顧客が IoT 製品を概念化して設計する場合、エンドツーエンドの完全にセキュアな IoT ソリューションの提供が必要な新たな義務があることに気づくべきです。市場と対象アプリケーションの領域に応じて、これには以下が含まれます。
- IoT の新しい規制コンプライアンス要件
- サイバーシールド法
- IoT 改善法
- 2021 年 5 月 12、日国家のサイバーセキュリティ改善に関する大統領令
- 英国 IoT 行動規範
- IoT デバイス、ネットワーク、インフラストラクチャ、アプリケーションによって処理されるデータに影響を与える、データプライバシー規制
- カリフォルニア州消費者プライバシー法 CCPA、 SB-327
- 一般データ保護規則 GDPR、EU におけるデータ保護およびプライバシーに関する EU 法
- 医療情報プライバシー HIPAA
- 設計および実装のセキュリティ要件に影響を与える業界標準とベストプラクティス
- セキュアな IoT デバイスの NISTIR 8259 コア・サイバーセキュリティ機能のベースライン
- ETSI 技術仕様 TS 103 645 および ENISA 欧州規格 303 645 – 消費者のモノのインターネット向けサイバーセキュリティ
- NIST SP-800 および NIST SP-1800 の出版物
- 情報セキュリティ基準の ISO/IEC 27000 シリーズ
- OWASP 組み込みアプリケーション・セキュリティ
- 製品セキュリティ認証
- ioXt Aliance デバイス認証プロファイル
- ARM PSA(レベル 1、2 および 3)
- FDA が承認した医療機器(例:DTSec SESIP)
- FIPS 140-3、暗号化モジュール検証プログラム(CMVP)
- UL の IoT セキュリティ評価
このリストは、IoT エンドツーエンドのセキュリティ要件に関するごく一部のヒントに過ぎません。 上記に加え、IoT セキュリティ侵害の数ある公開済みのインシデントにおいては、セキュリティ・インシデントや攻撃の規模、頻度、重大性が増大し、デバイスの侵害、データの盗難/紛失、アプリケーションやクリティカルシステムの中断につながっていることからも明らかなように、顧客は製品に対する実際のサイバーセキュリティ脅威や重大なサイバーセキュリティ脅威に対処する必要があります。
これらの要件に取り組むために必要なセキュリティの複雑さや専門知識のレベルを考え、どのように始めたら良いのでしょうか?
最初のステップは、セキュリティ評価を実施し、脅威の状況を調査し、あらゆるレベルで顧客の IoT 製品に影響を与えるリスクと脆弱性に対して、より明確で一貫した全体像を把握することです。実際に、最初のステップとしては、脅威モデリングとハンズ・オン・ペネトレーション(pen)テストを使い、特定の脅威を評価して、発見することになります。脅威評価と脆弱性テストは、理想的にはデバイスレベルだけでなく、ネットワーク・レイヤー(ワイヤレスメッシュネットワーク、RF プロトコル、モバイルデバイス接続など)も含める必要があります。また、顧客のクラウド、データ、アプリケーション層に存在するセキュリティとコントロールも対象にし、機械学習、データ管理、分析、自動化に関するプライバシーの問題も対象とします。このテストは、設計、生産、デバイス・ライフサイクル・プロセスの実装の一環として、顧客が対処する必要のあるセキュリティ要件の範囲と詳細を完全に理解できるように、包括的で専門的なものでなければなりません。
IBM X-Force Red は、対象分野の専門家とペンテスターを提供しており、当社の顧客と協力して上記を正確に実行できます。焦点を絞った脅威モデリング・ワークショップから始めることで、具体的な規制上のニーズ、プライバシーの懸念、基準、認証要件を探索できます。また、顧客が検討し、軽減策を設計すべき特定の脅威モデルとシナリオについても議論できます。このワークショップの後、顧客は、上記の分野の一部またはすべてに対する特定のペンテストなどのその他のアクティビティなど、ハイレベルなアクション・ロードマップが提供されます。顧客は、IBM と直接連携して評価を行い、詳細を得ることができます。また、これらの評価活動の成果を使用して、当社の製品セキュリティ機能、Secure Vault、CPMS、そして今後提供される IoT セキュリティのその他の機能をいかに活用すべきかを知らせることができます。
IBM のテクノロジーパートナーページにアクセスするには、こちらをクリックしてください
