2021年2月26日
IoTデバイスのセキュリティチェックリストColin Dugganは、BG Networksの創設者兼CEOであり、組み込みデバイスに十分なレベルのサイバーセキュリティを確保するために取り組んでいます。 彼は電気技師としての経歴があり、アプリケーション開発、システムエンジニアリング、および組み込みシステム開発で大規模なチームを率いる豊富な経験があります。 Colinは、彼の豊富な経験を利用して、プロジェクトのIoTデバイスセキュリティを評価するときにIoTプロジェクトリーダーが何を探すべきかについてのチェックリストガイドを提供します。 by Thomas Ryd |
Colin Dugganは、IoTデバイスのセキュリティがIoTプロジェクトに必須であるとDevice Chronicleに語っています。 IoTリーダーは何を計画する必要がありますか?
IoTデバイスのセキュリティにおける脅威とリスクを評価する
コリンは、理想的には脅威/リスク分析を実行する必要があると考えています。 このようなプロセスでは、システムの評価から始めます。 システムが大規模な場合、たとえば自動車の場合、特定のレベルの保護を与える必要がある資産を特定する必要があります。 リモート温度センサーなどの小規模なシステムの場合、保護が必要なものを特定するのははるかに簡単です。 IoTプロジェクトのリーダーは、コリンが推奨するように、次の手順に従う必要があります。
- リスクを評価する
- どのリスクに対処する必要があるかを判断する
- リスクに基づいてセキュリティ目標を定義する
- これらのセキュリティ目標に基づいて、IoTデバイスのセキュリティ要件を定義します
従うべきISOとNISTによって提供されるベストプラクティステンプレートがあります。
TPMを見てください
IoTプロジェクトリーダーは、セキュリティ機能をIoTハードウェアに統合することも検討する必要があります。 プロセッサのセキュリティ機能やトラステッドプラットフォームモジュール(TPM)を検討する必要があります。 スタンドアロンデバイスとしてのTPMは、暗号化機能と安全なキーストレージを提供し、メモリを備えた小さなマイクロコントローラーコアを含む場合があります。 これらは通常、eパスポート、クレジットカード、交通機関カードなど、最高レベルのセキュリティを必要とするアプリケーションやユースケースに使用されます。 これらは、直接的な物理的およびサイドチャネル攻撃(EMI、秘密を抽出するための電力分析など)に対して安全です。
その他のハードウェアセキュリティ
ほとんどのマイクロコントローラとプロセッサは、幅広いセキュリティ機能も提供します。 Colinは、理想的には、使用するプロセッサの決定では、一部のプロセッサが他のプロセッサよりも多くを提供するため、これらのセキュリティ機能を考慮すると述べています。 安全なハードウェアで探すべき主な機能は次のとおりです。
- セキュアブート
- 対称および非対称暗号、ハッシュを含む暗号アクセラレータ
- 秘密鍵の管理や保存などのセキュリティ操作のための専用プロセッサコアとメモリ
- JTAG、UART、SPIなどのI / Oインターフェイスをロックする機能
- 物理的な改ざんを検出できる機能
- 信頼できる実行環境のためのARMのTrustZoneなどのハードウェアサポート
- ソフトウェアツールとドライバーサポートは、これらの機能を利用します。
IoTデバイスのセキュリティ
次に、IoTデバイスに含めることを検討するセキュリティ機能があります。 コリンは、NISTが良い基準点を提供することを示唆しています。 いくつかの推奨事項の中で、NISTは、IoTデバイスに固有の識別および構成機能を持たせることを推奨しています。 hereからNISTの推奨事項の完全なリストを見つけることができます。
U-boot、Linuxカーネル、アプリケーションソフトウェアが保存されるrootfsなどのソフトウェアのさまざまな側面を介した安全なブートと信頼のルートの拡張により、安全なデバイス構成が可能になります。 プロセッサのセキュアブート機能を活用するセキュアバイナリの開発を容易にすることで、セキュアデバイス構成の実装に役立つsecure boot automation toolsを検討してください。 このタイプのツールは、セキュアブートと信頼ルートの拡張に必要なキーと署名も生成します。
個人を特定できるデータを保護する
IoTデバイスはデータ保護もサポートする必要があります。 これは、GDPR規制によってヨーロッパで保護されている個人識別データ(PII)などの機密データを暗号化し、このデータ(パスワードなど)へのアクセスを制御することに関するものです。 インターフェイスへの論理アクセスが必要です。これは、アクセス管理とパスワードに関するものです。 つまり、許可された人と他のデバイスのみがデバイスにアクセスできます。 米国には、パスワード法のあるカリフォルニア州とオレゴン州の2つの州があります。 カリフォルニア州でIoTデバイスを販売する場合は注意が必要です。 会社がどこにあるかに関係なく、IoTデバイスにユーザーに固有の一意のパスワードまたは認証手段がない場合、その会社は責任を負います。
OTAソフトウェアアップデートについて
ソフトウェアの更新は、IoTデバイスを安全に保つために不可欠です。 IoTデバイス上のソフトウェアをリモートで更新できるようにするには、Mender.ioなどのソフトウェアが必要です。 ソフトウェアの更新が非常に重要である理由は、100%安全なデバイスがないためです。 これは、SkyGoによるメルセデスベンツ車のセキュリティ調査に見られます。 メルセデスは自動車を確保するために多大な努力を払ってきましたが、SkyGoは依然として多くの脆弱性を見つけることができました。 メルセデスにはソフトウェアアップデート機能があり、数百万台の車の脆弱性を数日で解決することができました。
更新は安全に行う必要があり、Mender.ioは、ソフトウェアがIoTデバイスにダウンロードされて有効になる前に、デバイスで実行されているMenderクライアントがソフトウェア成果物(ソフトウェア更新)を認証する場合にこれを行います。 また、更新は承認されたIoTデバイスにのみ提供する必要があります。 Triangle of Trust™のデバイスクロニクルの記事を参照してください。 Mender.ioは、PKI暗号化とトークンを使用したクライアント認証の複数のフローをサポートします。 更新を暗号化することも重要です。 ソフトウェアアップデートが送信されるチャネルは安全ではない可能性があり、IoTソフトウェアの形で機密性の高い知的財産が盗まれる可能性があります。 または、ソフトウェアをプレーンテキストでダウンロードした場合、攻撃者がIoTデバイスをリバースエンジニアリングしてサイバーセキュリティの脆弱性を見つけるために使用される可能性があります。 これの複数のインスタンスは、このDEFCON 27プレゼンテーションで見られます。
サイバーセキュリティ状態の認識
Colinは、デバイスが危険にさらされているかどうかを検出する機能の重要性についても説明しています。 ある場合は、これをタイムリーに報告し、適切な措置を講じて対応し、回復できるようにします。
NISTのサイバーセキュリティフレームワークは、実行する重要な手順を示しています。
侵入検知
デバイスの実行中の攻撃の検出は、侵入検知システム(IDS)によって行われます。 IoTデバイスへのリモート攻撃の大部分はデバイスの実行中に行われるため、堅牢なIDSをIoTデバイスに実装することが重要です。 これらの攻撃は通常、バッファオーバーフローなどのソフトウェアのバグを利用しており、多くの場合、ネットワークパケットの不適切な解析に関係しています。 TCP IPスタックは、Embedded Computingのこの記事に記載されているように、セキュリティ研究者のターゲットになることで有名です。
安全な製造
安全な製造は、IoTセキュリティの重要な側面です。 Colinは、セキュリティキーの管理とソフトウェアの署名がここで重要な考慮事項であるとアドバイスしています。彼は、セキュアブート、信頼ルートの拡張、およびセキュアオーバーエアアップデートをサポートするIoTデバイスには、複数のセキュアキーまたは証明書があると指摘しています。これらのキーまたは証明書の一部は、デバイス上で秘密にして保護するか、将来使用できるように製造環境や会社に安全に保管する必要があります(キーの失効など)。さらに、Colinは、製造環境でハードウェアセキュリティモジュール(HSM)またはセキュアPCを使用して、各デバイスにキーをロードし、それらのキーを保護することをお勧めします。攻撃者が特定のデバイスに侵入する価値を下げるため、各IoTデバイスに一意のキーを提供する必要があります。攻撃者が単一のIoTデバイスからキーを抽出して、他のデバイスを破壊できる場合、それは価値の高いターゲットです。 IoTデバイスへの侵入に多大な努力を払う動機があり、サイドチャネル攻撃を使用する可能性があります。これは、マルウェアがZigbee wireless networksワイヤレスネットワーク上を移動してスマート電球を攻撃する可能性があることから、早くも2016年に見られました。
要約すると、IoTプロジェクトのサイバーセキュリティを真剣に受け止め、IoT製品の設計にセキュリティ保護を計画して、製品のライフサイクル全体にわたって脆弱性を予測し、悪意のある攻撃者からそれらを封鎖できるようにします。
IoTデバイスはデータ保護もサポートする必要があります。 これは、GDPR規制によってヨーロッパで保護されている個人識別データ(PII)などの機密データを暗号化し、このデータ(パスワードなど)へのアクセスを制御することに関するものです。 インターフェイスへの論理アクセスが必要です。これは、アクセス管理とパスワードに関するものです。 つまり、許可された人と他のデバイスのみがデバイスにアクセスできます。 米国には、パスワード法のあるカリフォルニア州とオレゴン州の2つの州があります。 カリフォルニア州でIoTデバイスを販売する場合は注意が必要です。 会社がどこにあるかに関係なく、IoTデバイスにユーザーに固有の一意のパスワードまたは認証手段がない場合、その会社は責任を負います。
OTAソフトウェアアップデートについて
ソフトウェアの更新は、IoTデバイスを安全に保つために不可欠です。 IoTデバイス上のソフトウェアをリモートで更新できるようにするには、Mender.ioなどのソフトウェアが必要です。 ソフトウェアの更新が非常に重要である理由は、100%安全なデバイスがないためです。 これは、SkyGoによるメルセデスベンツ車のセキュリティ調査に見られます。 メルセデスは自動車を確保するために多大な努力を払ってきましたが、SkyGoは依然として多くの脆弱性を見つけることができました。 メルセデスにはソフトウェアアップデート機能があり、数百万台の車の脆弱性を数日で解決することができました。
更新は安全に行う必要があり、Mender.ioは、ソフトウェアがIoTデバイスにダウンロードされて有効になる前に、デバイスで実行されているMenderクライアントがソフトウェア成果物(ソフトウェア更新)を認証する場合にこれを行います。 また、更新は承認されたIoTデバイスにのみ提供する必要があります。 Triangle of Trust™のデバイスクロニクルの記事を参照してください。 Mender.ioは、PKI暗号化とトークンを使用したクライアント認証の複数のフローをサポートします。 更新を暗号化することも重要です。 ソフトウェアアップデートが送信されるチャネルは安全ではない可能性があり、IoTソフトウェアの形で機密性の高い知的財産が盗まれる可能性があります。 または、ソフトウェアをプレーンテキストでダウンロードした場合、攻撃者がIoTデバイスをリバースエンジニアリングしてサイバーセキュリティの脆弱性を見つけるために使用される可能性があります。 これの複数のインスタンスは、このDEFCON 27プレゼンテーションで見られます。
サイバーセキュリティ状態の認識
Colinは、デバイスが危険にさらされているかどうかを検出する機能の重要性についても説明しています。 ある場合は、これをタイムリーに報告し、適切な措置を講じて対応し、回復できるようにします。
NISTのサイバーセキュリティフレームワークは、実行する重要な手順を示しています。
侵入検知
デバイスの実行中の攻撃の検出は、侵入検知システム(IDS)によって行われます。 IoTデバイスへのリモート攻撃の大部分はデバイスの実行中に行われるため、堅牢なIDSをIoTデバイスに実装することが重要です。 これらの攻撃は通常、バッファオーバーフローなどのソフトウェアのバグを利用しており、多くの場合、ネットワークパケットの不適切な解析に関係しています。 TCP IPスタックは、Embedded Computingのこの記事に記載されているように、セキュリティ研究者のターゲットになることで有名です。
安全な製造
安全な製造は、IoTセキュリティの重要な側面です。 Colinは、セキュリティキーの管理とソフトウェアの署名がここで重要な考慮事項であるとアドバイスしています。彼は、セキュアブート、信頼ルートの拡張、およびセキュアオーバーエアアップデートをサポートするIoTデバイスには、複数のセキュアキーまたは証明書があると指摘しています。これらのキーまたは証明書の一部は、デバイス上で秘密にして保護するか、将来使用できるように製造環境や会社に安全に保管する必要があります(キーの失効など)。さらに、Colinは、製造環境でハードウェアセキュリティモジュール(HSM)またはセキュアPCを使用して、各デバイスにキーをロードし、それらのキーを保護することをお勧めします。攻撃者が特定のデバイスに侵入する価値を下げるため、各IoTデバイスに一意のキーを提供する必要があります。攻撃者が単一のIoTデバイスからキーを抽出して、他のデバイスを破壊できる場合、それは価値の高いターゲットです。 IoTデバイスへの侵入に多大な努力を払う動機があり、サイドチャネル攻撃を使用する可能性があります。これは、マルウェアがZigbee wireless networksワイヤレスネットワーク上を移動してスマート電球を攻撃する可能性があることから、早くも2016年に見られました。
要約すると、IoTプロジェクトのサイバーセキュリティを真剣に受け止め、IoT製品の設計にセキュリティ保護を計画して、製品のライフサイクル全体にわたって脆弱性を予測し、悪意のある攻撃者からそれらを封鎖できるようにします。
Are you ready to talk to us? Click お問い合わせ
Source :
Source :