Skip to main content
Securing the Digital World

IoTアイデンティティ・セキュリティ: 4つのベスト・プラクティス

  • by Jerry Aubel

Visualization of IoT governance

コロニアル・パイプラインのランサムウェア攻撃は、今年5月にDarksideの侵入が米国の石油供給を中断させたことで話題となりました。

2011年から2013年にかけて、国家の支援を受けた中国アクターが、米国の23の天然ガスパイプライン事業者を標的にし、サイバーセキュリティ・インフラ・セキュリティ庁 (CISA) と連邦捜査局 (FBI) は、「米国のパイプライン・インフラを危険にさらす目的で、フィッシング攻撃や侵入を仕掛けている…」と述べています。

[u]リスクは重大でした: コロニアル・パイプラインは、システムのロックを解除するため約400万ドルを暗号通貨で支払ったのです。ランサムウェア攻撃の平均コストは約761,000ドル (復旧を含む) です。

実際には、このような侵害ははるかにコストがかかる可能性があります。CISA/FBIの報告によると、以前の攻撃は「中国による米国のパイプラインに対するサイバー攻撃能力の開発を支援し、パイプラインを物理的に損傷させ、パイプラインの運用を混乱させる」ために実行された可能性が高いということです。フロリダ州オールズマーの浄水処理計画に対する攻撃のような最近の他の侵害は、モノのインターネット (IOT) 、モノの産業インターネット (IIoT)、およびインターネットに接続されたデバイスやリソースに依存するすべての人が、高度なサイバー脅威に対していかに脆弱であるかを浮き彫りにしています。

アイデンティティガバナンスとIoTのベストプラクティス

IoTとIIoTの攻撃対象が2025年までに約250億台に拡大することが予想される中、セキュリティ・チームがIoTを保護するソリューションを割り出す必要があることは明らかです。

IoTとIIoTを保護するためには私たちが開発した原理を使って、セキュリティ・チームが人間のユーザーを保護する必要があります。具体的には、ユーザーはユーザーであり、会計担当の新入社員であれ、社内の役割を変更した現従業員であれ、顧客からの問い合わせに対応するチャットボットであれ、浄水場の管理であれ、セキュリティチームはIoTとIIoTシステムをアイデンティティとして扱うべきです。

これまでIoTとIIoTシステムはセキュリティチームの監視を超えて開発されてきました。このため、あるIoTシステムでできることをアナリストが知ることができなくなる可能性があります。セキュリティ・チームは、スマートデバイスを保護するためのボットアカウントの保護に関する提案を参考にして、この問題に対処できるのです。

  1. IoTアカウントが実行できること、実行できる意思決定、および実行できるアクションを理解する
  2. 休眠アカウントと休眠期間のレビュー。使われなくなったアカウントのプロビジョニングを解除する
  3. どのマシン・アカウントが発行され、使われていないかを理解する
  4. IoTシステムが業務時間外にできることを制限するタイムバインドマシンのアカウント (または特定のアクション)

最後に、IoTインフラに認証をかけることも確認します。サンフランシスコでは、ハッカーが元従業員のユーザー名とパスワードを使い、「水道施設が飲料水の処理に使っていたプログラム」を削除しました。

ユーザーがアクセスを要求する場合など、ユーザーがアクセスを要求している場所や使っているデバイスに応じて組織は一定の警告を使わなければなりません。またリスクベースの認証をトレーニングをすれば、外国人による米国の公益事業体への侵入防止に役立ちます。

最後に、組織は、ユーザーを検証し、基本的なサイバー衛生状態を確保するため、多要素認証 (MFA) も活用しなければなりません。 

アイデンティティ・ガバナンスをもっと知る