IoTセキュリティ
14.Jul.2020
情報セキュリティ攻撃が頻繁に、最新のIoTデバイス認証及び検証システム大公開
新しい技術やアプリケーションが市場に登場するたびに、計画時には考えられなかった問題が発生することがあります。IoT製品の市場投入と共に、情報セキュリティ攻撃も発生します。例えば2016年のMiraiボットネットなど[1]。IoT製品のセキュリティ攻撃について分析すると、これらの攻撃は、ユーザーがIoT製品のログインインターフェイスのデフォルトパスワードを変更しておらず、ユーザーがIoT製品の機能を完全に理解できないため、リモートログイン機能を備えたIoT製品がうっかりインターネットで曝け出します。さらに、メーカーは情報セキュリティの問題や傾向に注意を払わず、脆弱性がすでにわかっているソフトウェアパッケージを使用したり、ユーザーはパスワードの長さと複雑さを設定したりする必要がなく、デフォルトでデバッグモードを有効にするなど、安全ではないソフトウェアを使用しました。これらの攻撃はIoT製品に悪意のあるプログラムです。情報セキュリティ設計が欠如している製品が対象となります。
IoT製品のセキュリティ問題に対応するため、各国の組織も関連する製品のセキュリティ標準を積極的に策定しています。現在では経済部産業局と通信委員会が管轄当局であり、情報通信産業標準化協会(TAICS)が関連する情報セキュリティテスト基準と認証検証制度の策定を委託されています。現在、ビデオ監視システム、スマートバス、スマート街路灯の産業情報セキュリティ基準と認証制度が完成しています。メーカーは、認定された情報セキュリティラボにIoT製品のセキュリティテストの実施を委託することができ、テストとレビューに合格すると、製品テストの認定マークを取得できます[2]。
アメリカでは、米国無線産業協会(Cellular Telecommunication Industry Association)(CTIA)がIoT製品認証計画(IoT Cybersecurity Certification Program)[3]を策定しました。CTIAが策定したIoT Cybersecurity Certification Program証明書を取得したいIoT製品メーカーは、まずはCTIA認定テストラボ(CATL)を選択して予測テストを行い、次にCTIA認定Webサイトを通じて認定要件を申し込み、CTIAが認定したラボで情報セキュリティテストを行い、テストレポートをCTIAに送信し、審査と認証の発行をします。
大手企業では、政府や産業協会などの組織に加えて、サプライヤーによって製造された製品が情報セキュリティ基準を満たす必要ように要求しています。たとえば、Amazonでは、Alexaクラウドサービスを使用するすべての製品を、認定したラボで情報セキュリティテストを行わなければなりません[4]。のちにテストレポートをAmazonに送信し、審査します。合格になってから、後続の製品リリースを実行することができます[5]。
さまざまな情報セキュリティ検証システムを通じて、IoT製品はハッカーによる異なる攻撃に対抗する能力を持っています。情報セキュリティの認証及び検証システムは、認定されたラボでテストを行い、レポートを管理機関に提出し、合格証明書の発行を請求できます。認定ラボになるには、最初にISO 17025ラボ認定に合格し、情報セキュリティ標準と認定検証システムのテスト項目に精通し、テスト項目を標準の運用手順に変える必要があります。人員、ツール、環境、及びテスト方法はすべてISO 17025に準拠している必要があります。Onward SecurityはISO 17025認定の情報セキュリティテストラボを持ち、TAICS、CTIA、Amazonの認定ラボになりました。IoT製品、スマートフォン、ウェブカメラ、Amazon Alexa製品などを対象となる、情報セキュリティ認証テストを実施し、メーカーが情報セキュリティ証明書または認証マークを取得し、バイヤーの要件を満たし、国際市場に参入できるよう支援します。
IoT製品のセキュリティ問題に対応するため、各国の組織も関連する製品のセキュリティ標準を積極的に策定しています。現在では経済部産業局と通信委員会が管轄当局であり、情報通信産業標準化協会(TAICS)が関連する情報セキュリティテスト基準と認証検証制度の策定を委託されています。現在、ビデオ監視システム、スマートバス、スマート街路灯の産業情報セキュリティ基準と認証制度が完成しています。メーカーは、認定された情報セキュリティラボにIoT製品のセキュリティテストの実施を委託することができ、テストとレビューに合格すると、製品テストの認定マークを取得できます[2]。
アメリカでは、米国無線産業協会(Cellular Telecommunication Industry Association)(CTIA)がIoT製品認証計画(IoT Cybersecurity Certification Program)[3]を策定しました。CTIAが策定したIoT Cybersecurity Certification Program証明書を取得したいIoT製品メーカーは、まずはCTIA認定テストラボ(CATL)を選択して予測テストを行い、次にCTIA認定Webサイトを通じて認定要件を申し込み、CTIAが認定したラボで情報セキュリティテストを行い、テストレポートをCTIAに送信し、審査と認証の発行をします。
CTIA IoT Cybersecurity Certification Program認定制度
大手企業では、政府や産業協会などの組織に加えて、サプライヤーによって製造された製品が情報セキュリティ基準を満たす必要ように要求しています。たとえば、Amazonでは、Alexaクラウドサービスを使用するすべての製品を、認定したラボで情報セキュリティテストを行わなければなりません[4]。のちにテストレポートをAmazonに送信し、審査します。合格になってから、後続の製品リリースを実行することができます[5]。
Alexa製品認定プロセス
さまざまな情報セキュリティ検証システムを通じて、IoT製品はハッカーによる異なる攻撃に対抗する能力を持っています。情報セキュリティの認証及び検証システムは、認定されたラボでテストを行い、レポートを管理機関に提出し、合格証明書の発行を請求できます。認定ラボになるには、最初にISO 17025ラボ認定に合格し、情報セキュリティ標準と認定検証システムのテスト項目に精通し、テスト項目を標準の運用手順に変える必要があります。人員、ツール、環境、及びテスト方法はすべてISO 17025に準拠している必要があります。Onward SecurityはISO 17025認定の情報セキュリティテストラボを持ち、TAICS、CTIA、Amazonの認定ラボになりました。IoT製品、スマートフォン、ウェブカメラ、Amazon Alexa製品などを対象となる、情報セキュリティ認証テストを実施し、メーカーが情報セキュリティ証明書または認証マークを取得し、バイヤーの要件を満たし、国際市場に参入できるよう支援します。
Reference:
[1] Mirai (malware),2020.03。閱於2020.05.20。網址:https://en.wikipedia.org/wiki/Mirai_(malware) 。
[2] 臺灣物聯網產品資安認驗證制度介紹,2019.03。閱於2020.05.20。網址:https://s.itho.me/cybersec/2019/slides/twpavillion/0319_臺灣物聯網產品資安認驗證制度介紹_TAICS_黃雅琤副處長.pdf。
[3] CTIA Certification Resource。閱於2020.05.27。網址:https://www.ctia.org/about-ctia/certification-resources。
[4] AVS Security Requirements,2020.01。閱於2020.05.29。網址:https://developer.amazon.com/en-US/docs/alexa/alexa-voice-service/avs-security-reqs.html。
[5] Alexa Built-in Testing and Certification Process。閱於2020.05.29。網址:https://developer.amazon.com/en-US/docs/alexa/alexa-voice-service/product-testing-overview.html。
[1] Mirai (malware),2020.03。閱於2020.05.20。網址:https://en.wikipedia.org/wiki/Mirai_(malware) 。
[2] 臺灣物聯網產品資安認驗證制度介紹,2019.03。閱於2020.05.20。網址:https://s.itho.me/cybersec/2019/slides/twpavillion/0319_臺灣物聯網產品資安認驗證制度介紹_TAICS_黃雅琤副處長.pdf。
[3] CTIA Certification Resource。閱於2020.05.27。網址:https://www.ctia.org/about-ctia/certification-resources。
[4] AVS Security Requirements,2020.01。閱於2020.05.29。網址:https://developer.amazon.com/en-US/docs/alexa/alexa-voice-service/avs-security-reqs.html。
[5] Alexa Built-in Testing and Certification Process。閱於2020.05.29。網址:https://developer.amazon.com/en-US/docs/alexa/alexa-voice-service/product-testing-overview.html。