モノのインターネット (IoT) は、最初に導入されたときの単なる概念を超えて拡大しています。 IoT は現在、スマート スピーカーやサーモスタットからスマートウォッチや自動車に至るまで、ほとんどの個人の日常活動の一部となっています。 IoT デバイスとシステムは、非常に便利で機能的です。 IoT はビジネスの機能方法を変革しており、これまで以上に急速に、産業用 IoT、製造、および重要なインフラストラクチャが運用のために IoT に依存しています。ただし、IoT の複雑な性質により、IoT を実装および管理する場合、セキュリティを最優先する必要があります。徹底した調査の中で、組織は、IoT を実装する際の最大のセキュリティ上の懸念について尋ねられました。図 1 は、2021 年 10 月に公開されたIoT Signals レポートに従って、そのような懸念を示しています。
- データのプライバシーを確保する (46%)。
- ネットワーク レベルのセキュリティの確保 (40%)。
- 各 IoT デバイスのセキュリティ エンドポイント (39%)。
- 各 IoT デバイスの追跡と管理 (36%)。
- 既存のすべてのソフトウェアが更新されていることを確認します (35%)。
- デバイスのファームウェアやその他のソフトウェアの更新 (34%)。
- ハードウェア/ソフトウェアのテストとデバイス評価の実行 (34%)。
- 暗号化プロトコルの更新 (34%)。
- IoT環境に携わる従業員向けの包括的なトレーニングプログラムを実施 (33%)。
- デバイスの安全なプロビジョニング (33%)。
- デバイス レベルから ID レベルの制御への移行 (29%)。
- デフォルトのパスワードと資格情報の変更 (29%)。
図 1: IoT セキュリティの種類.
IoTにおけるセキュリティの重要性
2016 年にさかのぼると、大規模な分散型サービス拒否 (DDoS) 攻撃が主要なインターネット サービス プロバイダーで発生し、複数の Web サイトとその顧客に影響を与えました。なんで?何千人ものユーザーが、接続されたデバイスのデフォルトのパスワードを変更できなかったため、攻撃者がボットネット攻撃を仕掛ける機会が生じました。結果?有害。近年では、あらゆる攻撃が組織やユーザーに与える影響が認識されているため、IoT のセキュリティがついに注目を集め始めています。 Microsoft のゼロ トラスト ペーパーで概説されているように、IoT 侵害の多くの結果の一部を以下に示します。
- 生産、品質、およびコアビジネスの潜在的な変更による運用と収益への影響。
- 製品およびサービスの経験と評判の変化による顧客への影響。
- 政府および業界全体の規制への違反による規制の影響。
設計ライフサイクルとリスク デリジェンス
Microsoft は、IoT セキュリティの問題に対処する多数のツール、サービス、および機能を提供すると同時に、IoT セキュリティの主要な問題を軽減するための効果的なソリューションも提供します。
IoT ソリューションを設計するときは、設計内の潜在的な脅威を理解することが重要です。これにより、設計ライフサイクルの各ステップでセキュリティとリスク デリジェンスを統合し、ソリューションのセキュリティ プロトコルを強化および維持する機会が得られます。最初のステップは、IoT 環境を保護する方法を理解することです。 2 番目のステップは、設計内の潜在的なセキュリティの問題を特定して軽減することです。 3 番目のステップは、設計の情報セキュリティ管理の成熟度を追跡および管理できるようにするセキュリティ成熟度モデルを維持することです。最後に、 4 番目のステップは、Microsoft のゼロ トラストの原則に従って、セキュリティに関する最大の懸念を軽減することです。
高度にセキュアな IoT 環境の主な特性 (デバイス セキュリティ)
安全な IoT ソリューションを構築するのは簡単なことではありません。ただし、最も研究され推奨されている原則とプラクティスに従うことで、設計内で最適なセキュリティを実現するために必要なツールが提供されます。高度に保護され接続されたすべてのデバイスで使用される上位 7 つのプロパティについては、図 2 を参照してください。ハードウェア ベースの信頼のルート、信頼できる小規模なコンピューティング ベース、多層防御、コンパートメント化、証明書ベースの認証、更新可能なセキュリティ、障害レポートです。
図 2: 安全性の高いデバイスの上位のプロパティ。
7 つの特性のそれぞれの詳細については、高度に安全なデバイスの 7 つの特性 をお読みください。
脅威モデリング
IoT ソリューションを設計するときは、そのソリューションに付随する潜在的な脅威を理解し、そのような脅威からソリューションを防御するための最適なプロトコルを特定する必要があります。セキュリティを最優先事項としてソリューションの設計を開始すると、このプロセスに役立ちます。これが、Microsoft が脅威モデリング ツールを提供する理由です。これは、Microsoft セキュリティ開発ライフサイクルの重要な側面です。このツールには、セキュリティ ライフサイクルの 5 つの主要なステップ (定義、図、識別、緩和、検証) が含まれます。さらに、このツールを使用すると、ユーザーはシステムのセキュリティ設計に関する情報を共有したり、セキュリティ問題の設計を分析したり、特定された問題を緩和するための提案を提供したりできます。
Threat Modeling Tool の詳細については、 Microsoft Security Development Lifecycle Threat Modelingを参照してください。
Microsoft Security Development Lifecycle の詳細については、Microsoft Security Development Lifecycleを参照してください。
セキュリティ成熟度モデル (SMM)
SMM とは何ですか? また、どのように役立ちますか?セキュリティの成熟度は、現在のセキュリティ レベル、その必要性、利点、およびサポートのコストを理解する尺度です。必要性、利点、およびコストを理解することで、組織のニーズを満たすセキュリティ実装の有効性にある程度の自信が得られます。
- 既存の成熟度モデル、フレームワーク、および概念に基づいています。
- プロセス、テクノロジー、運用に対応する総合的なソリューションを提供します。
- 特定の IoT シナリオに関する実用的なガイダンスを提供します。
- 成熟度をコントロール フレームワーク、ベスト プラクティス、およびその他のガイダンスと結び付けます。
- IoT プロバイダーがセキュリティ メカニズムに適切に投資して、要件を満たすことができるようにします。
IoT ゼロ トラストへの投資に優先順位を付けるために、Industry IoT Consortium (IIC) の IoT セキュリティ成熟度モデルを使用して、ビジネスのセキュリティ リスクを評価できます。
エンドツーエンド セキュリティのためのゼロ トラストの原則とベスト プラクティス
IoT ソリューションを設計するときは、そのソリューションに対する潜在的な脅威を特定して理解することが非常に重要です。このプロセスを支援するために、Microsoft は 5 つのゼロ トラスト原則を確立しました。これは、多層防御手順を促進し、IoT ソリューション内で最適なセキュリティを実現するための明確なガイドラインを提供します。
当社の顧客とパートナーは、データのプライバシーを確保し、デフォルトのパスワードを変更するための確実なプロセスを維持するなど、IoT のセキュリティ関連の懸念を抱いています。これらの懸念に対処するために、当社は製品とサービスにゼロ トラストの原則を適用しています。次のセクションは、IoT ソリューションに高度にセキュリティで保護されたプロトコルを提供する多くの Microsoft 製品とサービスを拡張する、IoT セキュリティのための適切に設計されたフレームワークにリンクされています。
強いアイデンティティ
ゼロ トラスト原則の第 1 の柱は、IoT デバイスの強力なアイデンティティを持つことです。 IoT エコシステム内で強力なアイデンティティを維持することは、さまざまなプロセスとプロトコルを使用して実現できます。たとえば、ハードウェア ルート オブ トラスト、強力な認証および承認プロトコル、更新可能なクレデンシャルを持つことは、ID に関する最大の懸念を緩和するための優れたステップです。
最小権限のアクセス
ゼロ トラストでは、統合されたデバイスとサービスによって提供される強力な ID に加えて、 最小特権のアクセス制御が必要であり、侵害された可能性があるか、承認されていないワークロードを実行している可能性のある認証済み ID からの潜在的な影響範囲を制限します。アクセス制御ポリシーとプロトコルから強力な認証メカニズムまで、Microsoft は顧客に Microsoft Azure Sphere などの強力なサービスのリストを提供しています。Microsoft Azure Sphereは、マイクロコントローラー ユニット (MCU) を搭載したデバイスをシリコンからクラウドに安全に接続し、実装を最小限に抑えます。デフォルトで特権アクセス。
さらに、Microsoft は、IoT 環境に関心がある、または IoT 環境で作業しているすべての人に、さまざまなトレーニング プログラムとリソースを提供しています。 Cybersecurity 101 トレーニングから Cybersecurity Awareness Month まで、従業員は Microsoft の IoT および運用テクノロジ (OT) セキュリティの実装から利益を得ることができます。マイクロソフト セキュリティ トレーニングとプログラムの完全なリストについては、 #BeCyberSmart をお読みください。一緒に学ぶことで、より安全になります。
デバイスの正常性
デバイスの正常性を維持するということは、潜在的な脅威、脆弱性、脆弱なパスワード、異常な動作などの効果的な情報を提供するスキャンを定期的に実行することを意味します。信頼できるデバイスは、その正常性を継続的に検証する必要があり、そのようなスキャンにより、そのような検証が可能になり、信頼できる検証済みのデバイスのみがより大きな IoT エコシステムにアクセスできるようになります。 Microsoft Defender for IoTやMicrosoft Sentinelなどの Microsoft ツールは、組織が IoT デバイスを追跡および管理し、必要なテストと評価を実行してデバイスの状態を把握するのに役立ちます。
継続的な更新
IoT デバイスの正常性を維持するには、 継続的なソフトウェアとファームウェアの更新が重要です。一元化された構成とコンプライアンス管理を通じて、健全な目標状態を特定し、常に満たす必要があります。 Azure Device Update for IoT Hubは、無線 (OTA) 更新を IoT デバイスにデプロイするための優れたサービスです。
セキュリティの監視と対応
信頼できるデバイスの正常性を継続的に監視し、 セキュリティの監視と対応を行うことで、脅威を迅速に特定し、最適な軽減プロトコルを提供することで、IoT デバイスのセキュリティをさらに強化します。 Microsoft は多層防御アプローチに従い、主要なゼロ トラスト機能に従う IoT サービスを提供します。これには、パブリック エンドポイントへのアクセスの監視と制御、セキュリティの監視と検出のためのセキュリティ エージェントの実行、すべての IoT デバイスへの応答システムの組み込みが含まれます。 Microsoft Defender for IoT のようなツールとサービスは、IoT ソリューションを強力なセキュリティに一歩近づけます。
もっと詳しく知る
IoT セキュリティの強化の詳細については、 Azure IoTセキュリティ にアクセスしてください。
包括的なセキュリティに対するマイクロソフトのゼロ トラストアプローチをご覧ください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments