こんにちは。最近、やりたいことTop10を考えてみたはなくとです。
Webアプリに関する国際的なセキュリティ団体として有名なThe Open Web Application Security Project(OWASP)は、Webアプリの脅威動向をまとめたOWASP TOP10(外部サイト)を公開しています。
そんなOWASPですが、Webアプリだけでなく、IoTの脅威動向についてもOWASP Internet of Things Project Top 10(外部サイト)として公開していました。
ざっと内容を書いてみると、
1. Weak, Guessable, or Hardcoded Passwords
(強度の弱いパスワード、推測可能なパスワード、ハードコードされたパスワード)
2. Insecure Network Services
(安全でないネットワークサービス)
3. Insecure Ecosystem Interfaces
(安全でないエコシステムインタフェース)
ここでいう「エコシステム」は 「economy」ではなく、「ecology」の方だと思われる。
4. Lack of Secure Update Mechanism
(安全なアップデートメカニズムの欠如)
5. Use of Insecure or Outdated Components
(安全でない、もしくは古いコンポーネントの利用)
6. Insufficient Privacy Protection
(不十分なプライバシー保護)
7. Insecure Data Transfer and Storage
(安全でないデータ転送と保存)
8. Lack of Device Management
(デバイス管理の欠如)
9. Insecure Default Settings
(安全でないデフォルト設定)
10. Lack of Physical Hardening
(物理的な堅牢性の欠如)
これを見て気づいた方もいらっしゃると思うのですが、IoTだからといって特別に新しい脅威があるわけではないです。上記は情報システムにおいても通用する脅威です。
ただ、脅威の順位が異なってきます。情報システムでは、脅威の1位が「脆弱なパスワード」と言われることはないでしょう。このことから、IoT分野のセキュリティはまだまだ未熟であることが伺えます。
実際のところ、Miraiの感染拡大によって目を覚ましたIoT製品開発者が、やっとセキュリティ対策を重要視し始め、実装しようとしているぐらいではないでしょうか。
OWASPでは、何年かおきに脅威TOP10を公開しているようなので、次回の公開時にはどのように変化しているか楽しみです。
ちなみに、IoTセキュリティに対する取り組みは、日本でも始まっています。例えば、IoT機器の製造業者向けに、IoT機器に対するセキュリティ観点のチェックシートから公開されています。興味のある方は是非参照してみてください。
おしまい。