IoTセキュリティは端末の問題だけではない

Dark Readingの記事を読んで、IoT端末の脆弱性だけではなく、ネットワーク全体の保護の観点が抜け落ちていそうで不安になりました。

www.darkreading.com

組織が直面するリスクは、IoTの採用ペースによって悪化します。InternationalDataCorporationの予測では、2025年までに416億の接続されたIoTデバイスまたは「モノ」が存在すると予測されています。

さらに、COVID-19のパンデミックにより、エンタープライズネットワークの境界が破壊されました。現在、ネットワークはリモートブランチ、モバイル従業員、さらには自宅を含めて高度に分散されているため、多くの組織はこれらのIoTデバイスとトラフィックをほとんど把握できません。

問題をさらに悪化させているのは、現在パーソナルIoTデバイスを含むIoTデバイスのこれらの分散ネットワークは、機密性の高いエンタープライズデータの伝送に依存しており、既存のIoTデバイストラフィックの98％が暗号化されていないままです。

（Dark Reading記事より引用）※機械翻訳

キタきつねの所感

IoT端末にも「ゼロトラスト」の足音がすぐそこまで迫ってきている様に感じました。

下記IDCの調査データを引用しますが、インターネットに接続されるIoT機器は、2025年までに416億台、IoT機器のデータ生成量は約80兆GBにも達する見込みです。

※今年の予想数字が300億台／20兆GB＋と言う所にも驚きがありますが・・・

こうしたデータは以前からも出ていたので驚きは無いのですが、記事での指摘に思わずハッとしたのが、企業のIoT機器だけでなく、パーソナルIoT機器を含めるとリモート拠点、自宅、クラウド等にIoT機器は分散しており、企業の従来のセキュリティ監視下にない（トラフィックを監視できていない）という状況仮説です。

コロナ禍で、リモートワークが一般化しつつある状況において、Wi-Fiルータやプリンタ等、パーソナルIoT機器も業務利用がされ、場合によっては企業ネットワークに接続している状況は、攻撃者が次に狙うであろう対象である事は容易に想像がつきます。

例えば企業ネットワークや工場等の通信の出入り口を重視する境界線防御モデルで、分散してどこからともなく（勝手に）接続してくるIoT機器を把握しきれてないのだとすれば、堤防が小さなヒビから決壊する様に、悪意のあるIoT機器からの”想定外”の攻撃に、企業資産を守りきれなくなる可能性があります。

その際に問題となるのが、IoT機器の98%が平文データでやり取りをしている事です。IoT機器の通信では、資産価値が低いデータ（漏えいしても問題がない）ばかりが流れている事が分析の上で判明しているならば、リスク許容でも良いのかも知れません。

しかし、トラフィックが監視できてない状況、かつビックデータ技術が今度さらに発達する事を考えると、大丈夫と思っているデータであっても、企業が外部に流出させたくない機密情報（宝の山）が抽出・解読されてしまう可能性は十分に考えられます。

これから益々、拡大し、複雑になっていく可能性が高いIoT機器が接続するネットワークを考えると全体でのセキュリティ保護を再設計する事が重要になってきそうです。IoT機器自体の脆弱性への対応（DevOpe等々）もさる事ながら、重要なネットワーク通信の暗号化は、避けては通れないかと思います。

そうした中、記事では「見ること」「知ること」が重要であると提言しています。IoT機器のチェック（資産の棚卸し／通信モニタリング）を従来の年1回のリスト作成に終わらせずに実行し、その上でセキュリティ対策を強化する事が今後ますます重要となってきそうです。

見ることと知ること
ネットワーク上に潜むシャドウIoTデバイスの存在と、現在は家庭を取り巻く企業の境界では、ネットワークとそれらに接続されているものについてもっと知ることが不可欠です。

これには、単にIPアドレスを識別するだけでは不十分です。ネットワーク上にあるデバイスの種類を理解するには、単純なインベントリ測定を超える必要があります。デバイスが何であるかを知ることで、デバイスが何をすべきか、何をすべきでないかを知ることができます。たとえば、医用画像処理機がYouTubeでビデオをストリーミングするべきではありません。

IoTデバイスは、さまざまな部門やさまざまな人々によって持ち込まれたネットワーク上を行き来します。組織は、どのデバイスがネットワークに接続されているかをいつでも知る必要があります。年に1回または2回の静的な資産チェックではもはや十分ではありません。

（Dark Reading記事より引用）※機械翻訳