IoTのリスクマネジメントガイド役「IoT Trust Framework」の最新版が公開

『Help Net Security』

January 18, 2017 08:00
by 『Help Net Security』

Online Trust Alliance(OTA)が、最新のIoT Trust Frameworkを発表した。モノのインターネット(IoT)デバイスの開発者や購入者、販売業者向けの製品開発やリスクマネジメントのガイドの役割を果たす当フレームワークは、将来のIoT認証プログラムの基礎となるものだ。

OTAの目的は「デバイスのライフサイクルセキュリティの方針を示し、責任あるプライバシープラクティスを採用するデバイスや企業」に焦点を当てることだ。このような通知や開示は、消費者がIoTデバイスの購入を決める際に情報を得る助けとなるだろう。

完璧なセキュリティなどないものの、このフレームワークの指針を採用する企業は、規制制度や集団訴訟から守られるはずであり、また保険料のコスト削減を実現できる可能性もあるとOTAは認識している。最新版のフレームワークは、ADTやMicrosoft、SiteLock、Symantec、TRUSTe、Verisignをはじめとする何百社もの大手セキュリティ業界やプライバシー業界のリーダーから得られた情報を反映している。今回の最新のフレームワークは2016年3月に発表された最初のバージョンを基礎としており、IoTデバイスを守るための取り組みを公的なものから私的なものまで幅広く取り入れている。

「我々の国が直面する重要なサイバーセキュリティ課題に対処するために、私はこれまで様々な出資者のプロセスを長い間支援してきた」と話すのはCongressional Cybersecurity Caucusの共同創始者で共同委員長のJim Langevin氏 (民主党・ロードアイランド州)だ。「IoTデバイスを活用した昨今の攻撃は、OTAのような組織の取り組みの必要性を強調するばかりである。企業は自社のIoTデバイスやアプリケーション、サービスのサイバーセキュリティリスクに対処しなければならない。このIoT Frameworkは、開発者がリスクを緩和し、顧客を守るために用いることができる明確な指針を提供している」

OTAの研究者らは、国土安全保障省(DHS)や連邦通信委員会(FCC)、連邦取引委員会(FTC)などの米国政府機関による「IoTのセキュリティとプライバシーに関する助言」を統合した。さらにOTAは、Broadband Internet Technical Advisory Group(BITAG、ブロードバンドインターネット技術アドバイザリーグループ)やCenter for Democracy & Technology(CDT、民主主義と技術のためのセンター)、Consumer Federation of America(CFA、アメリカ消費者連合)、Consumer Technology Association(CTA、全米家電協会)、I am The Cavalry(コンピュータセキュリティと人権を考える非営利団体)、International Telecommunications Union(ITU、国際電気通信連合)、Internet Society(インターネットポリシーの非営利団体)、National Association of Realtors(全米リアルター協会、NAR)などの組織による重要な助言を複数組み込んだ。

IoT Trust Frameworkのカテゴリー

IoT Trust Frameworkには37の指針が含まれており、それらは4つの主要なカテゴリーに分類される。

セキュリティ(1〜9):全てのデバイスやそのアプリケーション、バックエンドクラウドサービスに適用できる。これらには、厳格なソフトウェア開発のセキュリティプロセスの活用、デバイス上で保存や送信が行われるデータに関するセキュリティ指針の遵守、サプライチェーンの管理、ペネトレーションテストと脆弱性報告のプログラムが含まれる。さらなる指針では、ライフサイクルセキュリティのパッチの要件について概説している。

ユーザーアクセスと認証(10〜14):「パスワードとユーザー名の全ての暗号化の要求」「独自のパスワードを設定したデバイスの出荷」「一般的に受け入れられるパスワード再設定のプロセスの実装」、そして「『総当たり(ブルートフォース)』攻撃によるログインの試みを防止する際に役立つメカニズムの統合」の要求。

プライバシーと情報開示、透明性(15〜30):一般的に容認されているプライバシー指針に準拠することの要求。ここには「(製品の)パッケージ、販売場所、オンラインの掲示において目立った情報開示を行うこと」も含まれる。工場出荷時設定に復元できる機能を提供し、またEU General Data Protection Regulation(GDPR/EU一般データ保護規則)やChildren’s Online Privacy Protection Act(COPPA/児童オンライン・ プライバシー保護法)などを含めた(これらの規制に限らず)、適用される規制要件を準拠すること。インターネットに接続されていないとき、その製品の機能や機能にどのような影響が出るのか開示することを要件とする。

通知、およびそれに関連したベストプラクティス(31〜37):デバイスのセキュリティを維持する鍵は、脅威について、また必要とされる行動について迅速にユーザーへ通知するメカニズムやプロセスを持つことである。その指針には「セキュリティの通知を行うためのメール認証の要件」が含まれており、また、そのメッセージは全ての世代、あらゆる読解力のユーザーにも分かるように明確に書かれたものでなければならない。さらに不正改造を防止する加工が施された造りや、ユーザー補助の要件が強調されている。

「IoT Trust Frameworkは、『インターネットにデバイスが接続された世界』に必要なセキュリティ文化の良い例である」とInternet SocietyのチーフインターネットテクノロジーオフィサーであるOlaf Kolkman氏は言う。「スマートデバイスの販売に従事している企業は、自社のデバイスを『スマート』と呼ぶ前に、このフレームワークで概説された要件を実践しなければならない」

「Symantecはこれまで無数のIoTデバイスの保護を助けてきた。しかし残念なことに、新しいIoTデバイスの大部分は、適切なセキュリティ基盤が欠けた状態で市場に出回っている」とIoT作業部会の共同委員長でSymantec Research LabsのシニアディレクターBrian Witten氏は話す。「OTAのIoT Trust Frameworkは、デバイスのメーカーがセキュリティを組み込むための、また消費者が最初から保護されていることを保証するための適切なガイドラインを提供している。この業界がIoTセキュリティ要件に合わせて足並みを揃えるよう、Online Trust Allianceが関与してくれたことを嬉しく思っている」
 
翻訳:編集部
原文:IoT Trust Framework: The foundation for future IoT certification programs
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…