IoTデバイスを取り巻くセキュリティ上の課題
IoTを利用するエンドポイント(デバイスともいいます)は、平成27年時点で154億個存在すると報告されています。平成32年までに304億個まで増大するという調査もあり、爆発的に普及することが予想されています。
政府は「世界最先端IT国家創造宣言・官民データ活用推進基本計画」を公表しました。これには、横断的にIoTの面的展開を実現すること、官民が保有するさまざまなデータを活用しつつ、社会課題の解決につなげていくことが明記されています。IoTデバイスは社会基盤において、ますます活用されることが期待されているようです。
一方で、あまりにも多くのIoTデバイスが設置されるため、「セキュアでない、もしくは物理的に保護されていない」ものも紛れ込む可能性があります。
これは、さまざまな製造事業者がIoTデバイスの開発に参入し、それぞれがビジネス競争に打ち勝つため、とにかく早く世に自社製品のIoTデバイスを提供しようと、奮闘している状況に起因すると考えられます。このような競争環境にさらされている製造事業者にとっては、「セキュリティ」は面倒なものでしょう。セキュリティは新たな領域であり、製品開発の方法論において、セキュリティの計画について不十分であっても不思議ではありません。
セキュアなIoT製品開発の理解に向けて
OWASPではWebアプリケーションにおけるセキュリティに加え、IoTにおけるセキュリティに関する議論やドキュメントの作成を行っています。本連載では、これまでに『IoT時代において重要性が増すデバイスのセキュリティ』『IoTのセキュリティ設計って、どこから学んだらいいの?』において、OWASP IoT Top10を中心としたOWASP Internet of Things Projectを紹介しています。
本記事では、OWASP Japanが連携会員となっているCloud Security Alliance(クラウドセキュリティアライアンス)の日本のチャプターが公開している『「つながる世界」を破綻させないためのセキュアなIoT製品開発 13のステップ』(以下、「セキュアなIoT製品開発13ステップ」)についてOWASPのドキュメントを交えながら紹介します。本記事を読むことで、「セキュアなIoT製品開発13ステップ」の概要とその意義について理解を深めていただけたらと思います。
セキュアなIoT製品開発のための13ステップ
「セキュアなIoT製品開発13ステップ」では、セキュアなIoT開発のガイダンスとして、表1のステップで開発を進めることで、セキュリティ上のいくつかの問題を軽減できるとしています。
項番 | ステップ | 実施すること |
---|---|---|
1 | セキュアな開発手法 |
・脅威モデリングの実施(※) ・セキュリティ要件の検討 ・セキュリティプロセスの適用(※) ・(物理的な)安全性への影響評価の実施 |
2 | セキュアな開発およびインテグレーション環境 |
・プログラミング言語の評価 ・統合開発環境の利用 ・継続的インテグレーションの実施(※) ・テストの実施 ・コードの品質担保 ・管理プロセスの検討 |
3 | ID管理フレームワークと基盤セキュリティの要点 |
・統合フレームワークの検討 ・プラットフォームのセキュリティ機能の評価 |
4 | プライバシー保護の確立 |
・収集するデータの検討 ・ユースケースの分析 ・オプトイン要件の検討 ・技術的なプライバシー保護 |
5 | ハードウェアセキュリティのエンジニアリング |
・マイクロコントローラの決定 ・TPMの導入 ・メモリー保護ユニットの使用 ・物理的複製防止機能の組み込み ・セキュアコプロセッサの使用 ・暗号モジュールの使用 ・デバイスの物理的保護 ・サプライチェーンの防御 ・セルフテストの実施 ・セキュアな物理インターフェースの実現 |
6 | データ保護 | ・IoT通信プロトコルの選択 |
7 | 関連アプリとサービスの安全確保 | ・IoTデバイスと接続するアプリとサービスに対するセキュリティ対策の実施 |
8 | インターフェースとAPIの保護 |
・RESTセキュリティの考慮(※) ・Certificate Pinningサポートの実装(※) |
9 | セキュアな更新機能の提供 |
・ファームウェアの更新に係るセキュリティ対策の実施 ・ソフトウェアの更新に係るセキュリティ対策の実施 |
10 | セキュアな認証・認可の実装 |
・証明書の使用 ・バイオメトリクスの実装 ・証明書レス認証暗号の利用 ・OAuth2.0の実装 ・UMAの利用 |
11 | セキュアな鍵管理の確立 |
・鍵管理方法の検討 ・セキュアなブートストラップの設計 |
12 | ロギング機能の提供 | ・取得するログの検討(※) |
13 | セキュリティのレビュー | ・セキュリティレビューの実施(※) |
(※)
本記事でOWASPドキュメントを交えて紹介する内容