はじめに
この記事は、IoTのテストに関するネットの記事を読んでいく、「IoTテスト アドベントカレンダー」の2日目の記事です。1日目はコチラ。
プロファイル
タイトル: 『IoT Testing Guides』
著者: Open Web Application Security Project
参照サイト: OWASP Internet of Things Project
ポイント
1日目に扱った資料でも、IoTのテストの課題の1つに「セキュリティ」がありました。今日の資料(現時点ではドラフト版) は、IoTのテストにおけるセキュリティ面での配慮事項を、10のカテゴリに分けています。プライバシーも、セキュリティの一部として扱われています。
それぞれのカテゴリについて、配慮事項の例を1つずつ挙げておきます。フルバージョンは原本をご確認ください。
十分でない認証/認可
パスワード復旧の仕組みセキュアでないネットワークサービス
バッファオーバーフロー、ファジング、DoS攻撃に対する応答プライバシーへの配慮
収集する個人情報の量を決定する方法セキュアでないクラウドインタフェース
APIインタフェースやクラウドベースのインタフェースといったセキュリティの脆弱性への対応十分でないセキュリティ設定
暗号化オプション(AES-128がデフォルトになっている場合に、AES-256を有効にする)が利用可能かの検討セキュアでないソフトウェア/ファームウェア
デバイスアップデートの機能と、脆弱性が発覚した場合に迅速にアップデートできることの確認貧弱な物理的セキュリティ
デバイスにおいて、使用する物理的な外部ポート(たとえばUSBポート)が必要最低限であることの確認
所感
最初の方を読むと、Webアプリケーションのセキュリティチェックで聞いたような話ではありますが、モバイル、インフラ機器、組み込み、それぞれについて配慮すべきポイントが書かれていることがわかります。1番目と6番目、2番目と6番目と7番目は、かなり重複していますが、別の部位であることは意識しておく必要があるでしょう。IoTにはインタフェースがたくさんあり、それは攻撃のポイントもたくさんあるということですね。各分野のプロフェッショナルが持っている「これがセキュリティテストである」という知見を持ち寄って整理する必要がありそうですね。
3日目はコチラです。(12月3日の0時に公開されます)