投稿日:

手に余るIoTセキュリティ管理は手放そう

IoTセキュリティの自動化ブーム

Internet of Things (IoT)機器のセキュリティが問題視されるようになり、パスワード設定等に不備のあるIoT機器の調査等を国の機関でも実施するようになった。これに限らず遅れがちなセキュリティの対策については、外部からの自動的な対策が目立つようになってきた。例えば、ネットワーク機器等の脆弱性を自動的に検出して修復できるようにすることや、ソフトウェアリポジトリのバグを自動的に発見して修正の提案をすること、などの対策である。

特にIoT機器のセキュリティ対策が進まない理由として、現在IETFでは次のように整理されている

  1. サプライチェーン上の製造業者、ベンダ、その他の人々が自社の機器のアップデートを発行することに対するインセンティブが欠如している
  2. IoT機器上で実行されるデバイスドライバ等のソフトウェアの一部は、バイナリでのみ提供されている。(メーカーの倒産等によりメンテナンスされなくなると)利用可能なソースコードが無い場合には修正コードを書くことができない。
  3. アップデートが利用可能であっても、一般的に手動でダウンロードしてインストールする必要があり、実施されづらい。

自動IoTセキュリティプロトコルPASC/PAVA

こうした問題に対して、「自動IoTセキュリティ」と銘打ったインターネットドラフトがIETFから提出されている。自動IoTセキュリティとは何だろうか。根幹は、リスクアセスメントやプライバシー影響分析を、IoT機器が導入された後のライフサイクルを通じて自動で実施することだ。

  • [PASC] 自動セキュリティ設定のプロトコル Protocol for Automatic Security Configuration
  • [PAVA] 自動脆弱性アセスメントのプロトコル Protocol for Automatic Vulnerability Assessment

自動IoTセキュリティではこれらの二つのプロトコルが軸になっており、IoT機器に想定される振る舞い記述 (Manufacturer Usage Descriptor)を書けば後は自動で、PAVAによって問題を検知し、PASCによってネットワーク(SDN)やIoT機器の設定を書き直す。製品出荷時にすべてを予期することは不可能なので、ライフサイクルを通じた対策を自動的に実施するという主張だ。

人に触らせないIoTセキュリティ

自動IoTセキュリティプロトコルPASC/PAVAが対象として想定しているIoT機器を用いるアプリケーションは、ビルシステムである。ビルシステムについては国内でも、テナントビルの管理をクラウド移行させる流れや、ライフサイクル(設計・建設・竣工・運用・長期運用)の各フェーズにセキュリティ対策を入れようとする流れがある。PASC/PAVAのビルシステムでの実現は、ビルシステムのステークホルダーが多く前途多難と思える。しかし、PASC/PAVAはクラウドIoT管理システムの視点で書かれているため、ビルシステムを大手クラウド事業者が管理する時代に移行すると、少し現実味を帯びる。例えば、クラウド管理を見越したビルシステムの調達要件でIoT機器に自動IoTセキュリティへの対応を指示してもおかしくはないだろう。もしも自動IoTセキュリティに対応したIoT機器が無くても、大手ベンダであれば自前で作ってしまえるだろう。そして、仮にPASC/PAVAが企画倒れになっても、同じような自動IoTセキュリティを意識した提案は続くだろう。

自動IoTセキュリティへの対応は、どうすれば人からセキュリティ対策を手放させるか、というチャレンジである。インセンティブもなく危ないのでできるだけ人に触らせないようにしよう、ということがこれまでの共通見解だからだ。人という脆弱性を排除するための自動IoTセキュリティは、親和性の高い分野から徐々に進んでいる。

本文中のリンク・関連リンク: