> > PKI で IoT のセキュリティを確保する

RSSフィード

PKI で IoT のセキュリティを確保する

PKI はなぜ IoT における最強のセキュリティソリューションなのか ~ DigiCert と Leidos のセキュリティエキスパートが語る

125192411.jpg

<本記事は、DigiCert が主催したウェビナー内容の概略です>

ウェビナーの主題は PKI を使ってモノのインターネット(IoT:Internet of Things)環境を保護することの重要性です。DigiCert のチーフセキュリティオフィサー ジェイソン・サビンと Leidos のチーフエンジニア ブライアン・ラッセルの 2 人がプレゼンターを、DigiCert の ジェフ・チャンドラーがモデレーターを務め、IoT 環境におけるコネクテッドデバイスのセキュリティを確保することの必要性について述べ、先進企業が個人情報およびデータの大規模な保護に PKI をどのように活用しているかを紹介しました。

なぜ PKI なのか

IoT の急速な成長には目を見張るものがあります。ほぼあらゆるシステムのデバイスやオブジェクトがインターネットに接続され、自動処理を行って便利な機能を提供したり、データを収集して共有したりし始めています。しかしながら、企業は IoT で消費者の信頼を得ると同時に、信頼性が高く大規模なセキュリティを確保し、自社の知的財産や投資を守らなければなりません。IoT の成長は、こうした難題を企業に突き付けることにもなっています。この IoT のセキュリティに関する課題を解決する最強かつ最適なソリューションが PKI です。

PKI とは、簡潔に説明すると、大規模な認証と信頼性の高い暗号化によって最終的な信頼を確保する技術であり、その効果は実証されています。ところが、PKI は複雑すぎる、あるいは難しすぎると思い込み、代わりの方法として「IoT インフラストラクチャーを保護する独自の仕組みを編み出そう」とする企業や顧客がいまだにいます。実は、PKI ソリューションはスケーラブルで柔軟な性質を持っており、コネクテッドデバイスのセキュリティにぴったりなのです。PKI では、データの整合性を確認するために次の技術が使われています。

暗号化:転送データを暗号化します。

認証:ネットワークを介して情報を交換するユーザー間の信頼関係を確認します。

署名:起動中に構成設定やソフトウエア、ファームウェアなどが改ざんされていないことの検証、デバイスの更新情報が信頼された発信元から受信したものであることを検証します。

自社 IoT 環境の保護に PKI を使うことを検討する企業は増えています。そこで、Sabin と Russel は、認証局の機能やプロビジョニング、導入など、さまざまな利用例に合わせて PKI インフラストラクチャーを構築する場合に注目したい主要ポイントを挙げました。

証明書に基づく手法のセキュリティ上の利点

デジタル証明書を利用する PKI は、窓のブラインドや空気清浄機、ごみ箱など、意外な設備に使われています。専門家が IoT デバイスのセキュリティ保護に証明書ベースの手法を薦める理由は、多要素認証といった適切なセキュリティ対策の実装を証明書がサポートしているからです。もっと具体的に言えば、TLS は証明書に基づく双方向の認証(例:デバイス~サーバー間、デバイス~デバイス間の認証)をサポートします。

IoT について詳しい方であれば、MQTT や CoAP、XMPP、DDS、HTTP/REST といったメッセージングプロトコルについて聞いたことがおありでしょう。企業によっては(例えば、MQTT および REST プロトコルを IoT サービスに利用している Amazon)、TLS 証明書による保護の多層化が必要となることもあります。特に MQTT プロトコルの場合は、TLS 層の追加は不可欠です。なぜなら、MQTT のマシン間認証オプションは、ユーザー名およびパスワードをクリアテキストで送信する方式だからです。総合的に言えば、ネイティブプロトコルを使うのか、ラッパー方式とするのかには関係なく、IoT のセキュリティには証明書ベースの手法を採用することを薦めると Russel は強調しています。それによって典型的な対称鍵管理方式の弱点を回避し、より柔軟なスケーラビリティを実現して、証明書に加えて、証明書に使う鍵のペアを体系的に管理できるようになります。

証明書ライフサイクル管理の利点

PKI インフラストラクチャー内のデジタル電子証明書は柔軟であり、多くの利用例が考えられます。一般的に、証明書は、発見、分析、調達、準備、管理、監視、改善のライフサイクルを経ることになります。ただし、IoT においてはデバイスや証明書の利用法が多岐にわたるため、証明書の管理ライフサイクルが従来とは大きく異なるものになることがあります。
そこで、多くの企業は、PKI を個々の利用法に合わせてカスタマイズするため、証明書のライフサイクル管理に関する専門知識とプラットフォームを提供できる DigiCert などの商用認証局を使っています。証明書の準備や失効、適切な構成を行うには、洗練された自動処理と保守が必要になってきます。信頼性の高い認証局であれば、こういったタスクを提供できます。

セキュリティベストプラクティスの利用

自社のシステムに対する責任を果たし、どこで鍵と証明書が利用されているかを把握しておくことは、組織にとって非常に大切です。鍵と証明書の管理に関するベストプラクティスとして Sabin と Russel が挙げたものの中から 5 点を以下に紹介します。

  1. エンタープライズレベルの管理と監視:プラットフォームを監視すれば、鍵と証明書を細かく追跡し、証明書の期限切れにともなうローテーションを行うことができます。
  2. 検知:企業インフラストラクチャー内で不正な実装が行われた場合にいち早く識別できます。
  3. レポート:コンプライアンスレポートは、業界別に法規制上の要件に沿ったものを作成する必要があります。
  4. 監査:監査記録を標準化して出力をセキュリティティ情報/イベント管理システム(SIEM:Security Information Event Management)に統合してください。企業が抱える大量のデバイスを管理・監視するときは、監査が非常に重要です。
  5. アクセス管理:厳格なアクセス管理を行えば、システム内のオブジェクトに対する柔軟な設定が可能になります。

まとめ

ウェビナーの締めくくりとして、Sabin と Russel は IoT における PKI の利用例、クラウド型 IoT サービスにおける PKI の利用、プライバシー関連の留意事項について触れました。これらの中から、IoT における PKI の利用に関する全体的なポイントを以下にまとめます。

  • 自社の IoT 展開に必要な認証の優先順位を決定すること
  • 自社のニーズを評価するにあたって、PKI の専門家に相談すること
  • 標準化を待ってはいけない。投資を守るには今すぐ行動を起こすこと
  • 自社の幹部や役員に対する啓蒙を進め、必要に応じてポリシーを更新すること
  • 自社の IoT セキュリティ活動の助けとなるパートナーを見つけること
  • 業界の協業の枠組みに参加すること(CSA IoT WG)

「PKI で IoT のセキュリティを確保する」ウェビナーを視聴する:PKI は柔軟でスケーラブルなソリューションです。IoT サービスを提供するプロバイダやメーカーは、今すぐ IoT に対する投資の保護に向けた行動を起こしてください。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: Using PKI to Secure the IoT - [2016 年 7 月 25 日投稿]