はじめに
この記事は、IoTのテストに関するネットの記事を読んでいく、「IoTテスト アドベントカレンダー」の5日目です。4日目はコチラ。
プロファイル
タイトル: 『Internet of Things (IoT) Security Testing Framework』
著者: ICSA Labs*1
参照サイト: ICSA Labs [pdf]
ポイント
IoTのセキュリティは、デバイス単体で確保できるものではない。セキュリティ志向のIoTのテストを実行するため、具体的でテスト可能な要件のセットを開発するためのドキュメントを提供する。
たとえば以下を定めている。
暗号化
- 暗号アルゴリズム
- 未認証アクセスに対する挙動
通信
- 認証、データ信頼性、データ完全性を提供するセキュアなプロトコル
- 暗号化された認証メカニズム
認証
- アドミン含む全ユーザに対する強力な認可
- 認証のない権限の昇格に対する対応
物理的セキュリティ
- 改竄の形跡を可視化するメカニズム
- 内部コンポーネントへの未認証アクセスを防ぐメカニズム
プラットフォームセキュリティ
- セキュリティに関するコミュニティ内で知られた脆弱性への対応
- 遠隔アップデートのメカニズム
アラートとロギング
- 改竄・攻撃を検知した際のアラート
- 工場出荷状態にリセットされた際のアラート
所感
ICSA Labでは、IoTのセキュリティに関する認証プログラムを提供しているとのことです。以下にインタビュー記事がありますが、認証プログラムが時に飯のタネビジネスに成り下がっていることを指摘し、実効性のある仕組みを作ろうとしていると主張しています。
元記事の内容としてはこれまでの記事と同様、インタフェースが多様さが従来のテスト対象と大きく異なるところでしすが、チェックすべきポイントががらりと変わっているわけではありません。似たり寄ったりなので、考慮事項はある整理しやすそうです。実装はともかく。
6日目はコチラです。(12月6日の0時に公開されます)