さて、今年のIPEXPOで私が得たものは何だろうか?
まず、
、エクセルはパディントンから何マイルも離れている。実際、私は
ジュビリー線の寝台列車を探そうとしていたほどだ!しかし、真面目な話をすると、私にとって今回のショーで最も魅力的だった
内容は、すべてセキュリティに関するもので、より具体的には、
IoTがセキュリティにどのような影響を及ぼしているかということだった。
IoT – モノのインターネット
最初に、この新しいバズワードが何なのかはっきりさせたい。今、全てのベンダが
「IoT戦略」と何か微妙なつながりがあるように見えるからだ。
そして IoT バンドワゴンの試みは SDN 戦略との整合性を強要するいくつかのベンダーのマーケティングチームの笑えない努力
よりもさらに露骨だ。
簡単に言えば、IoTとはインターネットに接続されたたくさんのデバイス(
)を意味する。
私たちが信じているほど画期的なものではないが、私たちが意味するのは、たくさんの
デバイス…数十億…実際、ガートナーは昨年末までに、
38億の接続されたものが世の中に存在すると推定している。デバイスというのは、コンピューター、
電話、タブレットなどのことだけではない。洗濯機、トースター、ポット、温度から一酸化炭素まで測定する何百万もの環境センサー、
、
性玩具さえも意味している!そしてそう、インターネットに接続されたトースターを持つことの本当のエンドユーザーの価値
を問い続けるべきだ。嫌いな人たちは、全く無意味だと言うだろう
そして、それは正しいかもしれない。しかし、多くの疑い深い人たちが、初期のインターネットについて
同じことを言っていたことを忘れてはならない。
IoTの継続的な人気は、必然的に何千もの新しいベンダーが出現することを意味する。
、インターネットに接続されたデバイスと、
クールな(またはそうでない)、そして役に立つ(またはそうでない)何かをするためのアプリを一緒に構築する。
では、
セキュリティはどこで活躍するのだろうか?
このような新しいガジェットを導入する日常的なシナリオを考えてみよう。
最新のおもちゃを手に入れられるという期待に胸を躍らせ、箱を開け、
ネットに接続しようと急ぐあまり、Bluetoothで接続し(おそらく
0000か1234をPINとして使用)、ワイヤレス・パスワードを入力し、
これで通話ができるようになる。(もちろん、
のベンダーに詳細情報をすべてオンラインで登録した上でのことだ)。
、洗練されたグラフィカルなアプリと素晴らしいブランディングは、
、高品質な製品であることを確信させてくれるだろう。
しかし現実には、ホームネットワークのセキュリティ・モデルを破壊してしまった。 なぜですか? さて、
セキュリティについて語るなら、ルーター
/ ファイアウォールがあれば安全だと思うだろう。(
もちろん、あなたのパスワードがあなたのペット/ガールフレンド/ボーイフレンドの名前
、あるいはもっと悪いことに、デフォルトのままになっていないと仮定して!)
セキュリティ会社は「おもちゃ」メーカーよりも
セキュリティについて詳しいという半合理的な仮定をしてみよう。つまり、もし誰かがあなたのホームネットワークをハッキングしたいと思ったとしたら、
、トースターやその他のIoT玩具/デバイスを攻撃する方が、
ファイアウォールよりも簡単な「手口」なのかもしれない。
Pen Test Partnersのエシカル
ハッカー、ケン・マンロー氏は、この種の脆弱性の素晴らしい例
を発表した。
彼は
、Wi-Fiキーを平文で保存している子供の人形をハッキングした。彼は
、そのキーを取り出し、ワイヤレス・ネットワークにアクセスすることができた。ひとたびハッカーが
のネットワークに侵入すれば、やりたい放題だ。
これを読んでいるあなたは、
インターネットに接続されたデバイスをあまり持っていないので、かなり安全だと思っているかもしれない。マンロー氏はまた、サムスン製テレビの音声リモコンなど、主流デバイスの脆弱性(
)も発見している。
、実際にあなたの会話を録音しているのだ。それでもまだ十分ショッキングでないのなら、その音声会話を暗号化せずにネットワーク越しに
送信するのはどうだろう?
で、
答えは?
まず、
教育が必要だ。消費者は、ネットワークに接続するすべてのデバイス(
)が、どんなに小さなものであっても、潜在的なセキュリティ・リスク(
)であることを理解する必要がある。消費者は、そのデバイスが「セキュア」であるという何らかの保証を求めるか(理想的には
独自にテストされたもの)、少なくとも設計やアーキテクチャにおいてセキュリティが真剣に考慮されたものであることを証明する必要がある
。
ベンダーは、
、特にコンシューマー向けの家庭用分野では、セキュリティにもっと真剣に取り組む必要がある
。デバイスとアプリケーションは、まともな
セキュリティとプライバシー・モデルが後付けではなく、内在している設計に基づく必要がある。
ついでに言っておくと、これは決して難しいことではない。IoTベンダーは、
、ここで画期的な新しいセキュリティ・プロトコルを発明することは期待されていない!
基本的なことから始めよう。
- すべての通信は安全であるべき – なぜSSLを使わないのか?
- ローカルに保存されたデータは暗号化されるべきである
- デフォルトのパスワードは常に変更すべきである(特に目新しいことはない)
- ローカルコードが難読化されていることを確認する
- デバイスの機能に不可欠でない限り、データを収集/保存しない。
IoTは非常にエキサイティングであり、
、家庭内の小さな効率化から、
業界を変える壮大なソリューションに至るまで、私たちの生活を積極的に向上させる力を持っている。
確かに、
「何でも可能」という誇大宣伝に巻き込まれるのは簡単であるが、このようなインテリジェント・テクノロジーの恩恵を安全に享受するためには、我々は基本に立ち返り、
セキュリティにイノベーションの根拠を置く必要がある。
