OWASP Internet of Things Project
現在、さまざまな団体がIoTのセキュリティに関する検討を行っており、各団体でIoT関連のセキュリティガイドを公開しています。このガイドラインでは、Online Trust Alliance(OTA)やGSM Association(GSMA)が公開しているIoTのセキュリティガイドが取り上げられていることに加え、OWASPが運営しているOWASP Internet of Things Projectも大きく取り上げられています。
OWASP Internet of Things Projectでは製造業者、開発者、消費者(利用者)の3つの観点からIoTに関わるセキュリティ上の問題を検討しており、以下に示す複数のサブプロジェクトに分割されています。
- IoT Attack Surface Areas Project
- IoT Testing Guides Project
- IoT Vulnerabilities Project
「OWASPでビルトイン・セキュリティ」の第5回で解説した「Top 10 IoT Vulnerabilities」は、OWASP Internet of Things Projectによる成果です。「Top 10 IoT Vulnerabilities」では、IoTにおいて生じる可能性が高いと考えられる、脆弱性の原因となり得る10の事項について整理されています。
OWASP Internet of Things Projectでは、「Top 10 IoT Vulnerabilities」の他にも、前述したようなサブプロジェクトからさまざまな成果物が公開されています。本稿公開時点での代表的な成果物を以下に示します。
| 名称 | 内容 |
|---|---|
| IoT Attack Surface Areas | 攻撃対象となりうる領域と、脆弱性の関係 |
| Top 10 IoT Vulnerabilities | IoTにおける代表的な10の脆弱性に関する攻撃手法や攻撃シナリオ例、対策など |
| Firmware Analysis | ファームウェアの解析に関する情報 |
| IoT Testing Guides | IoTにおける代表的な10の脆弱性に対する、試験実施時のセキュリティ上の考慮事項 |
| IoT Security Guidance | IoTにおける代表的な10の脆弱性に対する、製造者、開発者、消費者(利用者)のセキュリティ上の考慮事項 |
| Principle of IoT Security | IoTセキュリティに関する16項目の原則 |
| IoT Framework Assessment | IoTシステムの構成要素に対する、セキュアなIoTフレームワークとして考慮するべき事項 |
暗号技術
IoT製品では従来の情報機器では扱う機会が少なかった機密情報が通信されます。よって、暗号技術を導入した通信経路の暗号化や、電子署名を用いた真正確認により、盗聴や情報の改ざん、成りすましといった脅威への対策が必要です。ガイドラインでは付録として、暗号の安全性の評価を支援するチェックリストが掲載されています。IoT製品に実装する上で、参考になることでしょう。
対策の実施例
ガイドラインでは、デジタルテレビ、ヘルスケア製品、スマートハウス、自動車のように製品として出来上がったものについて具体例として取り上げて、IoT製品のセキュリティ対策を示しています。IoT製品のセキュリティ設計をこれから行う人およびすでに行なっている人にとっては、ガイドラインを読むことで、開発者、提供者でなくても、利用者の立場ででも多くの気づきが得られることでしょう。
まとめ
IoTは未成熟な分野であり、今後更なる発展が期待されています。今のところIoT製品の開発に携わっていない技術者でも、直接的にも間接的にもIoT製品に携わる可能性が考えられます。IoTに関する日本語の文献はまだ少ない状況ではありますが、英語の文献には中々手が出せない技術者でも、このガイドラインを読むことでIoT製品のセキュリティ設計に関する知識を身に付けることができます。さらに、英語の参考文献についても数多く記載されているため、すでにある程度IoT製品についての知識を持ち合わせている方々にも参考になることでしょう。
本稿が、読者の皆様がIoTのセキュリティ設計に関心を持っていただく上で一助になれば幸いです。
