IoTデバイスを保護する方法： IoTセキュリティ要件

IoTセキュリティソリューションの主な要件は次のとおりです。

• デバイスの認証、データの機密性および完全性を含む、IoTデバイスとデータのセキュリティ
• IoT規模でのセキュリティ運用の実装と実施
• コンプライアンス要件と要求への適合
• ユースケースごとのパフォーマンス要件への適合

IoTセキュリティソリューションは、IoTの規模、データセキュリティ、デバイスの信頼性、コンプライアンス要件を満たすために、以下に示す機能ブロックを（分離せずに）相互接続されたモジュールとして実装する必要があります。

• IoTデバイスの信頼性：デバイスのIDと整合性の確立および管理
• IoTデータのトラスト：ポリシー主導のエンドツーエンドのデータセキュリティ、プライバシーの確立から開示まで
• トラストの運用化：実証済みのテクノロジーと製品の、自動化とインターフェイスを標準装備。（例： PKI製品）

IoTセキュリティに加えるためには、接続されている各デバイスに一意のIDが必要です。IPアドレスを取得する前であっても同様です。 このデジタル資格情報により、初期設計から導入、廃棄まで、デバイスのライフサイクル全体に対する「信頼の基点」が確立されます。

Entrustは、nShieldハードウェアセキュリティモジュール（HSM）を、Entrustテクノロジーパートナーのサポートセキュリティアプリケーションと組み合わせることで、メーカーが利用できる最も強力な暗号化処理、鍵の保護、および鍵の管理を活用して各デバイスに一意のIDを提供できるようにします。 デジタル証明書が各デバイスに組み込まれると、以下のことが可能になります。

• アーキテクチャに導入された各デバイスの認証
• デバイス上のオペレーティングシステムとアプリケーションの整合性の検証
• デバイス、ゲートウェイ、クラウド間の安全な通信
• 承認されたコードに基づいた、公認ソフトウェアとファームウェアの更新

多くの組織がIoTのセキュリティガイドラインを作成しています。 それには以下が含まれます。

• IoT Security Foundationの「Best Practice Guidelines」
• Open Web Application Security Project（OWASP）の「Security Guidance」
• Groupe Spéciale Mobile Association（GSMA）の「GSMA IoT Security Guidelines & Assessment」
• 米国 モノのインターネット（「IoT」）デバイスでのセキュリティの実装に関する米国商務省国立標準技術研究所（NIST）の特別刊行物800-160（「ガイダンス」）
• クラウドセキュリティアライアンス（CSA）の「Future Proofing the Connected World: 13 Step to Developing Secure IoT Products」

強力なIoTデバイス認証がないと、IoTに接続されたデバイスが本来の目的どおりに動作していると確信を持って信頼することはできません。 したがって、各IoTデバイスには、デバイスがゲートウェイまたはセントラルサーバーに接続しようとしたときに認証できるような、一意のIDが必要です。 この一意のIDを使用することで、各デバイスのライフサイクル全体を追跡し、安全に通信して、有害なプロセスの実行を防ぐことができます。 デバイスが予期しない動作をした場合は、簡単にその権限を取り消すことができます。

安全性に欠けたプロセスで製造されたIoTデバイスを使用すると、犯罪者が生産工程を改ざんして認証されていないコードを持ち込んだり、その後に闇市場で販売する余分なユニットを生産したりする隙を生んでしまいます。

製造プロセスを保護する方法の1つが、ハードウェアセキュリティモジュール（HSM）とそれをサポートするセキュリティソフトウェアを使用して暗号鍵とデジタル証明書を組み込み、構築されるユニットの数とそれぞれに内蔵されているコードを制御する方法です。

マルウェアに感染したソフトウェアから企業、ブランド、パートナー、ユーザーを保護するために、ソフトウェア開発者はコード署名と呼ばれる手法を採用しています。 IoTでは、ソフトウェアリリースプロセスでのコード署名によってIoTデバイスソフトウェアとファームウェアの更新の整合性を確認できるようになっています。また、IoTソフトウェアのコード改ざんのリスクや、組織のポリシーから逸脱したコードによるリスクからも保護できる仕組みです。

公開鍵暗号化では、コード署名は証明書ベースのデジタル署名の特定の使用法であり、組織がソフトウェア発行者の身元を確認し、ソフトウェアが発行されてから変更されていないことを証明できます。

今日のオンラインには、地球上の人々よりも多くのもの（デバイス）が存在しています。 デバイスはインターネットのナンバーワンユーザーです。安全な運用のためには、デジタルIDが必須です。 競争力を維持するためにビジネスモデルの変革を狙う企業が増えており、そのような企業がIoTテクノロジーを急速に取り入れています。そのため、モノのインターネットの公開鍵インフラストラクチャ（IoT PKI）に対する需要が高まっています。 PKIは、増え続けるデバイスと、それらが実行するソフトウェアおよびファームウェアにデジタル証明書を提供します。

安全にIoTを展開するためには、デバイスが本物だとか、本物だと言われているからというだけで信頼するのではなく、収集するデータが本物で改ざんされていないことを確認して、はじめて信頼できるということを忘れないでください。 IoTデバイスとデータを信頼できない場合、そこからの情報に基づいて収集、分析、意思決定を実行しても意味がありません。

IoTを安全に取り入れるために必要なことは以下のとおりです。

• 接続されたデバイスとアプリケーション間の相互認証を可能にする
• デバイスが収集したデータの整合性と機密性を維持する
• デバイスにダウンロードされたソフトウェアの合法性と整合性を確保する
• より厳しいセキュリティ規制を考慮して機密データのプライバシーを保護する