錠前が暗示するIoTセキュリティの3要件SYSTEM DESIGN JOURNAL(5/5 ページ)

» 2016年08月05日 07時00分 公開
[Ron Wilson(Editor-in-chief,Altera),MONOist]
前のページへ 1|2|3|4|5       

 なかでも使用手順は特に興味深く、ほとんどのセキュリティ解析ではなおざりにされています。例えば、従業員の買収またはシステムのハッキングによってベンダーからルート鍵を盗み出すこと、ユーザーのパスワードを傍受すること、あるいは顧客になりすますことは非常に簡単です。

 Bron氏が紹介したあるエクスプロイトでは、犯人は客が自分のPIN番号を入力するPOS端末の小さなキーパッドの下に圧力センサーを取り付けることでパスワードを手に入れました。多くの場合、最も大きな脆弱性は、人間の活動または一見無害な副次的トランザクションに存在します。

 ULはこの広い視点を取り入れた新しい規格「UL2900 CyberAssurance」の発表を準備しています。IoTシステムセキュリティの包括的な評価として、特に誰が評価を行うべきかについて、議論を呼ぶことは間違いありません。Bron氏は、ULがベンダーに自己評価させるのではなく、星評価やクラウドソーシングによるシステムセキュリティ評価、さらにはハッキングの成功に対する報奨金といったソーシャルメディア指向のアイデアに頼る可能性をほのめかしました。

しかし、UL2900の影響がどうであれ、これまでよりはるかに真剣なエンドツーエンドのセキュリティ解析に取り組まないと、IoTシステムは安全になり得ないことはますます明らかになっています。業界は、攻撃者より大変な努力をしなければなりません。損害からの物理的安全と個人情報の安全という両方の安全がなければ、IoTは行き詰まる可能性があります。

(本稿はSYSTEM DESIGN JOURNALに掲載された「No Safety without Security on the IoT 」の翻訳です)

前のページへ 1|2|3|4|5       

Copyright © ITmedia, Inc. All Rights Reserved.