Miraiが大量のIoTデバイスに侵入できたのは、IoTデバイスの多くでセキュリティ設定がデフォルトのままだったからです。IoTデバイスは1台あたりの処理能力はそう高くなくとも「塵も積もれば山となる」で、大量の台数を使えば相当な攻撃力となります。
近年IoTデバイスへの攻撃が増え続けています。理由は台数が増えているだけではなく、先述したように攻撃に対して無防備だから悪用しやすいためです。パソコンやスマートフォンはセキュリティを意識して設定してから使いますが、ちょっとしたガジェットだとそうした意識は希薄になりがちです。 どうしてこういうことが起きてしまったのでしょうか。それはガジェットの製造業者が製品のセキュリティベストプラクティスよりも、製品を市場に早く出すことや、使いやすくすることを優先していたからです。 一方、ボットネットは感染対象を探すために、絶えずネットをスキャンしています。その速さは驚くほどです。研究者のRob Grahamはわざと脆弱なデバイスをネットに接続し、攻撃を受けるまでどのくらいかかるか試してみました。するとわずか98秒でMiraiのようなボットネットに感染したということです。IoTデバイスのセキュリティ対策は急務となっています。脆弱なままネットに接続したら、たちまち攻撃を受けてしまいます。
日本政府も事態を深刻に受けとめて対策に乗り出しています。総務省及び国立研究開発法人情報通信研究機構(NICT)はインターネットプロバイダと連携し、IoT機器の調査や利用者への注意喚起を行う取り組み「NOTICE(National Operation Towards IoT Clean Environment)」を2019年2月から実施しています。また、総務省は電気通信事業法にもとづく省令を改正し、IoTデバイスに不正アクセスを防止する機能を設けることを義務づけることにしています。2020年4月から適用します。 具体的にはどのような対策が必要でしょうか。ここでは認証とIDに焦点を当てます。認証とIDはパソコンやスマートフォンで日常的に使っているように、通信の信頼性を守るための重要な要素です。 しかしIoTデバイスは急速に増加しています。規模は何十億から数千億とも言われています。インターネットのユーザー数増加とは桁違いの速さで広がっています。この速さでIDを拡張できる方法を見いだすことが課題となっています。 デジサート CTO Dan Timpsonはセキュリティサイト「Security Ledger」への寄稿記事にて、「IoTはIDの課題を抱えている。それはIoT展開時に拡張可能な認証と暗号化ソリューションが欠如していることだ」と指摘しています。 該当記事「Identity at Scale: how the Internet of Things will Revolutionize Online Identity(IDの拡張:IoTはどのようにオンラインのIDを革新するか)」でDanは、ほぼすべてのデバイスが何らかの方法でインターネットに接続する、来たるIoT時代に私たちが直面する課題について述べています。Public Key Infrastructure(PKI)証明書が提供する強力なIDがオンラインのIDとセキュリティの核心であると断言しています。PKI証明書で有効に発行されたIDはユーザーアクセス、保存データ、デバイスの通信や起動、ソフトウェア更新などあらゆるものを保護するために使うことができるからです。
デバイスの接続にはいくつか固有の課題があり、包括的なソリューションが必要になります。ここでは2つ挙げましょう。 まず1つはリソースの制約です。多くのIoTデバイスはリソースが限られています。一般的に「強力な暗号化を使うには計算能力が不足している」と考えられています。それで暗号化を断念してしまうと、エンドポイントはブルートフォース攻撃や中間者攻撃など、盗聴の危険にさらされることになります。 しかしながら、暗号を使うには計算能力が不足しているというのは誤解です。暗号化と認証の機能を提供するインターネット標準のTLSはさまざまなデバイスで使用可能であり、IoTのような低電力デバイスでも「処理が重すぎる」ことはありません。 もう1つは規模です。毎日何万ものデバイスがオンラインになると、すべてのデバイスを管理するためにシームレスにスケールアップできるようなソリューションが必要になります。ガートナーは2020年末までにネットに接続する機器はトータルで200億にも上ると推定しています。 デバイスを安全に展開するための効果的な方法には、何があるでしょうか。 あまりに規模が多く気が遠くなってしまうかもしれません。しかしすべてに対応できるソリューションがあります。それがPKIです。PKIでは、暗号鍵は証明書という形式でデバイスにバインドされ(書き込まれ)ています。これらの証明書はデバイスの識別情報を提供する要件に合わせてカスタマイズできます。例えば、何かユニークなIDのシリアル番号で証明書を識別するなどです。証明書は認証局(CA)と呼ばれる信頼できる機関が発行します。証明書の発行を機器の製造数に合わせて数百万単位へと拡張することも簡単にできます。
PKI証明書はIoTの完全なセキュリティソリューションとして重要な役割を果たします。PKIはあらゆるデバイスの暗号化、認証、ID証明といった必要性に対処できます。製造開発チームがオーケストレーションと自動化ツールを採用すると、証明書のシームレスな展開と管理が可能になり、証明書の俊敏性と信頼性の維持が可能になります。
IoTデバイスが爆発的に急増しても、PKIを使えばセキュリティの課題を解決できます。
原文はこちら