業界最大手数社が支援するモノのインターネット(IoT)セキュリティ業界団体のioXt Allianceは木曜日、IoTセキュリティがいつかはゴミ箱行きになるのではという期待を込めて、モバイルアプリのベースライン標準を導入した。
ベンダーの裁量の低いハードルよりもモバイル アプリをより安全に保つためのベスト プラクティスと要件を網羅した認定プログラムである新しいモバイル アプリケーション プロファイル [PDF] の発表は、Amazon、Comcast、Google などの 20 社を超える ioXt メンバー企業の協力によるものです。
「このセキュリティベースラインは、一般的な脅威を軽減し、重大な脆弱性の可能性を減らすのに役立ちます」と、GoogleのAndroidセキュリティおよびプライバシーチームのブルック・デイビス氏とユージン・ライダーマン氏はブログ投稿で述べています。
「このプロファイルは、OWASP MASVS と VPN Trust Initiative によって定められた既存の標準と原則を活用し、開発者が暗号化、認証、ネットワーク セキュリティ、脆弱性開示プログラムの品質に関するセキュリティ機能を差別化できるようにします。」
数千万台のIoT(モノのインターネット)、ネットワーク接続機器が遠隔操作の危険にさらされている? コンピューターよ、ショックモードに突入せよ
続きを読む
このプログラムは、モバイルアプリに焦点を当てています。モバイルアプリは通常、スマートデバイスやクラウドサービスのフロントエンドクライアントであるためです。また、仮想プライベートネットワーク(VPN)アプリにも追加の期待事項が規定されており、Facebookが提供を中止したOnavo VPNなど、多くのVPNアプリは、セキュリティに関する誤解を招く主張をしていると非難されています。
「VPNはインターネットのプライバシー、セキュリティ、そして権利にとって中心的な役割を果たしますが、VTIのメンバーは、信頼と透明性がなければこれらの保護を提供できないことを十分に理解しています…」と、VPN Trust Initiativeの議長であり、ExpressVPNの副社長であるハロルド・リー氏は声明で述べています。「このプログラムにより、消費者はオンラインでの自己防衛のためのソリューションを選択する際に、より多くのコントロールと自信を持つことができるようになります。」
実務的には、ioXt認定のVPNアプリは、提供企業の事業慣行にデータ販売が含まれる場合、どこかに開示情報を掲載し、少なくともセキュリティに配慮したコード実装に一定の努力を払っていることを意味します。GoogleとFacebookはioXtのメンバーである一方、Appleはメンバーではないという事実は、広告ベースのビジネスモデルに適した一連のルールを示唆しています。
しかし、ioXt のプログラムは任意であり、自己認証が可能です (ただし、ベンダーは ioXt 認定ラボ認証を選択できます)。また、費用がかかります。
「モバイルアプリケーション認証は年間799ドルから、デバイス認証は年間1,950ドルから始まります」と、ioXtアライアンスのCTO、ブラッド・リー氏はThe Registerへのメールで述べています。「しかし、認証は多くの場合、製品ライン全体に基づいており、数量割引が適用されます。」
リー氏によると、ioXTは研究者への報酬付き自己認証とラボ検証認証の両方を提供しているという。「世界中のメーカーが製造する数十万台のデバイスに対応できる認証プログラムを提供することが私たちの目標です」とリー氏は述べた。「小規模なスタートアップから大企業まで、あらゆる規模に対応できる方法があると信じています。」
したがって、これでは悪意のある人物を捕まえたり、粗雑なコーディングによってもたらされた脆弱性を解消したりすることはできません。
むしろ、参加者は、責任感の低いベンダーとの差別化を図ろうとする既存企業である可能性が高いです。初期の認定アプリには、Comcast Xfinity Authenticator、ExpressVPN、GreenMAX DRC Wireless Keypad、Hubspace Affero、McAfee Innovations (VPN)、NordVPN、OpenVPN for Android、Private Internet Access (VPN)、VPN Private、そしてGoogle One VPNを組み込んだGoogle Oneアプリが含まれます。
確かに、このプログラムには一定の価値があります。例えば、モバイルアプリケーションプロファイルには、「ユニバーサルパスワードの使用禁止」といった、既にどこでも標準的な慣行となっていると思われるような、実用的な要件が含まれています。また、ベンダーが脆弱性報告プログラムを導入しているかどうか、自動的に適用されるアップデートの種類、アップデートに署名があるかどうかなど、ベンダーにセキュリティ対策を講じるよう促しています。
注目すべきは、認定製品リストに「認定への異議申し立て」と「脆弱性の報告」という2つのボタンがあることです。前者は、誓約を守れないベンダーを告発するためのウェブフォームにつながり、ioXt Allianceの報奨金スケジュール(100ドルから600ドル)へのリンクが含まれています[PDF]。後者は、mailto:少なくとも脆弱性報告の連絡先を提供するリンクで構成されており、適用されるバグ報奨金はベンダーのプログラムとポリシーによって異なります。
認証済み製品ページに記載されている開示情報は、人々がより情報に基づいた判断を下すのに役立つかもしれません。Xfinity Authenticatorアプリがx503証明書のピン留めを強制していないという理由で利用をためらうような人にとって、ioXtの認証スキームは人生を変えるほどの力を持つかもしれません。
しかし、ioXtのプログラムは主に、チェックボックスのチェックを市場へのデューデリジェンスとコンプライアンスのシグナルとして捉えているベンダーを支援するものです。これまで、これらの企業が社内標準を策定し、安全な製品をリリースすることを妨げるものはありませんでした。®
