IoTセキュリティ（モノのインターネットセキュリティ）とは何ですか？

IoT セキュリティ (モノのインターネット セキュリティ) は、接続されたデバイスとネットワークの保護に焦点を当てた技術セグメントです。 IoT。 IoT には、相互に関連するコンピューティング デバイス、機械およびデジタル機械、物体、動物、および人々のシステムにインターネット接続を追加することが含まれます。 各 もの ています 一意の識別子 ネットワーク上でデータを自動的に転送する機能。 ただし、デバイスが適切に保護されていない場合、デバイスをインターネットに接続できるようにすると、重大な脆弱性が発生する可能性があります。

用語 IoT この用語は非常に広範であり、このテクノロジーが進化し続けるにつれて、この用語はさらに広範になります。 時計からサーモスタット、ビデオ ゲーム機に至るまで、ほぼすべてのテクノロジー デバイスがインターネットや他のデバイスと何らかの形で通信できます。

IoT セキュリティは IoT よりもさらに広範囲に及ぶため、さまざまな方法論がその傘下に収まります。 アプリケーション プログラミング インターフェイス (API) セキュリティ、公開鍵インフラストラクチャ (PKI) 認証とネットワーク セキュリティは、増大するサイバー犯罪の脅威に対抗するために IT 部門が使用できる方法のほんの一部にすぎません。 サイバーテロ 脆弱なIoTデバイスに根ざしています。

IoT セキュリティはなぜ重要ですか?

IoT デバイスの型破りな製造とそれらが扱う膨大な量のデータにより、サイバー攻撃の脅威が常に存在します。 一般的な IoT デバイスが大規模ネットワークへの侵入と攻撃に使用されたいくつかの注目を集めた事件により、IoT セキュリティの必要性が注目を集めています。

脆弱性の可能性が常に迫っており、 データ侵害 IoT デバイスの使用に関連するその他のリスクは、強力な IoT セキュリティの緊急の必要性を強調しています。 IoT セキュリティには、現代のビジネスで増大する IoT の脆弱性を軽減することを目的とした幅広い技術、戦略、プロトコル、アクションが含まれるため、企業にとって不可欠です。

[埋め込まれたコンテンツ]

IoTのセキュリティ問題と課題

デバイスが相互に接続する方法が増えるほど、脅威アクターがデバイスを傍受する機会が増えます。 ハイパーテキスト転送プロトコル API は、ハッカーが傍受できる IoT デバイスが依存するチャネルのうちの XNUMX つにすぎません。

IoT の傘には、厳密にはインターネット ベースのデバイスも含まれません。 Bluetooth テクノロジーを使用する家電製品も IoT デバイスとしてカウントされるため、IoT セキュリティが必要です。

以下の IoT セキュリティの課題は、個人と組織の両方の経済的安全を脅かし続けています。

• 遠隔暴露。 他のテクノロジーとは異なり、IoT デバイスは特に大きな 攻撃対象 インターネット接続がサポートされているためです。 このアクセシビリティは非常に貴重ですが、ハッカーにデバイスをリモートで操作する機会も与えます。 これが、次のようなハッキング キャンペーンが行われる理由です。 フィッシング詐欺、特に効果的です。 IoTセキュリティ、以下を含む クラウドセキュリティ、資産を保護するには、多数のエントリ ポイントを考慮する必要があります。
• 業界の先見性の欠如。 組織が継続的に デジタル変換、特定の業界とその製品も同様です。 自動車業界とヘルスケア業界は、生産性とコスト効率を高めるために、IoT デバイスの選択肢を拡大しています。 しかし、このデジタル革命は、これまで以上にテクノロジーへの依存をもたらしました。 通常は問題になりませんが、テクノロジーに依存すると、データ侵害が成功した場合の影響が拡大する可能性があります。 これを懸念させるのは、これらの業界が現在、本質的により脆弱なテクノロジー、つまり IoT デバイスに依存していることです。 それだけでなく、多くのヘルスケア企業や自動車企業は、これらのデバイスを保護するために必要な資金とリソースを投資する準備ができていませんでした。 この業界の先見性の欠如により、多くの組織や製造業者が不必要に危険にさらされています。 サイバーセキュリティの脅威.
• リソースの制約。 すべての IoT デバイスが、高度なファイアウォールやウイルス対策ソフトウェアを統合するためのコンピューティング能力を備えているわけではありません。 実際、一部のデバイスは他のデバイスにほとんど接続できません。 たとえば、Bluetooth テクノロジーを採用した IoT デバイスは、最近のデータ侵害の波に見舞われています。 自動車業界は、再び最も大きな打撃を受けた市場の一つとなった。
• デフォルトのパスワードが弱い。 IoT デバイスには脆弱なパスワードが付属していることが多く、ほとんどの消費者は、より安全なパスワードに置き換える必要があることに気づいていない可能性があります。 IoT デバイスのデフォルトのパスワードが変更されていない場合、デバイスは脆弱なままになる可能性があります。 ブルートフォース およびその他のハッキング攻撃。
• 複数の接続デバイス。 現在、ほとんどの家庭には複数の相互接続されたデバイスがあります。 この利便性の欠点は、セキュリティの設定ミスにより XNUMX 台のデバイスに障害が発生した場合、同じ家庭内の接続されている残りのデバイスも同様にダウンしてしまうことです。
• 暗号化の欠如。 IoT デバイスから発信されるネットワーク トラフィックのほとんどは暗号化されていないため、セキュリティの脅威やデータ侵害の可能性が高まります。 これらの脅威は、すべてのデバイスが安全に保護され、暗号化されていることを確認することで回避できます。

2020 年、サイバーセキュリティの専門家がハッキングを行いました。 テスラモデルX Bluetooth の重大な脆弱性を利用して、90 秒以内に完了します。 ワイヤレスキーフォブを開いて始動することに依存している他の車も同様の攻撃を受けています。 脅威アクターは、これらのフォブのインターフェースをスキャンして複製し、警報を発することなく車両を盗む方法を発見しました。 テスラ車などの高度な技術を備えた機械が IoT データ侵害に対して脆弱である場合、他のスマート デバイスも同様です。

IoT システムとデバイスを保護する方法

企業は、次のツールとテクノロジーを使用して、データ保護プロトコルとセキュリティ体制を改善できます。

1. 設計段階で IoT セキュリティを導入します。 議論されている IoT セキュリティのリスクと問題のうち、ほとんどは、特に消費者、企業、または産業ベースの IoT の開始時の研究開発プロセス中に、より適切な準備を行うことで克服できます (IIoT）デバイス開発。 最新のオペレーティング システムを提供し、安全なハードウェアを使用するとともに、デフォルトでセキュリティを有効にすることが重要です。

   IoT 開発者は、設計段階だけでなく、開発の各段階を通じてサイバーセキュリティの脆弱性に注意する必要があります。 たとえば、車のキーハッキングは、ドライバーがフォブを金属製の箱の中に置いたり、家の窓や廊下から離れた場所に置いたりすることで軽減できます。

2. PKI とデジタル証明書。 PKI は、複数のネットワーク デバイス間のクライアント/サーバー接続を保護できます。 PKI は、XNUMX つのキーの非対称暗号化システムを使用して、プライベート メッセージと対話の暗号化と復号化を容易にします。 デジタル証明書。 これらのシステムは、プライベート トランザクションを完了するためにユーザーが Web サイトに入力したクリア テキスト情報を保護するのに役立ちます。 電子商取引は PKI のセキュリティなしでは運営できません。
3. ネットワークセキュリティー。 ネットワークは、攻撃者が IoT デバイスをリモートで制御する大きな機会を提供します。 ネットワークにはデジタル コンポーネントと物理コンポーネントの両方が含まれるため、オンプレミスの IoT セキュリティは両方のタイプのアクセス ポイントに対応する必要があります。 IoT ネットワークの保護には、ポート セキュリティの確保、ポート転送の無効化、不要なときはポートを開かないことが含まれます。 マルウェア対策、ファイアウォール、侵入検知システム、侵入防御システムの使用。 不正な IP アドレスをブロックする。 システムにパッチが適用され、最新であることを確認します。
   

4. API のセキュリティ。 API は、最も洗練された Web サイトのバックボーンです。 たとえば旅行代理店は、複数の航空会社からのフライト情報を XNUMX か所に集約できます。 残念ながら、ハッカーはこれらの通信チャネルを侵害して、 APIセキュリティ これは、IoT デバイスからバックエンド システムに送信されるデータの整合性を保護し、承認されたデバイス、開発者、アプリのみが API と通信できるようにするために必要です。 2018 年の T-Mobile のデータ侵害により、API セキュリティの脆弱性がもたらす影響が明らかになりました。 API の漏洩により、このモバイル巨人は請求先の郵便番号、電話番号、口座番号を含む 2 万人を超える顧客の個人データを漏洩しました。

追加の IoT セキュリティ手法

IoT セキュリティを導入するその他の方法には次のようなものがあります。

• ネットワーク アクセス コントロール (NAC)。 NAC ネットワークに接続している IoT デバイスの識別とインベントリの作成に役立ちます。 これにより、デバイスの追跡と監視のベースラインが提供されます。
• セグメンテーション。 インターネットに直接接続する必要がある IoT デバイスは、独自のネットワークに分割し、企業ネットワークへのアクセスを制限する必要があります。 ネットワーク セグメントは異常なアクティビティを監視し、問題が検出された場合は措置を講じる必要があります。
• セキュリティゲートウェイ。 IoTデバイスとネットワークの間の仲介者として機能し、 セキュリティゲートウェイ IoT デバイス自体よりも多くの処理能力、メモリ、機能を備えているため、ファイアウォールなどの機能を追加して、接続する IoT デバイスにハッカーがアクセスできないようにすることができます。
• パッチ管理と継続的なソフトウェア更新。 ネットワーク接続または自動化を通じてデバイスとソフトウェアを更新する方法を提供することが重要です。 デバイスをできるだけ早く更新するには、脆弱性を調整して開示することも重要です。 エンドオブライフ戦略も考慮してください。
• トレーニング。 IoT と運用システムのセキュリティは、多くの既存のセキュリティ チームにとって初めてのことです。 セキュリティ スタッフは、新しいシステムまたは未知のシステムについて常に最新の情報を入手し、新しいアーキテクチャとプログラミング言語を学習し、セキュリティの新たな課題に備える必要があります。 経営幹部レベルとサイバーセキュリティチームは定期的に受信する必要があります サイバーセキュリティトレーニング 最新の脅威とセキュリティ対策に対応するため。
• チームの統合。 トレーニングに加えて、定期的にサイロ化された異種チームを統合することも役立ちます。 たとえば、プログラミング開発者がセキュリティ専門家と協力することで、開発段階でデバイスに適切な制御を確実に追加できます。
• 消費者教育。 消費者には、IoT システムの危険性を認識させ、デフォルトの認証情報の更新やソフトウェア更新の適用など、安全を確保するための手順を提供する必要があります。 消費者は、デバイス メーカーに安全なデバイスの作成を要求し、高度なセキュリティ基準を満たさないデバイスの使用を拒否する役割を果たすこともできます。
• ゼロの強制と自動化信頼ポリシー。 　 ゼロトラストモデル 組織のネットワーク内外を問わず、すべてのユーザーはアプリケーションやデータへのアクセスを許可される前に検証、認可され、セキュリティ構成と体制について継続的に評価される必要があると規定されています。 ゼロトラスト ポリシーを自動化し、全面的に適用することで、IoT デバイスに対するセキュリティの脅威を軽減できます。
• マルチ要素認証 (MFA)。 MFA デバイスまたはネットワークへのアクセスを要求するときに複数の形式の ID を要求することで、セキュリティ層を追加します。 MFA ポリシーを適用することで、企業と家庭ユーザーの両方が IoT デバイスのセキュリティを向上させることができます。
• 機械学習 （ML）。 ML テクノロジーを使用すると、ネットワーク全体にわたるデバイスの管理とスキャンを自動化し、IoT デバイスを保護できます。 ネットワークに接続されているすべてのデバイスがスキャンされるため、IT チームに警告される前に攻撃が自動的に停止されます。 これは、2018 年に Microsoft Windows Defender ソフトウェアがシステムを停止したときに起こったことです。 トロイの木馬マルウェア 30分以内に攻撃。

IoT セキュリティの脅威に対して最も脆弱な業界は?

IoT セキュリティ ハッキングはどこからでも発生する可能性があります。 スマートホーム 製造工場からコネクテッドカーまで。 攻撃の重大度は、個々のシステム、収集されるデータ、およびそれに含まれる情報によって大きく異なります。

たとえば、コネクテッドカーのブレーキを無効にする攻撃や、インスリンポンプなどのコネクテッド健康機器のハッキングは、生命を脅かす可能性があります。 同様に、IoT システムによって監視されている医薬品を収容する冷蔵システムが攻撃され、温度が変動すると医薬品の有効性が損なわれる可能性があります。 同様に、油井、エネルギー網、水道などの重要なインフラに対する攻撃は、悲惨な結果をもたらす可能性があります。

ただし、他の攻撃も軽視できません。 たとえば、スマート ドア ロックに対する攻撃により、強盗が家に侵入する可能性があります。 または、他のセキュリティ侵害では、攻撃者が接続されたシステムを介してマルウェアを渡し、データを収集する可能性があります。 個人を特定できる情報、影響を受けた人々に大混乱をもたらします。

一般に、IoT セキュリティの脅威に対して最も脆弱な業界や機関には次のようなものがありますが、これらに限定されません。

• 小売企業。
• トラック運送業界。
• 家電。
• 公共事業と重要なインフラ。
• 健康管理。
• 教育。
• 政府機関。
• 金融機関。
• エネルギーおよび公益事業会社。

どの IoT デバイスがセキュリティ侵害に対して最も脆弱ですか?

家庭ベースの環境では、通常、スマート テレビ、冷蔵庫、コーヒーマシン、ベビーモニターなどの IoT デバイスがセキュリティ攻撃に対して脆弱であることが知られています。

企業環境では、医療機器やビデオ カメラやプリンターなどのネットワーク インフラストラクチャ デバイスが潜在的なターゲットになる可能性があります。 IoT セキュリティ プロバイダー Armis の調査によると、 IPカメラ 臨床現場で監視されているプラ​​ットフォームには重大な重大度があり、臨床現場で 37 番目に危険な IoT 機器はプリンターであり、XNUMX% はパッチが適用されていません。 共通の脆弱性および脆弱性, そのうち 30% が重大度です。

注目すべき IoT セキュリティ侵害と IoT ハッキング

セキュリティの専門家は、IoT の概念が 1990 年代後半に初めて誕生して以来、安全でない多数のデバイスがインターネットに接続されることによる潜在的なリスクについて警告してきました。 その後、スパムの送信に冷蔵庫やテレビが使用されたり、ベビーモニターに侵入して子供たちに話しかけたりするハッカーに至るまで、多くの攻撃が見出しを飾りました。 多くの IoT ハッキングはデバイス自体をターゲットにするのではなく、むしろ IoT デバイスをより大きなネットワークへのエントリ ポイントとして使用します。

注目すべき IoT セキュリティ攻撃には次のようなものがあります。

• 2010 年、研究者らは、Stuxnet ウイルスがイランの遠心分離機に物理的損傷を与えるために使用され、攻撃は 2006 年に始まり、最初の攻撃は 2009 年に発生したことを明らかにしました。IoT 攻撃の最も初期の例の XNUMX つと考えられることが多い Stuxnet は、 監視制御およびデータ収集 産業用制御システム内のシステム。マルウェアを使用してプログラマブル ロジック コントローラーから送信された命令に感染します。 産業ネットワークへの攻撃は続いており、CrashOverride (Industroyer としても知られる) Triton や VPNFilter などのマルウェアが、脆弱な運用テクノロジーや IIoT システムをターゲットにしています。
• 2013 年 25 月、エンタープライズ セキュリティ会社 Proofpoint Inc. の研究者が最初の IoT ボットネットを発見しました。 研究者によると、ボットネットの XNUMX% 以上は、スマート TV、ベビーモニター、家庭用電化製品など、コンピューター以外のデバイスで構成されていました。
• 2015年、セキュリティ研究者のチャーリー・ミラー氏とクリス・ヴァラセク氏はジープに無線ハッキングを実行し、車のメディアセンターのラジオ局を変更し、フロントガラスのワイパーとエアコンをオンにし、アクセルの作動を停止させた。 彼らは、エンジンを停止し、ブレーキを作動させ、ブレーキを完全に無効にすることもできると述べた。 ミラー氏とヴァラセク氏は、クライスラーの車載接続システム「Uconnect」を通じて自動車のネットワークに侵入することができた。
• これまでで最大の IoT ボットネットの 2016 つである Mirai は、630 年 1.1 月にジャーナリストのブライアン クレブス氏の Web サイトとフランスの Web ホスト OVH を初めて攻撃しました。 攻撃の速度はそれぞれ XNUMX ギガビット/秒と XNUMX テラビット/秒でした。 翌月、 ドメインネームシステム サービスプロバイダーの Dyn のネットワークが標的となり、Amazon、Netflix、Twitter などの多数の Web サイトが作成されました。 ニューヨークタイムズ、何時間も利用できません。 この攻撃は、IP カメラやルーターなどの消費者向け IoT デバイスを介してネットワークに侵入しました。 その後、ハジメ、かくれんぼ、マスタ、ピュアマスタ、ウィキッド、オキルなど、多くのミライの亜種が登場しました。
• 食品医薬品局は 2017 年 XNUMX 月の通知で、ペースメーカー、除細動器、再同期装置など、無線周波数対応のセント ジュード メディカルの植込み型心臓装置に組み込まれたシステムがセキュリティ侵入や攻撃に対して脆弱になる可能性があると警告しました。
• 2020 年 XNUMX 月、トレンドマイクロは次のことを発見しました。 IoT Mirai ボットネット ダウンローダー これは新しいマルウェアの亜種に適応可能であり、公開された Big-IP ボックスに悪意のあるペイロードを配信するのに役立ちます。 見つかったサンプルでは、​​一般的な IoT デバイスやソフトウェアにある、最近公開された脆弱性やパッチが適用されていない脆弱性も悪用されていました。
• 2021 年 150,000 月、セキュリティ カメラのスタートアップ Verkada は XNUMX の ライブカメラのフィードがハッキングされる スイスのハッカー集団によるもの。 これらのカメラは、学校、刑務所、病院、テスラなどの民間企業施設内の活動を監視しました。
• 2022 年後半、ハッカーはリモート コード実行に関連する一連の 13 件の IoT 脆弱性を悪用し始めました。 彼らは、侵害されたデバイスに Mirai マルウェアの修正バージョンをインストールし、影響を受けるシステムを不正に制御できるようにしました。
• 2023年XNUMX月、Akuvoxのスマートインターコムに、遠隔からの盗聴や監視を可能にするゼロデイ欠陥があることが判明した。
• また、2023 年 XNUMX 月には、 トラステッド・プラットフォーム・モジュール バッファ オーバーフローに関連する 2.0 プロトコルが発見され、数十億の IoT デバイスが危険にさらされています。

IoTのセキュリティ基準と法規制

多くの IoT セキュリティ フレームワークが存在しますが、現在まで業界で受け入れられた単一の標準はありません。 ただし、IoT セキュリティ フレームワークを採用するだけでも効果があります。 IoT デバイスを作成および導入している企業を支援するツールとチェックリストを提供します。 このようなフレームワークは、非営利団体 GSM Association、IoT Security Foundation、Industry IoT Consortium およびその他の組織によってリリースされています。

その他の IoT セキュリティ標準および規制には次のものがあります。

• 2015 年 091015 月、連邦捜査局は公共サービス通知、FBI 警告番号 I-XNUMX-PSA を発表し、IoT デバイスの潜在的な脆弱性について警告し、消費者保護と防衛に関する推奨事項を提供しました。
• 2017 年 XNUMX 月、議会は IoT サイバーセキュリティ改善法を導入しました。これにより、米国政府に販売される IoT デバイスはデフォルトのパスワードを使用せず、既知の脆弱性を持たず、デバイスにパッチを適用するメカニズムを提供する必要があります。 これは、政府に販売されるデバイスを作成するメーカーを対象としていますが、すべてのメーカーが採用すべきセキュリティ対策のベースラインを設定しました。
• IoT 固有ではありませんが、 一般的なデータ保護規則、2018 年 XNUMX 月にリリースされ、欧州連合全体のデータ プライバシー法を統一します。 これらの保護は、IoT デバイスとそのネットワークにまで拡張されます。
• 2018 年 XNUMX 月、議会は IoT の現代応用、研究および動向に関する法律 (SMART IoT 法) を導入し、商務省に IoT 業界の調査を実施し、IoT デバイスの安全な成長のための推奨事項を提供することを提案しました。 SMART IoT ACT はまだ法律として成立していませんが、議会の複数のセッションで導入されています。
• 2018 年 327 月、カリフォルニア州議会は、米国で販売される IoT デバイスのセキュリティ要件を導入する法律である上院法案 XNUMX 情報プライバシー: コネクテッド デバイスを承認しました。
• 2019 年 XNUMX 月、欧州電気通信標準協会は、消費者向け IoT セキュリティに世界的に適用可能な初の標準をリリースしました。これは、これまでこのような規模で取り上げられていなかった分野です。
• 2020 年 XNUMX 月、イノベーションの発展とモノのインターネットの成長に関する法律 (DIGIT 法) が上院を通過しました。 この法案では、商務省がワーキンググループを招集し、セキュリティやプライバシーを含むIoTに関する報告書を作成することが求められている。
• 2020年XNUMX月、ドナルド・トランプ前大統領は、 IoTサイバーセキュリティ改善法 2020年の監督、 米国標準技術局 米国政府が管理または所有する IoT デバイスに対する最低限のサイバーセキュリティ標準を作成する。
• 2022 年に英国の製品セキュリティおよび電気通信インフラ法が施行されました。 この法律では、すべての消費者向けスマート デバイスがサイバー攻撃を軽減し、防御できることが義務付けられています。

IoT 攻撃とセキュリティはさまざまです

IoT セキュリティ手法は、特定の IoT アプリケーションと IoT エコシステム内のそのアプリケーションの位置によって異なります。 たとえば、製品メーカーから半導体企業までの IoT メーカーは、最初からデバイスにセキュリティを組み込むこと、ハードウェアの改ざん防止、安全なハードウェアの構築、安全なアップグレードの確保、ファームウェアのアップデートとパッチの提供、動的テストの実行に集中する必要があります。

IoT デバイスの開発者は、安全なソフトウェア開発と安全な統合に重点を置く必要があります。 IoT システムを導入する企業にとって、ハードウェアのセキュリティと認証は重要な対策です。 同様に、オペレータにとっても、システムを最新の状態に保ち、マルウェアを軽減し、監査し、インフラストラクチャを保護し、資格情報を保護することが重要です。 ただし、IoT の導入では、導入前にセキュリティのコストとリスクを比較検討することが重要です。

IoT エンドポイントは、サイバー犯罪者の最大の標的として浮上しています。 を発見してください IoT セキュリティの脅威トップ 12 そしてそれらに優先順位を付ける方法。