過去 5 年間、専門家たちは、企業とそのエッジを保護できるゼロトラスト ネットワーク、可観測性、その他の IT の利点を称賛してきました。
参照:熱意を抑えないで: エッジコンピューティングのトレンドと課題(TechRepublic)
IoT(モノのインターネット)技術の導入が進むにつれ、デバイスレベルでのセキュリティ強化は依然として大きな課題となっています。ここでは、IoTデバイスのセキュリティに関する6つの課題と、それらに対処するための方法をご紹介します。
IoTデバイスのセキュリティ問題トップ6とその解決策
1. IoTデバイスメーカーはセキュリティを重視していない
IoTはセキュリティ攻撃に対して脆弱です。多くのIoTデバイスメーカーがデバイスに適切なセキュリティ対策を講じていないためです。こうしたデバイスの多くは、セキュリティとガバナンスを軽視してでも、製品を迅速に市場に投入することに注力するスタートアップ企業によって開発されています。
この市場への急速な参入は、IoTデバイス市場がこれまで主にコモディティ主導型市場であったという事実と一致しています。このような環境下では、企業の購買部門やIT部門は、セキュリティを後回しにして、コストの低いソリューションを選択しがちです。
解決策:IoTベンダーに発行するRFPには、セキュリティに関する具体的なセクションを含める必要があります。これらのデバイスにはどのような種類のセキュリティが組み込まれていますか?セキュリティはどのくらいの頻度で更新されますか?セキュリティの設定は簡単ですか?デバイスは産業用セキュリティのテストや認証を受けていますか?
2. IT部門がデバイスのセキュリティチェックを忘れている
IT部門は、プロジェクトを迅速に立ち上げ、実行に移すというプレッシャーに常に直面しています。IoTの世界では、プロジェクトは建物に温度センサーを設置するといった単純なものから、製造ライン全体にIoTを導入するような複雑なものまで多岐にわたります。
導入が進むにつれて、IoTデバイスの機能と統合性はテストされますが、各デバイスのセキュリティデフォルト設定は見落とされがちです。IoTデバイスメーカーは一般的にデバイスのセキュリティレベルを非常に低く設定しているため、IT部門がデバイスのセキュリティを確認・調整しないと、サイバー犯罪者にとって侵入しやすい標的となってしまう可能性があります。
解決策: IT 部門は、IoT デバイスを本番環境に導入する前に、導入される IoT デバイスのセキュリティ設定を確認し、デバイスのセキュリティ設定を会社の標準に合わせて調整するなど、正式な IoT インストール手順を開発する必要があります。
3. IoTの可視性の欠如
Armis によると、北米の企業の 67% が IoT セキュリティ インシデントを経験していますが、IoT デバイスを適切に可視化できていると答えた企業のセキュリティ マネージャーはわずか 16% です。
マルウェアやランサムウェアの攻撃が増加する中、この可視性の欠如は、IT 部門の知らないうちにエンド ユーザーやその他のユーザーによって IoT デバイスがインストールされたこと、またはインストールされたデバイスがさまざまな場所に移動されたことが原因で発生する可能性があります。
解決策:資産追跡・管理ソフトウェアをネットワークにインストールする必要があります。このソフトウェアはすべてのIoTエンドポイントを追跡します。また、資産追跡ソフトウェアは、ネットワーク上でエンドポイントデバイスが追加または削除されたことを検出し、IT部門に通知することもできます。
4. デバイスのソフトウェアアップデートがタイムリーに実行されない
組織が使用するほぼすべての種類のIoTデバイスでは、セキュリティアップデートが継続的に実施されるため、多種多様なスマートフォン、カメラ、センサー、ルーターのセキュリティを常に把握するのは大変な作業です。アップデートのほとんどは、IoTベンダーが発見したセキュリティ脆弱性に対するパッチであるため、アップデートを見逃さないようにする必要があります。
解決策:IT部門は、このタスクを実行する市販のソフトウェアを使用することで、デバイスのソフトウェア更新プロセスを自動化できます。セキュリティ更新とその潜在的な悪影響については、自動更新を実行する前にIT部門が速やかに確認し、計画を立てておく必要があります。ソフトウェア更新によって、ネットワークやデバイスのパフォーマンスに悪影響を与える新たなソフトウェアバグが意図せず導入される可能性があるためです。
これにより、IT部門は新しいアップデートに必要な修正や介入に備えることも、アップデートソフトウェアが修正されるまで待つこともできます。いずれの場合も、エッジデバイスへのセキュリティアップデートが迅速かつ安全に、そして中断なくインストールされることが目標となります。
5. IoTデバイスが不適切に使用されたり紛失したりする
在宅勤務や外出先での勤務が増えるにつれ、従業員がデバイスの扱いを不注意にしてしまう傾向が見られます。Rocketwiseによると、毎年何百万台ものスマートフォンが紛失しています。スマートフォンを紛失したり置き忘れたりすると、悪意のある人物がデバイスを入手し、データや知的財産を盗む可能性があります。
解決策:スマートフォンなどのストレージ機能を備えたIoTデバイスに保存されるすべてのデータを暗号化します。これらのデバイスを「シンクライアント」として機能させ、データ処理は行うものの、データは企業のクラウドにのみ保存します。
6. 物理的な施設が安全でない
より多くの IoT が企業のエッジに導入されるようになると、この IoT が物理的に保護され、安全であることを確認するのはエンド ユーザーの責任になります。
製造工場では、ロボットやその他の自動化された IoT が使用されていないときに誰でも物理的にアクセスできるように屋外に放置されないというリスクがあります。
解決策:エッジ環境において、IoT機器が使用されていない時に保管するための施錠可能なケージを構築する必要があります。これらの物理ケージへのアクセスコードは、許可された担当者にのみ付与する必要があります。
この物理資産セキュリティは、企業のデータセンターで採用されているものと非常に似ています。IT部門は、データセンターと機密資産の保護に関する豊富な経験を活かし、このレベルの物理的なロックダウンセキュリティを確実に導入する必要があります。
IoT とエッジ コンピューティングがどのように連携するか、また IoT がどのように倉庫業務を自動化するかについて、このテーマの詳細をご覧ください。
