IoTのリスクマネジメントガイド役「IoT Trust Framework」の最新版が公開

『Help Net Security』

January 18, 2017 08:00
by 『Help Net Security』

Online Trust Alliance(OTA)が、最新のIoT Trust Frameworkを発表した。モノのインターネット(IoT)デバイスの開発者や購入者、販売業者向けの製品開発やリスクマネジメントのガイドの役割を果たす当フレームワークは、将来のIoT認証プログラムの基礎となるものだ。

OTAの目的は「デバイスのライフサイクルセキュリティの方針を示し、責任あるプライバシープラクティスを採用するデバイスや企業」に焦点を当てることだ。このような通知や開示は、消費者がIoTデバイスの購入を決める際に情報を得る助けとなるだろう。

完璧なセキュリティなどないものの、このフレームワークの指針を採用する企業は、規制制度や集団訴訟から守られるはずであり、また保険料のコスト削減を実現できる可能性もあるとOTAは認識している。最新版のフレームワークは、ADTやMicrosoft、SiteLock、Symantec、TRUSTe、Verisignをはじめとする何百社もの大手セキュリティ業界やプライバシー業界のリーダーから得られた情報を反映している。今回の最新のフレームワークは2016年3月に発表された最初のバージョンを基礎としており、IoTデバイスを守るための取り組みを公的なものから私的なものまで幅広く取り入れている。

「我々の国が直面する重要なサイバーセキュリティ課題に対処するために、私はこれまで様々な出資者のプロセスを長い間支援してきた」と話すのはCongressional Cybersecurity Caucusの共同創始者で共同委員長のJim Langevin氏 (民主党・ロードアイランド州)だ。「IoTデバイスを活用した昨今の攻撃は、OTAのような組織の取り組みの必要性を強調するばかりである。企業は自社のIoTデバイスやアプリケーション、サービスのサイバーセキュリティリスクに対処しなければならない。このIoT Frameworkは、開発者がリスクを緩和し、顧客を守るために用いることができる明確な指針を提供している」

OTAの研究者らは、国土安全保障省(DHS)や連邦通信委員会(FCC)、連邦取引委員会(FTC)などの米国政府機関による「IoTのセキュリティとプライバシーに関する助言」を統合した。さらにOTAは、Broadband Internet Technical Advisory Group(BITAG、ブロードバンドインターネット技術アドバイザリーグループ)やCenter for Democracy & Technology(CDT、民主主義と技術のためのセンター)、Consumer Federation of America(CFA、アメリカ消費者連合)、Consumer Technology Association(CTA、全米家電協会)、I am The Cavalry(コンピュータセキュリティと人権を考える非営利団体)、International Telecommunications Union(ITU、国際電気通信連合)、Internet Society(インターネットポリシーの非営利団体)、National Association of Realtors(全米リアルター協会、NAR)などの組織による重要な助言を複数組み込んだ。

IoT Trust Frameworkのカテゴリー

IoT Trust Frameworkには37の指針が含まれており、それらは4つの主要なカテゴリーに分類される。

セキュリティ(1〜9):全てのデバイスやそのアプリケーション、バックエンドクラウドサービスに適用できる。これらには、厳格なソフトウェア開発のセキュリティプロセスの活用、デバイス上で保存や送信が行われるデータに関するセキュリティ指針の遵守、サプライチェーンの管理、ペネトレーションテストと脆弱性報告のプログラムが含まれる。さらなる指針では、ライフサイクルセキュリティのパッチの要件について概説している。

ユーザーアクセスと認証(10〜14):「パスワードとユーザー名の全ての暗号化の要求」「独自のパスワードを設定したデバイスの出荷」「一般的に受け入れられるパスワード再設定のプロセスの実装」、そして「『総当たり(ブルートフォース)』攻撃によるログインの試みを防止する際に役立つメカニズムの統合」の要求。

プライバシーと情報開示、透明性(15〜30):一般的に容認されているプライバシー指針に準拠することの要求。ここには「(製品の)パッケージ、販売場所、オンラインの掲示において目立った情報開示を行うこと」も含まれる。工場出荷時設定に復元できる機能を提供し、またEU General Data Protection Regulation(GDPR/EU一般データ保護規則)やChildren’s Online Privacy Protection Act(COPPA/児童オンライン・ プライバシー保護法)などを含めた(これらの規制に限らず)、適用される規制要件を準拠すること。インターネットに接続されていないとき、その製品の機能や機能にどのような影響が出るのか開示することを要件とする。

通知、およびそれに関連したベストプラクティス(31〜37):デバイスのセキュリティを維持する鍵は、脅威について、また必要とされる行動について迅速にユーザーへ通知するメカニズムやプロセスを持つことである。その指針には「セキュリティの通知を行うためのメール認証の要件」が含まれており、また、そのメッセージは全ての世代、あらゆる読解力のユーザーにも分かるように明確に書かれたものでなければならない。さらに不正改造を防止する加工が施された造りや、ユーザー補助の要件が強調されている。

「IoT Trust Frameworkは、『インターネットにデバイスが接続された世界』に必要なセキュリティ文化の良い例である」とInternet SocietyのチーフインターネットテクノロジーオフィサーであるOlaf Kolkman氏は言う。「スマートデバイスの販売に従事している企業は、自社のデバイスを『スマート』と呼ぶ前に、このフレームワークで概説された要件を実践しなければならない」

「Symantecはこれまで無数のIoTデバイスの保護を助けてきた。しかし残念なことに、新しいIoTデバイスの大部分は、適切なセキュリティ基盤が欠けた状態で市場に出回っている」とIoT作業部会の共同委員長でSymantec Research LabsのシニアディレクターBrian Witten氏は話す。「OTAのIoT Trust Frameworkは、デバイスのメーカーがセキュリティを組み込むための、また消費者が最初から保護されていることを保証するための適切なガイドラインを提供している。この業界がIoTセキュリティ要件に合わせて足並みを揃えるよう、Online Trust Allianceが関与してくれたことを嬉しく思っている」
 
翻訳:編集部
原文:IoT Trust Framework: The foundation for future IoT certification programs
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…