コンテンツにスキップ

スティーブ・マクラッケンによるイラスト

カジノサイト IOT 革命

ミーガン・ゲイツ著
2015 年 10 月 1 日

印刷問題:2015 年 10 月

気を引き締めてください。モノのインターネット (IoT) の爆発的な普及が近づいています。 6 年前、インターネットに接続されているデバイスの数は地球上の人口を上回りました。また、連邦取引委員会 (FTC) によると、専門家らは、2015 年末までに世界中で 250 億台の接続デバイスが存在し、2020 年までに 500 億台に増加すると推定しています。

「あらゆるものがセンサー化されつつあります。私たちが持ち運ぶもの、私たちが行うすべてのものは、何らかの形でネットワーク、グローバル ネットワーク、クラウドに接続されているか、または接続される予定です」と、ウイルス対策およびセキュリティ ソフトウェア会社 ESET の CEO、アンドリュー リー氏は言います。

この相互接続性の増加に伴い、世界中で収集および共有されるデータの量も増加しており、多くの人は、何が収集されているのか、誰が収集しているのか、誰が所有者なのか、どこに保存されているのかを把握していない、と彼は付け加えました。 

「立って鏡を見て、『なんてことだ、私は白髪だらけだ、その他諸々だ』と思いますが、鏡に映る自分のすべてが見えます」とリーは説明する。 「しかし、デジタルミラーを見ると、自分の手足がどこにあるのかさえわかりません。」 

そのデジタル データが悪者の手に渡ったり、データを収集するデバイスが危険にさらされたりすると、誰にとっても問題になる可能性があります。脅威には、個人情報の不正アクセスと悪用、他のシステムへの攻撃、個人の安全へのリスクが含まれていると、FTC は今年初めに発表した報告書「モノのインターネット: つながった世界におけるプライバシーとセキュリティ」にまとめました。

FTC が提起した具体的な懸念の 1 つは、大規模なサービス拒否攻撃を開始するために IoT が使用されていることです。 「サービス拒否攻撃は、攻撃者が管理するデバイスが増えるほど効果的になります。IoT デバイスが急増するにつれ、脆弱性により、攻撃者はそのような攻撃に使用する多数のデバイスを組み立てることが可能になる可能性があります。」と委員会の報告書は述べています。

建物のアクセス制御に使用されるセンサーなど、IoT に接続されているセンサーは、通常、低電力で低コストのデバイスであるため、特に脆弱です。これは、セキュリティを向上させるためにソフトウェアをインストールするためにできることはあまりないことを意味します、と Lee 氏は言います。

また、Fitbits やスマートフォンのソーシャル メディア アプリなどの個人用デバイスも同様に攻撃に対して脆弱である可能性があり、侵害されるとユーザーに関する物流情報が提供されることがよくあります。 「(GPSを)侵害でき、従業員が秘密施設で働いている場合、その施設の周囲で追跡されている人々がその施設をどのように見ているか、そしてどこに集まっているかを計画することができます」とリー氏は説明する。 「つまり、建物の中に入ることなく、建物の実際の様子をイメージすることができます。これが、モノのインターネットの予期せぬ副作用の一種です。」

機密情報が悪者の手に渡るのを防ぐため、FTC はデバイス メーカーに対し、データの最小化と呼ばれる、収集して他者と共有するデータの量を制限するよう求めました。 FTCは報告書の中で、「企業は自社のデータ慣行とビジネスニーズを検討し、消費者データの収集と保持に合理的な制限を課すポリシーと慣行を策定する必要がある」と述べている。これにより消費者データが保護されるだけでなく、ネットワークにハッキングして情報を盗もうとするデータ窃盗犯にとって企業の魅力も薄れると委員会は説明した。

Lee 氏はまた、ユーザーはセンサーや GPS トラッカーなどのデバイスがどのように機能するかを調べ、収集した情報がネットワーク全体をどのように移動するかを計画し、通常の活動がどのようなものかを分析する必要があるとも述べています。これにより、ユーザーはデバイスが侵害されているかどうかを確認し、攻撃に迅速に対応できるようになると付け加えました。

デバイスのサポート

クラウド サービス プロバイダーであるアカマイ テクノロジーズの敵対的回復力担当ディレクター、エリック コブリン氏は、デバイス メーカーが初期段階でデバイスをより安全に製造し、ライフサイクル全体にわたってサポートするよう奨励するために、さらに多くのことを行う必要があると述べています。 「私たちが長期的に到達する必要があるのは、メーカーがデバイスの耐用年数にわたってサポートを約束するということです。購入するときにそれを前払いする必要があります」とコブリン氏は言います。 

特に米国では、デバイスの老朽化に伴い、IoT におけるデバイスのサポートがますます重要になっています。世界中で、ネットワークに接続されたデバイスの 53% が老朽化している (デバイスが最新の最新バージョンではないことを意味します) か、または旧式 (ベンダー サポートが利用できなくなっていることを意味します) のいずれかです。しかし、今年初めにリリースされたディメンション データのネットワーク バロメーター レポートによると、米国では現在、デバイスの 64% が老朽化または時代遅れになっています。 

「米国の数値が高すぎるので、最初に私たちのデータに問題があるのではないかと思いました」と、IT インフラストラクチャ サービス プロバイダーである Dimension Data のコンサルティングおよびネットワーキング担当グループ プラクティス マネージャーである Andre van Schalkwyk 氏は言います。 「しかし、もう少し注意深く分析してみると、実際に痛手のように目立っているのは、特に公共インフラ、教育、政府などの公共スペース周辺でした。私たちは実際に、これらのネットワークが本当に本当に古くなっているのを目の当たりにしました。」

特に米国でこのような年齢の増加が起こっているのはなぜですか?その多くは、米国政府部門が 5 年または 7 年契約に​​結び付けられた新製品やサービスの入札を行う際のテクノロジー習慣に関連しています。契約期間中は、デバイス自体に障害がない限り、機器やデバイスは変更または交換されません、と van Schalkwyk 氏は説明します。 

「これらの契約の大部分は通常 7 年契約であり、私たちが実際に見てきたのは、過去 2 年間でそれらの契約が 7 年から 10 年に延長されているということです。つまり、2010 年にデバイスを購入しても、交換されるのは 2020 年になるということです」と彼は言います。

これは、これらのデバイスの大部分がかなり静的なままであり、その 10 年間のライフサイクル中に、ベンダーがそのデバイスをサポートしなくなる可能性が高いため、ソフトウェア パッチはリリースされないことを意味します。 

「結局のところ、これはセキュリティに影響を及ぼします」と van Schalkwyk 氏は付け加えます。なぜなら、老朽化したデバイスは現行のデバイスや、さらには時代遅れのデバイスよりも脆弱だからです。これは、セキュリティ研究者がそれらをテストし、デバイス内のバグを発見し、悪用する時間があったためです。 (ユーザーは時代遅れのデバイスをより早く放棄します。つまり、市場に出回るデバイスの数が減ります。)

さらに、一部のパッチは古いデバイスに対してまだ公開されているため、ユーザーはパッチを適用しないたびに、誤ってさらに多くの脆弱性を作成してしまう可能性があります。 「ライフサイクルの段階により、老朽化し​​たデバイスが他のデバイスよりも多くの脆弱性を抱えているという事実は、顧客がネットワーク インフラストラクチャにパッチを当てていないことを意味します」と van Schalkwyk 氏は言います。 

しかし、米国の公共部門とは対照的に、民間部門はデバイスの更新と交換においてはるかに優れた仕事をしています。 「米国、オーストラリア、ヨーロッパの一部の地域では、顧客が実際にネットワーク機器の更新サイクルを 5 年から 3 年に短縮し始めていることが少しずつ見え始めています。」と彼は説明します。

Wi-Fi の脆弱性

また、IoT のセキュリティに影響を与えるのは、デバイスが接続されている Wi-Fi ネットワークです。企業が自社施設をよりモバイル対応にする動きに伴い、Wi-Fi ネットワークはますます一般的になってきています。 

「5 年前を振り返ると、新しいネットワークを展開した場合、そのネットワークへのアクセスの 80 パーセントは有線で、20 パーセントは無線でした」と van Schalkwyk 氏は言います。 「そして実際に、その切り替えが完全に反対側に進み始めており、20 パーセントが有線、80 パーセントがワイヤレスになっています。」

これにより従業員の生活と仕事が楽になるかもしれませんが、無線アクセスには独自の脆弱性も伴います。「発見された無線アクセス ポイントの 84 パーセントは 2011 年以前のアクセス エンド ポイントでした」と van Schalkwyk 氏は説明します。 「つまり、これらは非常に古いアクセス ポイントであり、高スループットをサポートしておらず、大量のクライアントをサポートしていません。」 IoT の到来により、「ワイヤレスの重要性がますます高まると感じています」ため、ワイヤレスが「適切に展開され、基盤となるネットワークがそれに接続されているデバイスを実際にサポートできることを確認することが重要です」と彼は言います。 

この取り組みの鍵となるものの 1 つは、ネットワーク上のデバイスの識別および位置特定システムを提供し、インターネット全体でトラフィックをルーティングするインターネット プロトコル バージョン 6 (IPv6) の展開です。 Network Ba​​rometer Report によると、これは「IPv4 アドレスの枯渇という長年予想されていた問題に対処する」ために Internet Engineering Task Force によって開発され、IPv4 を置き換えるように設計されています。

Dimension Data では、社内で IPv6 を導入するユーザーが徐々に増えてきていますが、米国で IPv6 を導入しているプロジェクトはほとんどなく、IPv6 をサポートできるネットワーク機器は約 20% のみであると van Schalkwyk 氏は述べています。  

「ほとんどの場合、IPv6 対応にするために必要なのはソフトウェアのアップグレードだけです」と彼は説明します。 「クライアントが実際に過去 3 年間にパッチを適用していた場合、パッチ適用サイクルを通過するだけで実際にネットワーク内で IPv6 をサポートできるようになる可能性がかなり高くなります。」

IPv6 を導入しないユーザーは、そのプロトコルで動作するデバイスを監視および管理できないため、不必要なリスクにさらされることになります。 

「これらの制御はデバイス プロファイル、リスク許容度、デバイスの保守に必要な可視性に基づいて開発されているため、このトラフィックとそれに関連する通信プロファイルの可視性の欠如は、重大なセキュリティ リスクをもたらします」と報告書は述べています。 「古いコントロールは IPv6 に準拠していない可能性があり、データを効果的に保護するために必要な可視性とコントロールを提供できない可能性があります。」

arrow_upward