IoT機器のセキュリティは、2月下旬からNICTが擬似攻撃「NOTICE(National Operation Towards IoT Clean Environment)」を実施していますが、相当脆弱な機器が検知されるものと思います。そんな中、日本スマートフォンセキュリティ協会(JSSEC)がチェックシートを2月末に公開していました。
monoist.atmarkit.co.jp
■『IoTセキュリティチェックシート』第2版を公開しました 2/28(JSSEC)
今回の第2版は、一般企業がIoT導入時に考慮すべき60のセキュリティ項目を、2ページのA3用紙(両面印刷で1枚に収まる)にまとめている。提供ファイル形式はPDFとExcel。後藤氏は「第1版は、利用者視点からのガイドとなるIoTセキュリティチェックシートというものの有効性を確認することが目的だったこともあり、PDFファイルのみを提供していた。今回の第2版は、現場で使えるレベルまで仕上げたので、Excelファイルでも提供する。ぜひとも活用してほしい」と語る。
また、IoTセキュリティチェックシートの他、60の項目について解説する「解説編」の文書も提供する。「セキュリティの知識があれば解説編の内容は十分に理解できるだろう」(後藤氏)。
(MONOist記事より引用)
◆キタきつねの所感
今さらながらチェックシートが公開されている事に気づきました。(主要メディア記事で取り上げられてない気もしますが・・・)この手のチェックシートは、PDF版だけで公開される事が多いので、実運用を考えた際、あるいは自社(事情)でのカスタマイズを考えた際、Excel版は使い勝手が良いので、多くの企業がシートを活用できるのではないでしょうか。
内容としては、NISTのサイバーセキュリティフレームワーク(CSF)をベースに書かれているからか、網羅性がしっかりしていると思います。このフレームワークは、防御のみならず、検知・対応・復旧といった何か事件が発生した後の対応についてもカバーしているので、既にMiraiなどの大規模な侵害が全世界的に出現しているIoT機器の分野には適しているまとめ方だと思います。容量もA3で2枚程度とコンパクトにまとまっており、チェック項目(設問)の意図が理解できれば、かなりリスクを軽減できる可能性がありそうです。
とは言え、解説(β版)まで目を通しましたが、セキュリティ意識の低いIoT機器ベンダー、利用者(企業)にとって理解できるか?と言うと疑問です。解説の補足の部分がもっと充実すると、(セキュリティ分野の)経験の浅い方でもイメージを持ちやすいと思いますが、例示が少ないので、結局は設問の意図が理解されずにシートが活用される気がします。
網羅性にこだわるのは当然だと思いますが、優先度が高い部分をもう少し強調しても良かったのではないでしょうか?
私が優先度が高いと思うのは、
①『脆弱/デフォルト設定のパスワードを使わない』(※25項)
②『パッチを当てる』(※36-37項)
③『怪しげな海外製のIoT機器を使わない』(※16項)
④『中古機器の利用に気をつける』(※13項)
あたりです。
セキュリティ意識がしっかりしている企業であれば、網羅性の高いチェックシートを有効に活用してくれるかと思います。ですが、例えばネットワーク型の監視カメラで考えた場合、意識がそれほどでも・・・という企業は多く、そこがマルウェアでBot化してDDoS攻撃などに使われている事を考えると、このリストの設問意図を理解しない企業は、残念ながら多い気がします。
参考:管理レスWebカメラの現状 - Fox on Security
賛否両論がありますが、NICTが2月22日から実施している「NOTICE」の方が、脆弱な機器を抱える企業・組織・個人に対しての啓蒙(改善)という意味で、このシートが普及する(多くの企業で活用される)のを待つよりは、実効性が高い気がします。
www.nict.go.jp
あまりよく無いコメントも書いてしまいましたが、多くの企業にとって、大変参考になるシートだと思いますし、関係者の方々のとりまとめの努力に敬意を表したいと思います。(※β版の解説がもっと充実される事を期待してます)
余談ですが、1点だけ残念だったのが・・・Excelシート版、PDFだと綺麗なのですが、上の注意書き部分の表記が被ってしまいます。私の環境だけかも知れませんが。。
更新履歴