IoTパートナーに尋ねるべき6つのサイバーセキュリティの質問
Jane Porter
私たちがサイバーセキュリティの投稿で取り上げてきた多くのトピックは、幅広いIT展開に適用されます。スマートコネクテッドプロダクトからスマートシティまで、特にIndustrial IoTアプリケーションに特に適用される2つの主要な考慮事項があります。第一に、展開に関わるデバイス数が拡大し、データ量が指数関数的に増加するにつれて、IoTでセキュリティを維持するための要件も同様に増大します。第二に、特にBuy and Buildアプローチを活用する場合、資産からデバイス管理プラットフォーム、分析アプリケーションまで、セキュリティ機能の提供を他者に依存することになります。エンドツーエンドのセキュリティを他の組織に依存している状況で、個人または組織として、ビジネス要件を満たしながら可能な限り最高のセキュリティを確保するために何ができるでしょうか?
-
使用するデバイスのセキュリティ機能を把握しましょう。時間が経つにつれて古いものと新しいものが混在することになるため、デバイスを更新できるかどうか、そしてその方法を理解することが絶対に重要です。最終的に、デバイスの脆弱性、ひいてはIoTソリューションを管理する能力は、デバイスソフトウェアやファームウェアをリモートで更新できるかどうかにかかっています。更新のリモート側面こそが、IoTが真に輝き、安全でスケーラブルなソリューションを提供する能力を変革できる部分です。
-
デバイスセキュリティのもう一つの確認すべき側面は、IoTプラットフォームがデバイスにオープンポートを必要とするかどうかです。これはどういう意味でしょうか?明らかにIoTプラットフォームと通信するためにはオープンポートが必要ですが、この問題に対する安全なアプローチは、IoTプラットフォームと通信するデバイスソフトウェアが常にエフェメラルポート経由で通信を開始することです。これにより、悪意のある行為者がデバイスを発見する能力を排除し、結果的にデバイスやIoTソリューションへの攻撃を可能にすることを防ぎます。
-
IoTプラットフォームが提供するセキュリティ機能の粒度はどの程度でしょうか?デバイスレベルですべてを管理できることは素晴らしいアイデアのように思えるかもしれませんが、現実的にはスケーラブルではありません。スペクトラムの反対側では、プラットフォームレベルでのみセキュリティを設定できることも制限となります。したがって、ソフトウェアエンジニアリングの多くの事柄と同様に、粒度と数百万のデバイスを合理的に管理できることの間の妥協点となります。重要なのは、自分に適したものを決定することです。
-
あなたの組織にはIdentity Access Manager(IAM)がありますか?多くの大規模組織にはあります。実際、Public Key Infrastructure(PKI)も持っているかもしれません。これらの分野の責任者でない場合は、担当部門に連絡を取り、これらの分野を有利に活用する方法について協力すべきです。これにより、ユーザーとデバイスの管理方法を理解する時間を大幅に節約できるだけでなく、IoTソリューションが企業標準に準拠することも保証されます。もちろん、IoTプラットフォームがこれらの分野との統合を提供しているかを確認する必要があります。
-
標準—IOS27001、17、18、SOC2など、IoTプラットフォームの運用方法を管理する多くの高レベル標準があります。そして、HIPAAなどの市場垂直固有の標準もあります。必要なすべての標準を提供するプラットフォームを見つけることは非常に困難なため、必要なコンプライアンスを獲得できるプラットフォームを探しましょう。
-
すべてのIoTプラットフォームでは、ユーザーインターフェースを拡張・強化して、ユーザーに独自の付加価値を提供できます。ここであなたの責任が生じます。Webインターフェースを使用するか、独自のマイクロサービスを展開できるかに関係なく、APIが適切に使用され、特定のニーズに合わせてAPIを「巧妙に」曲げようとしないことを確保する必要があります。これは短期的な利益をもたらすかもしれませんが、権限昇格などの意図しない結果を招く可能性があります。これを阻止するのはプラットフォームの責任だと言うことはできますが、現実的には、最初から安全でないことをしないのはあなたの責任です。
結論として、プラットフォームがこれらの分野に対処する能力を提供することを確認しつつ、ソリューションのセキュリティを確保することはあなたの責任であるという事実を見失わないようにしてください。