Language
埋め込み侵入テストを採用してIoTデバイスの安全性を確保
ホームページホームページ > ブログ > 埋め込み侵入テストを採用してIoTデバイスの安全性を確保
最新ニュース

埋め込み侵入テストを採用してIoTデバイスの安全性を確保

Aug 07, 2023

IoT と接続デバイスの導入が進むにつれ、組織は組み込みシステムのセキュリティに焦点を当てる必要があります。

多くの組織はアプリケーションとネットワークの侵入テストを定期的に実施していますが、接続されているデバイスの脆弱性を評価することを忘れることがよくあります。 組み込み侵入テストは、IoT 製品を含む接続されたデバイスの潜在的な弱点を分析します。

セキュリティ チームや関心のある個人が適切な組み込み侵入テストを実施できるよう、Jean-Georges Valle は『実践的なハードウェア侵入テスト』を執筆しました。 Valle は、そのキャリアの中で、組み込み侵入テスト、セキュリティ アーキテクチャ、およびリスク管理に取り組んできました。 彼は現在、サイバーリスクと金融サービスのコンサルタント会社であるクロール社の上級副社長を務めています。

この本は現在第 2 版で、組み込みデバイスの脆弱性や弱点をテストするための攻撃的な手法を実行する方法を読者に教えています。

目標はソフトウェアの侵入テストと同じですが、テスターに​​とっては異なるエクスペリエンスになります。 「これは実践的な活動だ」とヴァジェ氏は語った。 「あなたはデバイスを物理的に操作しています。はんだ付けをしたり、部品を開けたり、物理デバイスをリバースエンジニアリングしたりしているのです。」

Valle氏はインタビューの中で、組み込みシステムのセキュリティ、組み込み侵入テストにおける課題、および侵入テストの実施方法について語った。

組み込み侵入テスト中に動的リバース エンジニアリングを実施する方法を説明する第 10 章の抜粋を確認してください。

編集者注: 以下のインタビューは、明確さと長さのために編集されています。

組織がより適切に対処する必要がある組み込みシステムのセキュリティに関して、最大の弱点は何ですか?

Jean-Georges Valle: 最大の弱点は、組み込みシステムが単独で存在することがないことです。 彼らは常にバックエンド上の何かと対話し、クラウド内のどこかにある他のサービスと対話します。 そこからの問題は、これらの組み込みシステムやデバイスは一般に完全に信頼されており、攻撃ベクトルではないと見なされていることです。

この考え方はまったく真実ではないことに私は気づきましたが、残念です。 攻撃者は、組織の IT インフラストラクチャへの攻撃経路として組み込みデバイスやシステムを利用し、そこから侵入する可能性があります。 組み込みデバイスに関する信頼に関するこの誤った考え方により、最小特権、強化、セグメンテーションなどの通常の原則が忘れられてしまいます。 組織は、組み込みデバイスとその潜在的な脆弱性を見逃している可能性があります。 これにより、コマンド インジェクションなどの一般的な攻撃ベクトルにさらされたり、組み込みデバイスが API キーなどの機密情報にアクセスしたりすることになり、攻撃者はそれを使用して IT インフラストラクチャを深く調査することができます。

IoT や同様のデバイスのセキュリティの向上に関して、最近組織からの評価が高まっていることに気づきましたか?

Valle: 多少はありますが、これは主に欧州連合による組み込みシステムのセキュリティの取り締まりによるものです。 EU は、2022 年のサイバー レジリエンス法の提案で、この種のデバイスに対する法的制約を導入しました。 この法律は、接続されたデバイスが準拠する必要があるセキュリティ ベースラインを確立します。準拠しないと CE マーキングを取得できないため、事実上、欧州経済領域で販売できないことになります。 業界には組み込み機器を強化するインセンティブがなかったため、規制当局が介入して取り締まりを開始する必要がありました。

多くの場合、ベンダーはデジタル製品を他の業界とは異なる扱いをし、セキュリティインシデント後の責任を一切負うことを拒否します。 たとえば、店に行ってアップルパイを買って中毒になった場合、その食品の製造者が責任を負います。 これはデジタル製品では実際にはそうではありませんが、規制の観点から見ると変化しており、これは良いことです。 現在、メーカーが脆弱なデジタル製品を販売した場合、責任を問われる可能性があります。 このため、メーカーは自社製品を再考し、安価で安全性の低い接続デバイスを提供することに注力しなくなりました。

組み込み侵入テストの目標は、従来のネットワークまたはアプリケーションの侵入テストと同じですか?

ヴァジェ:はい。 デバイスの問題を見つけてメーカーに知らせ、メーカー自身のリスク管理を支援することは一般的です。 結局のところ、自動車、産業用 PLC [プログラマブル ロジック コントローラー]、IoT 製品、または Web サイトの侵入テストを行う場合でも、リスク管理を支援するという目標はすべて同じです。 IoT デバイスが LED が点滅する箱ではないため、一見すると明らかにコンピューターではないからといって、メーカーや組織がリスクの責任を負うのに役立つテストが必要ないというわけではありません。 彼らは依然として、自分たちがさらされているリスクについて知りたいと考えています。