スマートホームのセキュリティ:デバイスメーカーが考えるべきこと
by Canonical on 16 February 2023
ホームセキュリティと言えば、ドアの隣にあるキーパッド式の警報装置を思い浮かべます。しかし昨今、この言葉には2つの意味があります。ここではその2番目であるサイバーセキュリティについて述べます。つまりスマートホームのセキュリティです。
最近の調査では、驚くべき数のスマートホームデバイスが時代遅れのSSLライブラリを使用していることがわかりました。時代遅れのSSLは、悪者に対してネットワークトラフィックへのアクセスを許してしまう恐れがあります。スマートホームの場合、このトラフィックには重要な個人情報(住人が在宅か留守かなど)も含まれかねません。この手の危険は山ほどあります。コンシューマーデバイスに対する侵害は毎日のように報道されています。間違いなく大きな問題です。
コンシューマー分野のサイバーセキュリティ
サイバーセキュリティは昔からスマートホーム業界の弱点です。一般にスマートホームデバイスは厳しい予算で、かつ短い開発サイクルで生産されます。セキュリティのような「余分なこと」を考えるひまはありません。デバイスが命にかかわる環境や高価値の環境で使用されるわけでもありません。工場ロボットの侵害に比べればスマートトースターの侵害による被害は微々たるもの。そんなわけで業界は問題を甘く見ています。
これまでは良かったかもしれませんが、10年前に比べ、今のスマートホームの脆弱なサイバーセキュリティがもたらす結末ははるかに深刻です。
ビッグデータ = 個人データ
現在の標準的なスマートホームが生成するデータの量は、5~10年前よりはるかに増えています。2000年代には考えられなかったことですが、今のスマートホームには複数のマイクやカメラが内蔵されています。そのうえ多くのデバイスは多様なクラウドサービスやアプリを含み、それぞれに関連データセットがあります。
このデータが最新スマートホームの高度な機能を実現するのです。デバイスの相互作用が生成する大量のデータで何ができるのか、アンビエントコンピューティングを例に挙げて考えましょう。残念なことに、スマートホームのサイバーセキュリティが大きな問題になっているのは、このデータのためでもあります。スマートホームへの侵入によって悪者には多大な可能性が開けます。IDを詐取することも、ボットネットとしてデバイスを使用することも、室内の動画などの個人情報を漏洩させることも可能です。
企業はどう対処すべきか
問題は幅広いかもしれませんが、幸運にも、この業界の企業にとって自社デバイスが攻撃者のカモにされるのを防ぐのは容易です。アプリやOSを定期的に更新し、デバイスを適切に隔離すれば良いからです。
確実で定期的なOTA更新
デバイスのセキュリティを強化する第一歩は、確実な更新ポリシーです。現在のスマートホームを構成する多くのデバイスは、エンドユーザーの操作がなければ更新を受信しません。つまり事実上、まったく更新を受信しないということです。これでは将来の未知数の脅威を受け入れるのと同じです。
ここではアプリもOSの両方が重要です。アプリの脆弱性は各デバイスに固有のものであり、ソフトウェアの脆弱性を見つけて解決するのはデバイスメーカーの仕事です。一方、OSの脆弱性に対するパッチはOSのメンテナーが配信する必要があります。UbuntuとUbuntu Coreに関しては、Canonicalがセキュリティメンテナンスや他の多くのサービスを提供しています。
システムの隔離
自社デバイスを保護するための2番目の対策は、特に多くのアプリやサービスを実行する新しい世代のデバイスについて言えることですが、各アプリを十分に隔離して脆弱性が広がらないようにすることです。たとえばUbuntu Coreは、この隔離をシステム全体に適用し、そのようなセキュリティの脆弱化を防ぎます。
おそらく攻撃者は、時間とリソースさえあればどんなシステムにでも侵入できます。ただし容易な標的から狙うことは間違いありません。企業にとって重要なのは、攻撃者にとって自社デバイスの攻撃にかかるコストを利益より大きくすることです。
御社のスマートホームデバイスのセキュリティを強化する方法について詳しくは、ぜひご相談ください。
参考資料
Canonicalは、無線通信規格の標準化団体であるConnectivity Standards Allianceに加盟しています。Ubuntu CoreはMatter規格に適合し、OTA更新とセキュリティメンテナンスに対応する高度なソリューションを提供しています。詳細はこちら。
ニュースレターのサインアップ
関連記事
アプリケーションセキュリティ(AppSec)とは?
サイバーセキュリティの世界は変わりました。サイバー攻撃、マルウェア、ランサムウェアのリスク増大に加え、新しいサイバーセキュリティ規制の圧力、情報漏洩や違反にかかる高額の罰金により、もはやアプリケーションセキュリティ(AppSec)は必須です。 このブログ記事では、このような課題に対処し、基本的なセキュリティ対策を中心として業務やシステムを守る方法を紹介します。AppSecの概要と利点、AppSecの設計と実装に取り組む方法を説明した後、セキュリティに関するCanonicalチームのアドバイスとAppSecのベストプラクティスを検討しましょう。 AppSecとは アプリケーションセキュリティ(略してAppSec)とは、アプリケーションのライフサイクルを通じて脆弱性の悪用を防 […]
ITチームの70%がセキュリティパッチの適用に6時間以上– IDCの最新調査
TL;DR(要約):IDC の新調査によると、70%以上の IT チームが週に 6 時間以上をセキュリティパッチに費やしており、多くが業務負担と感じています。Ubuntu Pro のような自動化されたセキュリティ対応が注目されています。この調査は、CVE 対応やオープンソースの脆弱性管理にも言及しており、Ubuntu Pro の価値が改めて浮き彫りになりました。 ———————————————————————————————————————————— CanonicalとIDC(International Data Corporation)社による最新の調査結果:企業はCVE(共通脆弱性識別子)パッチ適用の指令に従った修正の適用に苦労し、オープンソースサプライチェーンにお […]
脆弱性を見つける方法
脆弱性の評価を行う方法 情報セキュリティの世界は専門用語だらけです。脆弱性関連の用語を見たことがある方ならご存じでしょう。さらに厄介なのは、複数の用語が同じ意味に使用されたり、コンピューター以外の分野で使用される用語が混じっていたりすることです。これは、脆弱性の評価について学びたいと考えている人にとって混乱の元です。ですからこのブログ記事では、Ubuntu環境の脆弱性評価について掘り下げる前に、用語の意味を解説します。 脆弱性とは 脆弱性とは、攻撃者による悪用やユーザーのミスによって損害を引き起こす可能性のあるすべての欠陥です。リスク管理において脆弱性は、脅威の可能性を高める、または攻撃が成功したときの損失を増やす、あるいはその両方によって、リスクを増大させます。 サイバ […]