DigiCertが、現実の問題を解決するために、デジタルトラストの確立、管理、拡大をどのように支援しているかをご覧ください。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
2023年8月15日よりCertCentralのサインインではユーザ名とパスワードのほかにワンタイムパスワード(OTP)もしくはクライアント証明書の二要素認証による提示が必要となりました。 設定等についてはこちらのKnowledgeを参照ください。
2022 年にバージョン 1.0 がリリースされて以来、スマートホーム接続に関する Matter 標準は、Matter 対応のスマートホームデバイス間の相互運用性とセキュリティの向上に取り組んできました。Matter は、メーカーでのデバイス開発を簡素化するとともに、一般の人々が簡単に使える製品の開発にも効果をあげています。
Matter は将来性が明らかな一方、セキュリティ対策はまだ不十分です。進化を続けるスマートデバイス業界で信頼を確保するには、まだなすべきことがあります。もちろん、適切な改善を進めれば、セキュリティプロトコルとしての Matter はスマートホームの安全性確保という約束を果たせるはずです。
Matter は、コネクテッドデバイス業界を統一するグローバル標準として Connectivity Standards Alliance(CSA)によって策定されました。当初の目標は、Apple、Google、Amazon などスマートデバイスのメーカーを問わず、消費者が単一の音声アシスタントを使用して、Matter 対応のあらゆるコネクテッドデバイスを管理できるようにすることでした。
CSA が Matter に込めた意図はそれだけではありません。将来的には、コネクテッドビルディングやスマートシティのスマートエネルギーシステムの制御方法まで変える可能性もあります。また、医療システムがスマートデバイス、たとえば自動 IV ポンプやスマートベッドなどをさらに確実に制御できるようになる可能性も秘めています。さらには、Zigbee プロトコルの後を追うように、スマートテクノロジーを宇宙にまで広げる可能性さえあります。
しかし、可能性があることと実現することの間には大きな隔たりがあります。Matter が、スマートデバイス間の安全な結合組織として意図された役割を果たす前に、解決すべきセキュリティ上の大きな問題がいくつかあります。
Matter は、デバイス ID の識別、強固なネットワーク認証、強力な暗号化など、確立されたセキュリティプロトコルを使用して、スマートホームデバイスのセキュリティを強化しています。しかし、現在の標準は潜在的な脆弱性のすべてに対処できていません。この欠陥が重大なリスクの原因になります。
問題点 1: 暗号化の秘密情報を保存する際の安全なハードウェア要件がない
暗号化に伴う秘密情報を保存する際の安全なハードウェアに関する要件が、現在の Matter 仕様には存在しません。この不備があるため、秘密鍵やその他の機密情報が不正アクセスに対して脆弱になります。鍵が侵害された場合、悪意のある第三者がデバイスを複製したり偽造品を製造したりして、ネットワークに不正に侵入する恐れがあります。これは、影響を受ける家庭のセキュリティを脅かすのみならず、Matter 対応の製品に対する信頼を損なう脆弱性になります。
問題点 2: 製品認証局の不完全さ
Matter のセキュリティフレームワークをさらに弱体化させているのが、製品認証局(PAA)に関する甘さです。デジサートのような第三者認証局は、その信頼性を検証するために厳格な外部監査を受けていますが、メーカーは独自の PAA を作成することもできます。その場合、メーカーはコンプライアンスを自己証明するだけで済み、外部監査は必要とされていません。この一貫性のなさによって、セキュリティ対策が不十分なものになり、Matter のエコシステムをきわめて脆弱な状態にします。
ユーザーの信頼を獲得し、継続的な投資を呼び込むには、Matter があらゆる PAA に統一的な監査基準を適用し、事業組織がサードパーティまたはメーカー運営のどれであっても、すべての事業組織が厳格なセキュリティ要件を満たしていることを保証しなければなりません。
Matter のような業界標準は、最初から完璧な形で登場するわけではありません。常に進化を続けているので、作業グループは常に改善に向けて協力し合っています。
たとえば、Matter の初期リリースでは、証明書管理の重要な要素である失効がサポートされていませんでした。失効は不可欠な機能です。危殆化した証明書を無効にし、それ以上の悪用を防ぐことができるからです。この機能がなかったため、暗号化情報の侵害により影響を受けたデバイスを速やかに無効化する手段がありませんでした。この問題を修正した Matter 1.2 が 2023 年秋にリリースされ、必要だったサポートが追加されたのです。
とはいえ、信頼性を維持するには、セキュリティ面で今後もさらに取り組みが必要です。Matter が上記のような問題点に対処できない場合、その影響は広範囲に及ぶ可能性があります。セキュリティ侵害を懸念する消費者は、新しいデバイスを導入することも、スマートホームテクノロジーに投資することもためらうでしょう。メーカーや開発者は、自社製品に Matter を統合するために必要な、継続的な投資に対して必要性を説明しにくくなってしまいます。
こうした躊躇が業界全体を停滞させ、スマートホームテクノロジーの革新や進歩を妨げるかもしれません。これは業界にとって何としても避けなければならない障害です。
認証、暗号、IoT などのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照してください。
© 2024 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム