ニュースソース:TechTarget
以下は 2017年4月7日にTechTargetで公開された、DigiCertのDan Timpsonが投稿したOwner-controlled PKI: The next step in securing the future of IoTを要約したものです。
IoTデバイスの規模は2020年までに2,000億個に到達すると予測されており、それに応じたPKIインフラストラクチャのスケーラビリティが必要です。
セキュリティ管理がますます複雑になるため、メーカーベースの公開鍵インフラストラクチャ(PKI)は十分ではありません。
SEC(sec-consult.com)は2015年に、320万のインターネット接続デバイスを示す「キーハウス」レポートを発表し、IoTデバイスの設計および製造プロセスに直接起因する脆弱性によって、ハッカー攻撃を受ける可能性があることを示唆していました。
企業はIoTデバイスメーカーに依存するのではなく、所有者が管理するPKIセキュリティを採用する必要があります。
FDA(アメリカ食品医薬品局)は昨年8月、セキュリティについてメーカーと所有者の双方の責任についてガイドラインを発表しました。
製造元は設計開発時にセキュリティを実装する責任があり、製品寿命の間、所有者のセキュリティ管理をサポートし、サイバーセキュリティの脆弱性や悪用を監視する責任も負います。
所有者が管理するPKIセキュリティの5つの原則
- デバイス登録
- ポリシー制御認可による脅威の削減
- デバイス認証をポリシー制御の認証と組み合わせる
- 静的な認証情報を排除
- IoTデバイス数の増減への対応の自動化
昨年10月にジョンソン・エンド・ジョンソン社は、自社のインスリン・ポンプの一つがマルウェアに感染していることを患者に警告しました。
ハッカーがインスリンレベルを改ざんすれば、糖尿病患者は身体的害を受ける危険がありました。
ロイターによれば、製造業者がサイバー脆弱性について患者に警告を出したのは初めてでした。
IoTデバイスがPKIで適切に保護されるように、企業は接続デバイスへのPKI実装について、信頼できるTLS/SSL証明書ソリューションプロバイダーに意見を聞くことを考える必要があります。