「OWASP IoT Top 10 2018」について解説(ラック) | ScanNetSecurity
2019.10.14(月)

「OWASP IoT Top 10 2018」について解説(ラック)

ラックは、2018年末にOWASPより公開された「OWASP IoT Top 10 2018」について、同社セキュリティ診断サービス部の三井宏弥氏が「ラックピープル」において紹介している。

製品・サービス・業界動向 業界動向
株式会社ラックは1月29日、2018年末にOWASPより公開された「OWASP IoT Top 10 2018」について、同社セキュリティ診断サービス部の三井宏弥氏が「ラックピープル」において紹介している。OWASP IoT Top 10 2018は、Webアプリケーションのセキュリティに関するオープンソースのコミュニティであるOWASP(Open Web Application Security Project)が作成したもの。

OWASP IoT Top 10では、開発者、製造業者、企業、消費者がIoTシステムの作成や利用に関してより良い判断をするために、避けるべきセキュリティ上の注意点がTop 10形式で説明されている。内容は次の通り。

I1:Weak, Guessable, or Hardcoded Passwords
(強度の弱いパスワード、推測可能なパスワード、もしくはパスワードのハードコード)
 総当たり攻撃で容易に解読される認証情報や、ありがちな認証情報を使うこと、あるいは認証情報が変更できないこと。ファームウェアやクライアントソフトウェアのバックドア機能には、デプロイされたシステムに対して本来許可されていないアクセスを提供するものもある。

I2:Insecure Network Services
(安全でないネットワークサービス)
 デバイス上に不要な、もしくは安全ではないネットワークサービスが動作しており、特にインターネットに公開されているもの。これにより、情報の機密性、完全性・信頼性、可用性が侵害されたり、不正なリモート制御を許したりしてしまう。

I3:Insecure Ecosystem Interfaces
(安全でないエコシステムインタフェース)
 デバイス外部のエコシステムに、デバイスや関連コンポーネントへの侵入を許してしまう安全でないWeb、バックエンドAPI、クラウド、もしくはモバイルのインタフェースがあること。認証・認可の欠如、暗号化の欠如もしくは脆弱な暗号化、入出力のフィルタリングの欠如がよくある問題として挙げられる。

I4:Lack of Secure Update Mechanism
(安全な更新メカニズムの欠如)
 デバイスを安全に更新するための機能が欠如していること。デバイス上でのファームウェア検証、安全な配信(データ送信中に暗号化されていない)、ロールバック防止機構、更新によるセキュリティ変更の通知の欠如などがある。

I5:Use of Insecure or Outdated Components
(安全でない、もしくは古いコンポーネントの使用)
 デバイスの侵害につながる非推奨、もしくは安全でないソフトウェアコンポーネント・ライブラリを使用していること。オペレーティングシステムのプラットフォームに対する安全でないカスタマイズや、侵害されたサプライチェーンからのサードパーティ製ソフトウェアやハードウェアコンポーネントの使用などもある。

I6:Insufficient Privacy Protection
(不十分なプライバシー保護)
 利用者の個人情報がデバイス上やエコシステム内に保存されており、その利用者の個人情報が安全に使用されていない、不適切に使用されている、もしくは利用者の許可なく使用されていること。

I7:Insecure Data Transfer and Storage
(安全でないデータの転送と保存)
 保存中、転送中、処理中といったエコシステム内のあらゆる場所での機微データの暗号化やアクセス制御が欠如していること。

I8:Lack of Device Management
(デバイス管理の欠如)
 資産管理、更新管理、安全な廃棄、システム監視、レスポンス機能といった、本番環境にデプロイされたデバイスへのセキュリティ機能が不足していること。

I9:Insecure Default Settings
(安全でないデフォルト設定)
 デフォルトの設定が安全でない状態で出荷されたデバイスやシステムのこと。もしくは、使用者がシステムをより安全な状態にするための機能が制限されているデバイスやシステムのこと。

I10:Lack of Physical Hardening
(物理的なハードニングの欠如)
 物理的なハードニング対策がなされていないこと。そのため、潜在的な攻撃者が、リモート攻撃やデバイスのローカル制御を奪うために有益となる機微情報を入手できてしまうこと。

ラックピープルでは、OWASP IoT Top 10の上位3つの項目について概要を説明しているほか、「IoTシステムに特有のリスク、Webシステムと共通するリスク」を紹介し、「IoTエコシステム全体のセキュリティ対策が必要」とする提言を行っている。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊21周年記念価格提供中★★
★★10/8~11/30迄 創刊21周年記念価格提供中★★

2019年10月8日(火)~11月30日(土) の間 ScanNetSecurity 創刊21周年記念価格で提供。

×