IoTのリスクマネジメントガイド役「IoT Trust Framework」の最新版が公開

『Help Net Security』

January 18, 2017 08:00
by 『Help Net Security』

Online Trust Alliance(OTA)が、最新のIoT Trust Frameworkを発表した。モノのインターネット(IoT)デバイスの開発者や購入者、販売業者向けの製品開発やリスクマネジメントのガイドの役割を果たす当フレームワークは、将来のIoT認証プログラムの基礎となるものだ。

OTAの目的は「デバイスのライフサイクルセキュリティの方針を示し、責任あるプライバシープラクティスを採用するデバイスや企業」に焦点を当てることだ。このような通知や開示は、消費者がIoTデバイスの購入を決める際に情報を得る助けとなるだろう。

完璧なセキュリティなどないものの、このフレームワークの指針を採用する企業は、規制制度や集団訴訟から守られるはずであり、また保険料のコスト削減を実現できる可能性もあるとOTAは認識している。最新版のフレームワークは、ADTやMicrosoft、SiteLock、Symantec、TRUSTe、Verisignをはじめとする何百社もの大手セキュリティ業界やプライバシー業界のリーダーから得られた情報を反映している。今回の最新のフレームワークは2016年3月に発表された最初のバージョンを基礎としており、IoTデバイスを守るための取り組みを公的なものから私的なものまで幅広く取り入れている。

「我々の国が直面する重要なサイバーセキュリティ課題に対処するために、私はこれまで様々な出資者のプロセスを長い間支援してきた」と話すのはCongressional Cybersecurity Caucusの共同創始者で共同委員長のJim Langevin氏 (民主党・ロードアイランド州)だ。「IoTデバイスを活用した昨今の攻撃は、OTAのような組織の取り組みの必要性を強調するばかりである。企業は自社のIoTデバイスやアプリケーション、サービスのサイバーセキュリティリスクに対処しなければならない。このIoT Frameworkは、開発者がリスクを緩和し、顧客を守るために用いることができる明確な指針を提供している」

OTAの研究者らは、国土安全保障省(DHS)や連邦通信委員会(FCC)、連邦取引委員会(FTC)などの米国政府機関による「IoTのセキュリティとプライバシーに関する助言」を統合した。さらにOTAは、Broadband Internet Technical Advisory Group(BITAG、ブロードバンドインターネット技術アドバイザリーグループ)やCenter for Democracy & Technology(CDT、民主主義と技術のためのセンター)、Consumer Federation of America(CFA、アメリカ消費者連合)、Consumer Technology Association(CTA、全米家電協会)、I am The Cavalry(コンピュータセキュリティと人権を考える非営利団体)、International Telecommunications Union(ITU、国際電気通信連合)、Internet Society(インターネットポリシーの非営利団体)、National Association of Realtors(全米リアルター協会、NAR)などの組織による重要な助言を複数組み込んだ。

IoT Trust Frameworkのカテゴリー

IoT Trust Frameworkには37の指針が含まれており、それらは4つの主要なカテゴリーに分類される。

セキュリティ(1〜9):全てのデバイスやそのアプリケーション、バックエンドクラウドサービスに適用できる。これらには、厳格なソフトウェア開発のセキュリティプロセスの活用、デバイス上で保存や送信が行われるデータに関するセキュリティ指針の遵守、サプライチェーンの管理、ペネトレーションテストと脆弱性報告のプログラムが含まれる。さらなる指針では、ライフサイクルセキュリティのパッチの要件について概説している。

ユーザーアクセスと認証(10〜14):「パスワードとユーザー名の全ての暗号化の要求」「独自のパスワードを設定したデバイスの出荷」「一般的に受け入れられるパスワード再設定のプロセスの実装」、そして「『総当たり(ブルートフォース)』攻撃によるログインの試みを防止する際に役立つメカニズムの統合」の要求。

プライバシーと情報開示、透明性(15〜30):一般的に容認されているプライバシー指針に準拠することの要求。ここには「(製品の)パッケージ、販売場所、オンラインの掲示において目立った情報開示を行うこと」も含まれる。工場出荷時設定に復元できる機能を提供し、またEU General Data Protection Regulation(GDPR/EU一般データ保護規則)やChildren’s Online Privacy Protection Act(COPPA/児童オンライン・ プライバシー保護法)などを含めた(これらの規制に限らず)、適用される規制要件を準拠すること。インターネットに接続されていないとき、その製品の機能や機能にどのような影響が出るのか開示することを要件とする。

通知、およびそれに関連したベストプラクティス(31〜37):デバイスのセキュリティを維持する鍵は、脅威について、また必要とされる行動について迅速にユーザーへ通知するメカニズムやプロセスを持つことである。その指針には「セキュリティの通知を行うためのメール認証の要件」が含まれており、また、そのメッセージは全ての世代、あらゆる読解力のユーザーにも分かるように明確に書かれたものでなければならない。さらに不正改造を防止する加工が施された造りや、ユーザー補助の要件が強調されている。

「IoT Trust Frameworkは、『インターネットにデバイスが接続された世界』に必要なセキュリティ文化の良い例である」とInternet SocietyのチーフインターネットテクノロジーオフィサーであるOlaf Kolkman氏は言う。「スマートデバイスの販売に従事している企業は、自社のデバイスを『スマート』と呼ぶ前に、このフレームワークで概説された要件を実践しなければならない」

「Symantecはこれまで無数のIoTデバイスの保護を助けてきた。しかし残念なことに、新しいIoTデバイスの大部分は、適切なセキュリティ基盤が欠けた状態で市場に出回っている」とIoT作業部会の共同委員長でSymantec Research LabsのシニアディレクターBrian Witten氏は話す。「OTAのIoT Trust Frameworkは、デバイスのメーカーがセキュリティを組み込むための、また消費者が最初から保護されていることを保証するための適切なガイドラインを提供している。この業界がIoTセキュリティ要件に合わせて足並みを揃えるよう、Online Trust Allianceが関与してくれたことを嬉しく思っている」
 
翻訳:編集部
原文:IoT Trust Framework: The foundation for future IoT certification programs
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです




ホワイトハッカーが中国個人情報闇売買市場の裏取引価格を暴露

April 24, 2017 08:00

by 牧野武文

中国IT時報は、騰訊(テンセント)が組織するホワイトハッカー集団「騰訊守護者計画安全団体」の調査により、違法流出した個人情報の闇市場での取引相場価格の詳細が判明したと報じた。 違法流出の個人情報を購入するのは詐欺や資金洗浄を行う犯罪集団だけでなく、興信所や調査会社などの合法企業が購入していることも明…

スマートフォンのセンサーからユーザーのPINコードを盗む方法

April 21, 2017 08:00

by 江添 佳代子

英ニューキャッスル大学の研究チームが、「スマートフォンのモーションセンサーを利用し、ユーザーの入力したPINコードを割り出すことができるJavaScriptの攻撃」を発表した。この攻撃はMaryam Mehrnezhad博士率いる研究チームが示したもので、1度の入力読み取りテストで70%以上、3度の…

ハッカーの系譜(11)スタートアップを養成する「Yコンビネーター」 (1) 世界に衝撃を与えたインターネットワーム

April 19, 2017 08:00

by 牧野武文

「世界を変えるような新しいアイディアはすべてがシリコンバレーで生まれている」と言われる。すべてというのは大げさにしても、新しいアイディアの多くがシリコンバレーから生まれていることは確かだ。なぜなら、新しいことをやりたい若者は、全米中から、そして今では世界中からシリコンバレーに移住をして、スタートアッ…