NOTICEの記事を調べていたらNISTが新たなIoT機器のリスクガイドラインを発表している事に気づきました。
www.darkreading.com
NISTは、管理者がライフサイクルを通してモノのインターネット(IoT)デバイスに伴うリスクを理解し管理するのを支援することを目的とした新しいレポートを発行しました。
34ページからなるレポート「Internet of Thingsのセキュリティを保護するための考慮事項1プライバシーリスク」は、基本的な定義と、プライバシーとセキュリティの運用上の違いなどの重要な問題から始まります。続いて、デバイスのアクセスと管理、およびITハードウェアとIoTシステムのセキュリティ機能の劇的な違いなど、管理に関する大きな考慮事項についても説明します。
NISTは、3つのリスク軽減目標、つまりデバイスセキュリティの保護、データセキュリティの保護、および個人のプライバシーの保護の枠組みの中でIoTのリスクと軽減を定義しています。これらの各目標には、脆弱性管理、データ保護、情報フロー管理など、2つから5つの具体的なリスク軽減領域があります。
このレポートは、IoTデバイスがそれらの期待に応えることに挑戦することができる方法に対して設定された、従来のITデバイスに対して設定されたIT管理者のセキュリティ期待を列挙する一連の表を提供します。
(Dark Reading記事より引用)※機械翻訳
■ Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks(NIST)
◆キタきつねの所感
時間が無くて全部は読んでませんが、内容としてはIoT機器セキュリティの目指すべき方向性が示されており、日本企業も今後読まないといけなそうなガイドラインだと思います。
そのうち日本語版も出るのかなと思いますが、とりあえずエグゼクティブサマリー部分を機械翻訳したものを参考まで、張り付けておきます。
※後半の方にNIST SP800-53等と紐づけた課題と組織への注意点が書かれた表がありますが、この表が、IoT機器のセキュリティ評価をする上で(見落としがないかどうか)考慮すべきポイントがまとまっていて、使いやすそうに感じました。
エグゼクティブサマリー
モノのインターネット(IoT)は、物理的世界と相互作用する多様な技術の急速に進化し拡大しているコレクションです。 IoTデバイスは、情報技術(IT)と運用技術(OT)の世界を組み合わせた結果です。多くのIoTデバイスは、クラウドコンピューティング、モバイルコンピューティング、組み込みシステム、ビッグデータ、低価格ハードウェア、およびその他の技術的進歩の融合の結果です。 IoTデバイスは、これまで欠けていた機器にコンピューティング機能、データストレージ、およびネットワーク接続性を提供し、モニタリング、設定、およびトラブルシューティングのためのリモートアクセスなど、機器の新しい効率と技術的能力を可能にします。 IoTはまた、物理的世界に関するデータを分析し、その結果を意思決定の情報提供、物理的環境の変更、および将来のイベントの予測に役立てることができます。
IoTの全範囲は正確には定義されていませんが、明らかに広大です。医療業界の専門病院設備や運輸部門のスマートロード技術など、各部門には独自の種類のIoTデバイスがあり、すべての部門で使用できる多数のエンタープライズIoTデバイスがあります。そのほとんどが組織の施設にも存在する、ほぼすべての家電製品のバージョンが、キッチン機器、サーモスタット、ホームセキュリティカメラ、ドアロック、電球、およびテレビに接続されたIoTデバイスになりました。 [2]多くの組織は、彼らが多数のIoTデバイスを使用していることを必ずしも認識していません。多くのIoTデバイスが従来のITデバイスとは異なる方法でサイバーセキュリティとプライバシーのリスクに影響を与えるため、組織がIoTの使用方法を理解することが重要です。組織が既存のIoTの使用と将来の使用の可能性を認識したら、IoTの特性が、特にリスクへの対応、つまりリスクの受け入れ、回避、軽減、共有、移転の観点からサイバーセキュリティとプライバシーリスクの管理にどのように影響するかを理解する必要があります。
この出版物では、従来のITデバイスと比較して、IoTデバイスのサイバーセキュリティとプライバシーリスクの管理に影響を与える可能性がある3つの高度な考慮事項を特定しています。
1.多くのIoTデバイスは、従来のITデバイスとは通常はやり取りしない方法で物理的世界とやり取りします。一部のIoTデバイスが物理システムに変更を加えて物理的世界に影響を与える可能性のある影響は、サイバーセキュリティとプライバシーの観点から明確に認識し、対処する必要があります。また、パフォーマンス、信頼性、回復力、および安全性に関する運用上の要件が、従来のITデバイスの一般的なサイバーセキュリティおよびプライバシー慣行と矛盾する可能性があります。
2.多くのIoTデバイスは、従来のITデバイスと同じ方法でアクセス、管理、または監視することはできません。これには、多数のIoTデバイスに対して手動でタスクを実行し、スタッフの知識とツールを拡張してさまざまなIoTデバイスソフトウェアを含める必要があり、製造元や他のサードパーティがIoTデバイスをリモートアクセスまたは制御できるリスクがあります。
3. IoTデバイスでは、サイバーセキュリティおよびプライバシー機能の可用性、効率、および有効性が、従来のITデバイスとは異なることがよくあります。これは、リスクを軽減するための十分な統制が利用できない場合、組織は追加の統制を選択、実施、管理し、リスクへの対応方法を決定しなければならないことを意味します。
IoTデバイスのサイバーセキュリティとプライバシーのリスクは、次の3つの高度なリスク軽減目標の観点から考えることができます。
1.デバイスのセキュリティを保護します。つまり、他の組織に対するDDoS攻撃に参加したり、ネットワークトラフィックを傍受したり、同じネットワークセグメント上の他のデバイスを侵害したりするなど、デバイスが攻撃に使用されるのを防ぎます。この目標はすべてのIoTデバイスに適用されます。
2.データセキュリティを保護します。 IoTデバイスによって収集された、保存された、処理された、またはIoTデバイスから送信されたデータ(個人識別情報[PII]を含む)の機密性、完全性、または可用性を保護します。この目標は、保護が必要なデータがないものを除き、各IoTデバイスに適用されます。
3. 個人のプライバシーを保護する。デバイスおよびデータのセキュリティ保護を通じて管理されるリスクを超えて、PII処理によって影響を受ける個人のプライバシーを保護します。この目標は、PIIを処理する、または個人に直接または間接的に影響を与えるすべてのIoTデバイスに適用されます。各目標は前の目標を基にしており、それを置き換えたり、その必要性を否定するものではありません。各リスク軽減の目標を達成するには、一連のリスク軽減分野に取り組む必要があります。各リスク軽減領域は、リスクの考慮事項によってIoTにとって最も重大または予想外に影響を受けると考えられるサイバーセキュリティまたはプライバシーのリスク軽減の側面を定義します。各リスク軽減分野について、従来のITデバイスがその分野のサイバーセキュリティとプライバシーのリスクを軽減するのにどのように役立つかについて、組織が通常期待する1つ以上の期待があります。最後に、IoTデバイスが各期待にもたらす可能性がある1つまたは複数の課題があります。以下の図は、これらの関連付けの最終結果を示しています。これは、それぞれ関連するリスクの考慮事項に遡ることができるIoTデバイスのサイバーセキュリティとプライバシーリスクを軽減することによる潜在的な課題の構造化セットの識別です。
組織は、適切なリスク軽減の目標と分野のために、IoTデバイスのライフサイクルを通して、サイバーセキュリティとプライバシーリスクの考慮事項と課題に確実に対処している必要があります。この出版物は、これを達成するための以下の推奨事項を提供します。
1.適切なリスク軽減分野において、IoTデバイスのリスクに関する考慮事項と、IoTデバイスのサイバーセキュリティとプライバシーのリスクを軽減するために発生する可能性がある課題について理解します。
2. IoTデバイスのライフサイクル全体を通してサイバーセキュリティとプライバシーリスクの軽減の課題に対処するために、組織の方針とプロセスを調整します。この出版物は可能性のある課題の多くの例を引用しています、しかし各組織は彼らの任務要件と他の組織特有の特性を考慮に入れるためにこれらをカスタマイズする必要があるでしょう。
3.他のプラクティスへの変更と同様に、組織のIoTデバイスに対して最新の緩和プラクティスを実装します。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
