IoTサイバーセキュリティの3つの重要な洞察
Jane Porter
スマートコネクテッド製品の時代により、あらゆる企業がソフトウェア企業へと変貌を遂げています。世界中の資産を接続、管理、監視する能力には、データを安全に収集・保存し、悪意のある攻撃者による制御を防ぐ責任が伴います。
サイバーセキュリティに関する私たちのシリーズを貫く主要なテーマは、サイバーセキュリティに万能薬は存在しないということです。どんな革新的なサイバーセキュリティソリューションも、第三者ハッカーによるイノベーションを促進することになります。そのため、サイバーセキュリティを、IT部門が一度だけ実装するソリューションではなく、継続的改善のための組織的プロセスとして捉えることが重要です。私たちのシリーズから得られる3つの主要な教訓は、あらゆる企業の継続的なサイバーセキュリティプロセスに組み込まれる必要があります:
1. 多層防御の構築
攻撃ベクトルを最小化するには、セキュリティへの階層的アプローチが必要です。ハッカーが機密システムにアクセスする様々な方法があるため、ユーザーレベルと管理レベルの両方で複数のタイプのソリューションを含める必要があります。ソリューションは、異なる作業現場で利用可能なインフラストラクチャやリモートワークとも互換性がある必要があります。
多層防御の一環として、サイバーセキュリティにおける物理的セキュリティの重要性を見落としてはいけません。ハッカーが物理世界の脆弱性を利用して、安全なデジタル空間へのアクセスを獲得することは珍しくありません。
2. 新しいIoTイニシアチブの開始時からサイバーセキュリティを考慮する
セキュリティの懸念は開発プロセスの開始時から考慮される必要があります。アプリケーション開発の設計、開発・テスト、保守の各段階にサイバーセキュリティを組み込むことで、製品ライフサイクル管理がはるかに容易になります。各段階で考慮すべき重要な質問は以下の通りです:
設計
開発・テスト
- セキュアコーディング実践、既知の脆弱性、コードスキャニングに関する第三者ライブラリは最新か?
- アプリケーション内のデータの機密性レベルを考慮して、セキュリティテストにどの程度の投資が必要か?
保守
- ISO 27001やSOC2などのコンプライアンス監査基準に対応できているか?
- アプリケーションを実行している環境は最新のパッチで更新されているか?
3. 異なる世代の技術には異なるアプローチが必要
使用するデバイスのセキュリティ機能を把握してください。時間の経過とともに、新旧のデバイスが混在することになるため、デバイスを更新できるかどうか、そしてその方法を理解することが絶対に重要です。最終的に、デバイスの脆弱性、ひいてはIoTソリューションを管理する能力は、デバイスのソフトウェアやファームウェアをリモートで更新できるかどうかにかかっています。更新のリモート側面こそが、IoTが真に輝き、安全でスケーラブルなソリューションを提供する能力を変革できる部分です。
Webインターフェースを使用するか、独自のマイクロサービスをデプロイするかに関わらず、APIが適切に使用されていることを確認し、「賢くなろう」として特定のニーズに合わせてAPIを曲げようとしないことが必要です。これは短期的な利益をもたらすかもしれませんが、意図しない結果を招く可能性があります。
どのようなアプローチを取ろうと、どのベンダーと協力しようと、最終的にサイバーセキュリティを維持することはあなたの責任です。