SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

OWASPでビルトイン・セキュリティ

IoT時代において重要性が増すデバイスのセキュリティ

OWASPでビルトイン・セキュリティ 第5回

  • X ポスト
  • このエントリーをはてなブックマークに追加

リスクを理解したら

 OWASP IoT TOP 10を読めば、主要なリスクを把握できるのは前述のとおりです。その上で具体的にどういった点に気を付ければ良いかを理解するには、OWASP IoT Security Guidanceが役に立ちます。OWASP IoT TOP 10と対応しており、それぞれの脆弱性に対しどのような点に気を付けるべきか、各項目に対して考慮すべき点や推奨される対策がまとめられています。さらにデバイス提供者、開発者、コンシューマという立場に分けて考慮点が記載されており、注意すべき点が明確になっています。

 現時点ではドラフト版のドキュメントではありますが、今後整備が進むと思いますので、IoTに携わる方はぜひ定期的にご覧いただければと思います。

さらに一歩進んだ実装

 さらに一歩進んだ実装をするためには、OWASP Internet of Things Project が取りまとめているOWASP IoT Attack Surface Areas Projectが、役立つでしょう。こちらもまだドラフト版のドキュメントですが、デバイスやインターフェースの実装にあたって注意すべき観点が列挙されています。個別に具体的な対策までは網羅されていないものの、これらを参考にチェックを行うことも対策の一つになるでしょう。

  • エコシステムのアクセスコントロール
  • メモリ上のデータ管理
  • デバイスのウェブインターフェース
  • デバイスのファームウェア
  • デバイスのネットワーク
  • 管理者向けインターフェース
  • ローカルのデータストレージ
  • クラウドのウェブインターフェース
  • サードパーティのAPI
  • アップデートの仕組み
  • モバイルアプリケーション
  • ベンダーのAPI
  • エコシステムとのやりとり
  • ネットワークトラフィック

 なお、ここでエコシステムとは、いわゆるマッシュアップや連携に使うサードパーティのAPIや、ユーザインターフェースを提供するプラットフォームなど、システム本体ではなく環境のことを指すと考えられます。

その他、関連ドキュメントなど

 OWASP IoT Attack Surface Areas Projectが提供しているドキュメントとして、以下のようなドキュメントもあります。そのすべてを本稿で解説するには余白が足りませんが、興味のある分野から目を通してみてはいかがでしょうか。

まとめ

 IoTは今後も発展することが期待されますが、本稿でご紹介したとおり、デバイスの性能や環境といった要素による脆弱性が懸念されます。IoTに関してOWASPコミュニティから公開されているドキュメントは日本語化されていないというハードルはありますが、IoTにおけるセキュリティを考える上では非常に有用なドキュメントです。正確な文脈の意味が読み取れなくても、技術英語ですから何かしら得られるものがあるはずですので、ぜひ一度読んでみてください。

 IoTのさらなる発展を願うと同時に、OWASP IoT TOP 10を始めとしたドキュメントが多くの方に読まれ、"守る技術"として高いセキュリティの実現に役立つことを願っています。

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
OWASPでビルトイン・セキュリティ連載記事一覧

もっと読む

この記事の著者

坪 和樹(OWASP Japan)(ツボ カズキ)

セキュリティ競技イベント MINI Hardening 主催。OWASP Japan Promotion Team にも所属しており、専門外ながらもセキュリティに携わる人のすそ野を広げるべく活動している。前職は新聞社だが現在はクラウド業界で技術サポート業務に携わっており、幅広い技術領域のサポートを行...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/9232 2016/02/12 14:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング