し、P&Gのサプライチェーンをより包括的かつ現実的に把握できるように、バーコードスキャンシステムを修正することを決意しました。そして、ワイヤレスの「スマートパッケージング」というビジョンを基に、MITのメディアラボやAuto-IDセンターと協力して、初期のRFID機能を研究しました。彼はこう説明しています。

 

「現在、コンピュータへの情報供給は、完全に人間に依存していると言えます。したがってインターネットの情報源も人間です。インターネットで利用できる約50ペタバイトのデータのほぼすべてが、手入力する、レコードボタンを押す、デジタル写真を撮る、またはバーコードをスキャンするなど、まずは人間の手を介して取り込まれ作成されました。一般的なインターネット接続図には、サーバやルータなどが含まれていますが、最も数が多くて重要なルータが省略されています。それは人間です。問題は、人間の時間、注意力および正確さには限界があるということです。つまり、人間は、実社会にあるモノのデータを取り込むことには長けていません」
この意見に誰が反論できるでしょうか。しかし、私たちは、データを取り込むことには長けていないかもしれませんが、データを作ることにおいては非常に優れています。手入力、ボタンを押す、写真を撮る、そしてクリックする。私たちは何度も繰り返しています。私たちは、自分自身や食べ物/ペット/子供/足/休暇の風景を撮影するだけでなく、ビッグデータをデジタルランドスケープやオンラインペルソナの重要な部分として当たり前のように受け入れて、コネクテッドデバイスの組み込みシステムをウェアラブル端末で操作し、車や冷蔵庫、いろいろなモノとつながっています。私たちは集合的に「あらゆるモノのインターネット」となっています。

 

ビッグデータがさらに大きく
GoogleのCEO (2001-2011)、Eric Schmidt氏によると、「私たちは、文明の発生から2003年までに創出した情報と同量の情報を2日おきに生み出して」います。しかもこれは、ユーザが生成した情報だけに限った話のようです。マシンツーマシンコミュニケーション (M2M) およびセンサを含めれば、生成されるデータの量は圧倒されるほどの多さとなります。私たちは、ゼタバイト*の世界に突入しようとしています。これはまさに、さらに成長を続けるネットワークにおいて、セキュリティを管理することがどれだけ重要であるかを示しています。ネットワークの境界はますます拡大を続けているのです。

にもかかわらず、私たちは、情報がITにより安全に管理されていると信じています。データは、スマートウォッチと電話の間を行き交います。医療健康機器は、情報を保存し、個人データを転送し、薬の服用量の管理まで行います。これらすべてはネットワークを介しています。不幸にも、デバイスのファームウェアおよびアプリケーションのアップデートは、必ずしも確実ではなく、不正行為やセキュリティ侵害に対して安全とは言い切れません。SSLが常に使われているわけではなく、チャネルやユーザが暗号化および認証されないこともあります。
自動車でさえもサイバー攻撃の標的になります。これは、大騒ぎとなった、Charlie MillerとChris Valasakによるジープ®のハッキングでも明らかです。彼らは、コネクテッドカーに搭載されたエンターテインメントシステムの脆弱性を利用して、UConnect®を介して車に不正にアクセスしました。このようなリモートエクスプロイトは、数十万台もの車両を標的にでき、大参事を引き起こす可能性もあります。

 

脆弱にならないためにセキュリティ監査を
IoTがますますホットゾーンになりつつある今、評価対象を見極めるためにまず何をすべきでしょうか。ネットワークは、オンプレミスおよびオフプレミス、クラウド、さらには地球外の、相互に接続されたデバイスやエレメントが複雑に絡み合って、できています。ほとんどのセキュリティリスク評価と同様、まずは、最もリスクの高い領域と攻撃サーフェスを特定すべきです。
幸い、OWASP (The Open Web Application Security Project) により、IoTデバイスやソリューションの脆弱性の上位10項目が以下のようにまとめられています。

  1. セキュリティが確保されていないWebインターフェイス
  2. 不十分な認証/許可
  3. セキュリティが確保されていないネットワークサービス
  4. 暗号化されていないトランスポート
  5. プライバシーに関する懸念
  6. セキュリティが確保されていないクラウドインターフェイス
  7. セキュリティが確保されていないモバイルインターフェイス
  8. 不十分なセキュリティ設定
  9. 脆弱な物理的セキュリティ
これらはそれぞれ、非常に大きく拡大したIoTセキュリティ境界におけるウィークリンクであり、特定の脅威エージェント、攻撃ベクトル、弱点、技術的影響やビジネスへの影響を明確にしています。試験原理やベストプラクティスは、環境の全範囲に適用できます。このためのテスト基準は以下のとおりです。
  • 何をテストするか
  • どのようにテストするか
  • なぜ重要なのか
  • 何が失敗の原因か
  • いつ、何をテストするか
  • テスト環境では何に注目すべきか
 

適切なテストパートナの重要性
Spirentは、IoTのセキュリティ化に膨大な可能性と機会があることを理解しています。しかし、セキュリティ脅威や、ますます増えるネットワークインフラストラクチャへの容量需要も、膨大です。セキュリティ上の弱点がどこにあるかを理解して適切なサイズのネットワーク (物理および仮想) を構築するのが困難と思えることもあるでしょう。適切なパートナのもとでテストを行うのが重要なのは、そういう理由からなのです。
ネットワークターゲットを攻撃する数千、数百万のホストをエミュレートするボリューム型DDoS攻撃のシナリオを作ってテストすることで、セキュリティ対策が機能している箇所と機能していない箇所を特定できます。IoTエンドポイントにより生成されるエミュレーショントラフィックなど、攻撃トラフィックと実際のアプリケーショントラフィックのシナリオを組み合わせてテストすることで、Quality of Experienceに確実性を与えます。数千件の攻撃とアプリケーションの最新データベースを利用したテストにより、さまざまな負荷状況における「バースト」トラフィックの影響を理解します。Spirentは、さまざまなシナリオでテストを実施できます。ですが、コーラの自販機に補充が必要かどうかはご自身で判断してください。


コネクテッドデバイスのテスト、監視および保護の方法については、こちらをご覧ください

PAGE TOP