ニュースソース:HELPNETSECURITY
以下は 2017年3月6日に公開されたAutomating PKI for the IoT platformを要約したものです。
DigiCertのEmerging Marketsエグゼクティブバイスプレジデント、Jeremy Rowleyは、RSA Conference 2017で「IoTプラットフォームのPKIを自動化し、IoTプラットフォームのスケーラブルなソリューションを構築する方法」についての発表を行いました。
今日、私たちは車・家・街・腕時計など、インターネットにつながる多種多様なIoTデバイスに囲まれて生活しています。しかし、多くのデバイスはセキュリティを導入していないため、攻撃の対象となり得るのです。
例として、2015年に車や医療機器などに対する攻撃が行われたり、2016年にはインスリンポンプを装着している患者の通信上に第三者が介入し、インスリンの投薬量を変更するという健康被害につながる攻撃が発生したりしました。
DigiCertは、デジタル証明書やその他情報をデバイスに自動的に提供する際、数十億のデバイスに拡張可能で、費用効果が高いIoTセキュリティを考案しました。
そして、SCEPやESTなどの標準プロトコルに加えて利用することができるDigiCert Auto-Provisioning Platformと呼ばれるソフトウェアを開発しました。
製品のライフサイクル全体にわたり証明書を管理し、必要に応じて証明書の資格情報のデプロイ、更新、再発行を行ったりネットワークにプロビジョニングしたりすることもできます。
現在、多くの医療機関や各種産業で導入され、攻撃に対するインフラとして重視されています。
IoTデバイスのデジタルX.509証明書に関しても努力を重ねた結果、80バイトの超小型で、低電力デバイス・無電力デバイスで実際に使用できる証明書プロファイルを実現することができました。
これにより幅広い展開が可能になります。
DigiCertは、車両・輸送部門にも関心を向けています。
車両の様々な機能をモニタリングするセンサーは、中央システムとの間で通信を行っていますが、その情報を書き換える攻撃やマルウェアが見られるようになりました。
そこで、通信を暗号化し、署名を行うセキュリティ対策を施すことにより、不正な操作による事故を未然に防いでいます。
アイデンティティも重要な分野で、デバイスが複製製造されて重複攻撃を受ける事例があることから、複製された場合でも元のデバイスと同じ資格情報でのコピー製造、闇市場での販売を難しくし、重複がないことを保証するIPプロテクションをメーカーと共に開発しました。
セキュリティの自動化が進む今、企業は脆弱性に関する調査や評価を行い、データの内容、相手、暗号化の程度などを把握し、必要な技術を見定めることが重要です。
セキュリティは、全てをカバーすることは容易ではない膨大なものですが、DigiCertはその重要な部分を引き続き担っていきたいと考えています。