分析:モノのインターネット(IoT)とは一体何でしょうか?ガートナー社とIDC社によると、IoTとはIP接続を介して相互に、そして世界とやり取りできるエンドポイントのネットワークです。
コンサルタント会社マッキンゼー・アンド・カンパニーは、IoT を、道路からペースメーカーまで物理的な物体に埋め込まれ、膨大な量のデータを生成するセンサーとアクチュエーターと定義しています。
最前線の IT プロフェッショナルの観点から見ると、これはそれ以上のものです。これは、これまで以上に多様なネットワーク接続デバイスのセットであり、必ずしも最初からネットワークへの接続が意図されていたわけではありません。
では、モノのネットワーク(Network of Things)を継続的に運用し、セキュリティを維持するには、どのように管理すればよいのでしょうか?IoTは新しく多様な概念かもしれませんが、その管理原則は変わりません。既存の技術や実践例を活用することで、適切な管理を実現できるのです。
あらゆるタイプのデバイスに疑問を抱く
少し奇妙に聞こえるかもしれませんが、IoTデバイスの管理方法を検討する際には、まず本当にそのデバイスが必要なのかどうかを明確にする必要があります。例えば、私の元同僚は、データルームの非常用発電機にイーサネットアダプターを追加するという選択肢がありましたが、結局追加しませんでした。ベンダーのエンジニアがメンテナンスのために訪問し、遠くから壊したりクラッシュさせたりするのを防ぐためです。デバイスは要件に基づいて導入するべきであり、その要件の一つは管理性です。
シャドーIoTを注意深く監視する
IoTデバイスの素晴らしい点の一つは、接続とセットアップが非常に簡単なことです。しかし、それほど素晴らしいとは言えない点も一つあります。接続とセットアップが非常に簡単なことが多いということです。「シャドーIT」という言葉を聞いたことがあるでしょう。これは、ユーザーがIT部門の承認、知識、支援なしに独自のデバイスをインストールすることです。そして今、シャドーIoTが登場しています。シャドーIoTはシャドーITよりも大きな懸念事項です。なぜなら、ネットワークカメラなどのデバイスの多くは数十ポンド程度で購入できるため、誰でも購入でき、会社のクレジットカードでこっそり購入できるからです。
ネットワーク管理パッケージは通常、不正デバイス(監視対象として設定されていないデバイス)を検出できます。そのため、不正デバイスの警告機能は必ずオンにする必要があります。IoTキットではWi-Fiが接続方法として好まれますが、無線LANは信号を発信しようとするあらゆるデバイスからの接続を受け入れる可能性があるため、セキュリティ上の悪夢を招きます。
ネットワークアドミッションコントロール
シャドーITを監視するだけでなく、可能な限り積極的に対策を講じましょう。接続してくるものを監視するだけでなく、そもそも接続されないようにするための対策も講じる必要があります。運が良ければ、使用しているキットがIEEE802.1xのような優れたNACプロトコルをサポートしていることもありますが、そうでない場合は、「sticky MAC」(LANスイッチポートを新規デバイスが接続できないように設定する方法)などのより基本的なアプローチを検討できます。私は常に予防と検出を組み合わせることをお勧めします。これは、誰かがスイッチの設定を誤ってすべての安全対策をオンにしていない場合や、誰かが保護を回避して不正なデバイスを接続してしまうような状況に対応するためです。
プロトコルを理解する
デバイスによって管理プロトコルは異なります。SNMPは一般的ですが、一部のガジェットにはREST API、XML over HTTP/HTTPSなど、カスタムインターフェースが搭載されている場合があります。ドキュメントを確認し、管理インターフェースの中に他のインターフェースよりも多くの機能を備えているものがあるかどうかを確認してください。必要なインターフェースだけを選択し、最も重要なのは、残りのインターフェースをオフにすることです。デバイスが不要な方法でネットワークと通信できる状態を放置しないでください。
セキュリティを整理する
サイバーエッセンシャルズを全部教えましょう。デフォルトのパスワード、SNMPコミュニティ文字列など、すべて変更してください。多くのIoTデバイスはデフォルトでパスワードが設定されていません。管理アプリケーションを起動するだけで、魔法のようにデバイスが検出され、自動設定されます。
IoTガジェットのセキュリティ確保に真剣に取り組むなら、ここから始めるのが良いでしょう。
続きを読む
設定画面をすべて調べて、パスワードらしきものがないか確認し、すべてデフォルトから変更してください。また、多くのIoTデバイスは標準的なデフォルトパスワード(「admin」「password」など)ではなく、より難解なパスワードを使用していることに注意してください。これらのパスワードはデバイスの背面に印刷されています。工場出荷時のパスワードは必ず変更してください。
IPアドレスを管理する
IoTデバイスは群れをなして行動する傾向があり、セットアップが非常に簡単なため、DHCPからアドレスを取得してそのまま使用してしまいます。あっという間に、IPアドレス空間に数十台のデバイスが散在することになります。
体力に余裕がある、時間を持て余している、あるいは地元の中学校から職場体験の子が来たという場合は、IoTデバイスに静的IPアドレスを割り当てて、どのデバイスがどのデバイスなのかを正確に把握することを検討してみてはいかがでしょうか。おそらくそうではないでしょうし、そうしていないでしょうし、これまでもそうしていなかったでしょうから、少なくともIoTデバイスの種類ごとにアドレス範囲を定義することはできます。そのためには、サブネット化を行う必要があります。
IoT機器をサブネット化する
サブネット化は非常に重要です。前述の通り、デフォルトのパスワードを変更し、不要なサービスを停止したとしても、IoTキットが接続されているネットワークのセキュリティを確保する必要があります。様々なIoTデバイス用にサブネットのコレクションを定義し、DHCP範囲を割り当てましょう。これは非常に簡単で、管理が容易になります。そして最も重要なのは、サブネット化によってアクセス制御リスト(ACL)を定義し、入出力トラフィックを制限できることです。デバイスの動作と管理に必要なトラフィックのみを許可してください。ワイヤレス接続の場合は、IoTサブネットに繋がる専用のSSIDを使用してください。また、もしキットが802.1xに対応している場合は、802.1xを有効にしてください。対応していない場合は、MACアドレスブロックを使用して、許可したいデバイスのみを許可してください。キット自体を信頼しておらず、誰もキットに接続しようとしないという前提で作業を進めてください。
デバイスが世界とどのようにつながるかを理解する
IoTデバイスを管理・監視するには、その仕組みを理解する必要があります。一部のデバイスは接続を待機するだけです。これは非常に単純な作業ですが、パケットの受信を許可するために、受信側のファイアウォールやACLルールを設定する必要があります。一方、マスターサーバーに接続するタイプのデバイスもあります(私のNetGear Arloカメラがその一例です)。いずれにしても、どのデバイスがどのデバイスへの接続を生成するのかを明確にし、IoTサブネット間で予期しないトラフィックが発生し始めたら、ネットワークモニターにアラートを通知するようにしてください。
セキュリティリリースに注意
IoTはセキュリティ攻撃を受けやすいという評判があり、それは当然のことです。IoTの世界では古いファームウェアが当たり前のようです。そのため、デバイスのソフトウェアを定期的にアップグレードすることが極めて重要です。中には自動的にアップデートされるデバイスもありますが、その場合は(ランダムに再起動しても構わないのであれば)そのままにしておくか、手動でアップデートをスケジュールするかを選択できます。自動アップデートが機能しない場合は、定期的にアップデートを行うことが重要です。
IT 関連の報道やハードウェア ベンダーの Web サイトにも注目してください。セキュリティ上の問題が発見されたらすぐに知る必要があります。
ハードウェア更新ポリシーを策定する
先ほども述べたように、IoTデバイスは非常に安価な場合が多いですが、だからといって他のハードウェアと同じように扱うべきではありません。サポート終了は、セキュリティアップデートが提供されなくなることを意味します。つまり、ベンダーのサポートが終了したファイアウォールを交換するのと同じように、IoTキットについても同様に考えるべきです。
すでに述べたように、セキュリティ パッチが適用されていない古いファームウェアでは、事故が起こるのを待つしかありません。
定期的にリスクの再評価を行う
最後に、IoTデバイスはクリスマスだけのためのものではなく、一生ものであることを覚えておいてください。ネットワーク管理体制は、継続的な改善と定期的な再評価を基盤とする必要があります。時は流れ、システム全体もそれに合わせて進化します。IoTの世界自体を変えていなくても、インフラの他の部分の変化によってリスクレベルが変化する可能性があります(そして、組織のリスク許容度も時間とともに変化する可能性があります)。ですから、少なくとも年に数回はIoTに関わるあらゆるリスクを再評価し、継続的な改善プログラムを実施して、機器が他のすべてに追いつくようにしてください。®