IoTのリスクマネジメントガイド役「IoT Trust Framework」の最新版が公開

『Help Net Security』

January 18, 2017 08:00
by 『Help Net Security』

Online Trust Alliance(OTA)が、最新のIoT Trust Frameworkを発表した。モノのインターネット(IoT)デバイスの開発者や購入者、販売業者向けの製品開発やリスクマネジメントのガイドの役割を果たす当フレームワークは、将来のIoT認証プログラムの基礎となるものだ。

OTAの目的は「デバイスのライフサイクルセキュリティの方針を示し、責任あるプライバシープラクティスを採用するデバイスや企業」に焦点を当てることだ。このような通知や開示は、消費者がIoTデバイスの購入を決める際に情報を得る助けとなるだろう。

完璧なセキュリティなどないものの、このフレームワークの指針を採用する企業は、規制制度や集団訴訟から守られるはずであり、また保険料のコスト削減を実現できる可能性もあるとOTAは認識している。最新版のフレームワークは、ADTやMicrosoft、SiteLock、Symantec、TRUSTe、Verisignをはじめとする何百社もの大手セキュリティ業界やプライバシー業界のリーダーから得られた情報を反映している。今回の最新のフレームワークは2016年3月に発表された最初のバージョンを基礎としており、IoTデバイスを守るための取り組みを公的なものから私的なものまで幅広く取り入れている。

「我々の国が直面する重要なサイバーセキュリティ課題に対処するために、私はこれまで様々な出資者のプロセスを長い間支援してきた」と話すのはCongressional Cybersecurity Caucusの共同創始者で共同委員長のJim Langevin氏 (民主党・ロードアイランド州)だ。「IoTデバイスを活用した昨今の攻撃は、OTAのような組織の取り組みの必要性を強調するばかりである。企業は自社のIoTデバイスやアプリケーション、サービスのサイバーセキュリティリスクに対処しなければならない。このIoT Frameworkは、開発者がリスクを緩和し、顧客を守るために用いることができる明確な指針を提供している」

OTAの研究者らは、国土安全保障省(DHS)や連邦通信委員会(FCC)、連邦取引委員会(FTC)などの米国政府機関による「IoTのセキュリティとプライバシーに関する助言」を統合した。さらにOTAは、Broadband Internet Technical Advisory Group(BITAG、ブロードバンドインターネット技術アドバイザリーグループ)やCenter for Democracy & Technology(CDT、民主主義と技術のためのセンター)、Consumer Federation of America(CFA、アメリカ消費者連合)、Consumer Technology Association(CTA、全米家電協会)、I am The Cavalry(コンピュータセキュリティと人権を考える非営利団体)、International Telecommunications Union(ITU、国際電気通信連合)、Internet Society(インターネットポリシーの非営利団体)、National Association of Realtors(全米リアルター協会、NAR)などの組織による重要な助言を複数組み込んだ。

IoT Trust Frameworkのカテゴリー

IoT Trust Frameworkには37の指針が含まれており、それらは4つの主要なカテゴリーに分類される。

セキュリティ(1〜9):全てのデバイスやそのアプリケーション、バックエンドクラウドサービスに適用できる。これらには、厳格なソフトウェア開発のセキュリティプロセスの活用、デバイス上で保存や送信が行われるデータに関するセキュリティ指針の遵守、サプライチェーンの管理、ペネトレーションテストと脆弱性報告のプログラムが含まれる。さらなる指針では、ライフサイクルセキュリティのパッチの要件について概説している。

ユーザーアクセスと認証(10〜14):「パスワードとユーザー名の全ての暗号化の要求」「独自のパスワードを設定したデバイスの出荷」「一般的に受け入れられるパスワード再設定のプロセスの実装」、そして「『総当たり(ブルートフォース)』攻撃によるログインの試みを防止する際に役立つメカニズムの統合」の要求。

プライバシーと情報開示、透明性(15〜30):一般的に容認されているプライバシー指針に準拠することの要求。ここには「(製品の)パッケージ、販売場所、オンラインの掲示において目立った情報開示を行うこと」も含まれる。工場出荷時設定に復元できる機能を提供し、またEU General Data Protection Regulation(GDPR/EU一般データ保護規則)やChildren’s Online Privacy Protection Act(COPPA/児童オンライン・ プライバシー保護法)などを含めた(これらの規制に限らず)、適用される規制要件を準拠すること。インターネットに接続されていないとき、その製品の機能や機能にどのような影響が出るのか開示することを要件とする。

通知、およびそれに関連したベストプラクティス(31〜37):デバイスのセキュリティを維持する鍵は、脅威について、また必要とされる行動について迅速にユーザーへ通知するメカニズムやプロセスを持つことである。その指針には「セキュリティの通知を行うためのメール認証の要件」が含まれており、また、そのメッセージは全ての世代、あらゆる読解力のユーザーにも分かるように明確に書かれたものでなければならない。さらに不正改造を防止する加工が施された造りや、ユーザー補助の要件が強調されている。

「IoT Trust Frameworkは、『インターネットにデバイスが接続された世界』に必要なセキュリティ文化の良い例である」とInternet SocietyのチーフインターネットテクノロジーオフィサーであるOlaf Kolkman氏は言う。「スマートデバイスの販売に従事している企業は、自社のデバイスを『スマート』と呼ぶ前に、このフレームワークで概説された要件を実践しなければならない」

「Symantecはこれまで無数のIoTデバイスの保護を助けてきた。しかし残念なことに、新しいIoTデバイスの大部分は、適切なセキュリティ基盤が欠けた状態で市場に出回っている」とIoT作業部会の共同委員長でSymantec Research LabsのシニアディレクターBrian Witten氏は話す。「OTAのIoT Trust Frameworkは、デバイスのメーカーがセキュリティを組み込むための、また消費者が最初から保護されていることを保証するための適切なガイドラインを提供している。この業界がIoTセキュリティ要件に合わせて足並みを揃えるよう、Online Trust Allianceが関与してくれたことを嬉しく思っている」
 
翻訳:編集部
原文:IoT Trust Framework: The foundation for future IoT certification programs
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです




中国北京市に大量の偽携帯基地局が存在する理由

July 25, 2017 08:00

by 牧野武文

以前、偽の携帯電話基地局から大量の広告ショートメッセージ(SMS)を発信した事件をお伝えした。その際、偽携帯基地局からのSMSは、発信元の電話番号を自由に偽装できるため、受信者側では本物のSMSなのか、偽物なのかの見分けがつかないという危険性を指摘した。案の定、中国で、偽携帯基地局から発信したSMS…

AlphaBay・Hansa大手闇市場が閉鎖 (1) AlphaBay消滅後のダークマーケットはどうなる?

July 21, 2017 13:30

by 江添 佳代子

ダークウェブの闇市場の最大手として知られていたAlphaBayが7月5日に閉鎖され、その運営者として逮捕されていたアレキサンダー・カーゼスがタイの拘置所で死亡したことは既にTHE ZERO/ONEでお伝えした。カーゼスの自尽が報じられてから日は浅いのだが、セキュリティ業界では早くも「次の闇市場の王者…