リスクを理解したら
OWASP IoT TOP 10を読めば、主要なリスクを把握できるのは前述のとおりです。その上で具体的にどういった点に気を付ければ良いかを理解するには、OWASP IoT Security Guidanceが役に立ちます。OWASP IoT TOP 10と対応しており、それぞれの脆弱性に対しどのような点に気を付けるべきか、各項目に対して考慮すべき点や推奨される対策がまとめられています。さらにデバイス提供者、開発者、コンシューマという立場に分けて考慮点が記載されており、注意すべき点が明確になっています。
現時点ではドラフト版のドキュメントではありますが、今後整備が進むと思いますので、IoTに携わる方はぜひ定期的にご覧いただければと思います。
さらに一歩進んだ実装
さらに一歩進んだ実装をするためには、OWASP Internet of Things Project が取りまとめているOWASP IoT Attack Surface Areas Projectが、役立つでしょう。こちらもまだドラフト版のドキュメントですが、デバイスやインターフェースの実装にあたって注意すべき観点が列挙されています。個別に具体的な対策までは網羅されていないものの、これらを参考にチェックを行うことも対策の一つになるでしょう。
- エコシステムのアクセスコントロール
- メモリ上のデータ管理
- デバイスのウェブインターフェース
- デバイスのファームウェア
- デバイスのネットワーク
- 管理者向けインターフェース
- ローカルのデータストレージ
- クラウドのウェブインターフェース
- サードパーティのAPI
- アップデートの仕組み
- モバイルアプリケーション
- ベンダーのAPI
- エコシステムとのやりとり
- ネットワークトラフィック
なお、ここでエコシステムとは、いわゆるマッシュアップや連携に使うサードパーティのAPIや、ユーザインターフェースを提供するプラットフォームなど、システム本体ではなく環境のことを指すと考えられます。
その他、関連ドキュメントなど
OWASP IoT Attack Surface Areas Projectが提供しているドキュメントとして、以下のようなドキュメントもあります。そのすべてを本稿で解説するには余白が足りませんが、興味のある分野から目を通してみてはいかがでしょうか。
まとめ
IoTは今後も発展することが期待されますが、本稿でご紹介したとおり、デバイスの性能や環境といった要素による脆弱性が懸念されます。IoTに関してOWASPコミュニティから公開されているドキュメントは日本語化されていないというハードルはありますが、IoTにおけるセキュリティを考える上では非常に有用なドキュメントです。正確な文脈の意味が読み取れなくても、技術英語ですから何かしら得られるものがあるはずですので、ぜひ一度読んでみてください。
IoTのさらなる発展を願うと同時に、OWASP IoT TOP 10を始めとしたドキュメントが多くの方に読まれ、"守る技術"として高いセキュリティの実現に役立つことを願っています。