> > PKI:IoT における認証の問題を解決

RSSフィード

PKI:IoT における認証の問題を解決

ガートナー社によると、公開鍵暗号基盤(PKI)は IoT の認証という課題に取り組む企業において最適な技術の一つとして再浮上するであろうとのことです。

229323511.jpgビッグデータとコネクティビティによって、私達の生活の仕方と仕事のやり方は大きく変化してきています。毎日のようにデバイス、製品、システムなどを、グローバルなインターネットに接続し、指先の操作だけでリッチなデータを取得する能力を得ることにより、我々は意思決定やパターン分析を改善することができ、ビジネスにおいては利益向上が図れるようになりました。このように全ての物をインターネットに接続しようという動きは、しばしば IoT (物のインターネット)と呼ばれています。

しかしながら、次世代のスマートカーや工場設備、ホームオートメーションシステム、またはネット接続型の医療デバイスなどの発売を急ぐあまり、情報セキュリティがないがしろにされることがまだあまりに多い状況があります。製品は広告通りに確実に動作することが常に優先されてきました。設計からセキュリティを組み込むことが IoT 発展における次なる重要過程であり、デバイスとシステムの認証は、破局的な攻撃を回避するために非常に重要となります。

公開鍵暗号基盤(PKI)は、SSL/TLS 電子証明書による e-commerce サイトの認証及び暗号化方法として幅広く応用されていますが、この技術は 現在、使用されている IoT デバイスやシステムに対しても柔軟性があり、かつスケーラビリティのある対応が可能です。

ガートナー社の分析では、公開鍵暗号基盤(PKI)は IoT の認証という課題に取り組む企業において最適な技術の一つとして再浮上すると予測しています。システム要件が変わる複合プラットフォーム、マルチプロトコル上で本人性を示す時、PKI の柔軟性は非常に重要です。ガートナー社は、ディスカバリー(デバイス・IT リソース等の検出・特定)、プロビジョニング(利用開始までの準備、ID 管理・提供)、認証、並びにデータ保護が今後 5 年間で、セキュリティ費用全体の半分を占めると予測をしています。

進化する脅威

ここ数年のうち市場に導入されるコネクテッド・デバイス(ネット接続可能なデバイス)の数は指数的に拡大すると予想されています。
ガートナー社の予測では 2020 年までに世界中で 250 億台の IoT デバイスが導入され、これは全世界の人口 1 人当たり平均 3 台のコネクテッド・デバイスがあることに相当します。

これらのデバイスに対して攻撃も急激に増え、新たな脅威と脆弱性が現れることにより IoT 市場の成長だけでなく、日々の生活さえも脅かされています。
2008 年には、ハッカーがトルコの石油パイプラインの監視カメラの機能を不能にしたうえに、犯行に気付かれないよう、警報と通信を遮断して、パイプラインの油圧を急激に上昇させました。これによって、設備管理者に油圧上昇の警報が届かず、結果として大爆発を引き起こすことになりました。さらに最近では、ハッカーが病院の点滴用ポンプを攻撃し、これにより本来患者の命を救うために投与する治療薬の量を増加、変化させ得ることを動画サイトで見ることが出来ます。このような報告に対応して米国の FDA (食品医薬品局)はインスリン投与に関しての脆弱性に対して警告文を出し、続いて、関連する医療用デバイスの販売後のサイバーセキュリティ管理に関してのガイドラインを発表しています。

セキュリティ専門機関によると、昨年、MRI から血液ガス測定装置に至る医療用デバイスの脆弱性を突いて 3 つの病院でハッキングされたことが報告されています。また、セキュリティ研究者がジープのコントロールを奪い、側溝に乗り入れる実験が動画サイトで広く視聴されています。別の例では、スマートライフル(コンピュータを搭載して自動的に目標位置を捕捉・修正してくれるライフル銃)のハッキングや、ベビーモニター(離れた部屋、場所で赤ちゃんの様子を音や映像でモニタリングする機器)を乗っ取り、幼児に直接話しかけるなどの例が報告されています。

これらの多くは現時点ではまだデモンストレーションに過ぎませんが、セキュリティの意識が高まらない限り、悪意をもった賢いハッカーによりコネクテッド・デバイスとシステムの脆弱性がつかれて、事業、地域社会、国家レベルにおいて甚大な被害が発生するのは時間の問題だとされています。

IoT デバイスから送られる重要なメッセージの完全性を保つためには、デバイスの検出・認証・データ暗号化の機能が必要になりますが、PKI の技術は、それら機能をデバイスに組込むための拡張性のある道を提供します。

全ての"物"を認証できる PKI

市場に導入される、IoT と十数億のコネクテッド・デバイスの課題は"信頼"です。Web 上では、非常に大量の情報が流れているため、誰が情報を送信・受信できるか特定するのが極めて重要となります。これには、クラウドからデバイス、そして、そのデバイスに接続するユーザーにいたるまでしっかりとした認証が必要となります。

IoTでは危険性はさらに高まります。情報が間違った相手に渡った場合、また、情報の完全性(=内容)が通信中、変えられた場合、例えば、点滴やペースメーカーを信頼して使っている患者や時速70マイル(時速約 112 キロ)で高速運転中のドライバーなど、人命にも係わってきます。どんな組織であっても、IoT のデバイスやシステム導入においては、必ず、信頼できる認証を付与しなければなりません。しかも、大量に必要です。

PKI を利用してください

PKI は相互接続性を目的にオープンスタンダードを採用していることから、異なるプロトコルやプラットフォームであっても様々なケースにおいて適応可能です。また、PGP のような、より個人に依存した認証や暗号化とは対照的に、何十億もある IoT デバイスや IoT システムの導入に際して PKI は電子証明書で集中制御が可能であり、スケーラビリティに優れています。デバイス個々に付与される秘密鍵により、認証された情報だけが安全にデジタル信号のトンネルを通過でき、暗号化により監視や侵入の目も避けられます。このような技術は既に先進的な企業により試みられています。例えば、Plex と DigiCert 社では 2015 年 6 月に、TLS 証明書により何千万台にも及ぶデバイスとサーバーの安全確保を実現するためのパートナーシップ締結を発表いたしました。

これはほんの序章であり、PKI は、医療用機器、産業用システム、スマートホーム、スマートシティ、そして、数多くの次世代製品をセキュアに接続するために使われるでしょう。IoT がまだ発展途上の間に、セキュリティを正しく導入し、脆弱なデバイスなどが被りえる甚大な被害を防がなければなりません。

近未来の"コネクティッド・ライフスタイル"に向けた電子証明書管理とは

IoT においては迅速かつスケーラビリティがあり、しかも信頼性の高い電子証明書の導入が必要とされます。公共のインターネットなどを経由し通信する場合、企業は公的に信頼できるルート認証機関を使って、ユーザーが認証された Web サイトに接続されていることが分かるようにする必要があります。クローズドに運営される別の IoT 環境の一部では、公共のルートは必要とされません。この場合、プライベート PKI の運用を行えば良いわけですが、それでも信用のおけるパートナーだけが提供し得る電子証明書の洗練された自動化と管理システムは不可欠となります。

公的な信頼性の要否に関わらず、企業側はデバイスを特定し、信頼できる電子証明書を提供し Web サーバーやネットワークの接続を認証し、転送されるデータを暗号化しなければなりません。統合的な電子証明書の管理システムは大量にこのようなことが処理可能です。PKI の技術により IoT デバイスとシステムを危険から守る、三つの基本的シナリオを以下に記載します。

配信サービスやプラットフォームサービス向けの電子証明書の配付

pki-iot-figure-01.jpg

電子証明書管理の機能は、先進的 IoT 開発プラットフォームに組込まれ、スタック(基盤ソフトウエアやコンポーネント)の一部として機能する、サービスとしての高信頼の認証を提供する。

電子証明書の配付:デバイスへの直接配付

pki-iot-figure-02.jpg

応答性の優れた API を用いて、電子証明書要求が電子証明書管理ポータルに対して行われ、認証・暗号化用の公開鍵・秘密鍵ペアも含め、デバイスが自動的にプロビジョニング(利用可能にするために準備)される。

電子証明書の配付:製造工場の電子署名

pki-iot-figure-03.jpg

電子証明書が製造過程で署名済みのデバイスに配付され、組み立てラインに認証の機能が提供されて、製造時に安全性が組み込まれる。

DigiCert は IoT を念頭に置き、現代的かつ頑健な電子証明書管理プラットフォームを構築しています。
このプラットフォームには、REST プロトコルを使った柔軟で応答性の高い API と、CDN により電子証明書の有効性を業界一早い応答時間で確認できる OCSP、そしてシームレスに何十億もの電子証明書に対応可能なことが確認されているクラウドベースの電子証明書管理システムが含まれています。
DigiCert の先進的な電子証明書管理システムCertCentral® は、高速インストールコマンドにより、IoT プラットフォームとの間の電子証明書配付をシンプルにします。また、各企業は、IoT の脆弱性につながり得る、電子証明書の失効や不正使用をモニタし、また、不完全な機器設定やベストプラクティスからの逸脱などを調べるための、電子証明書の状態把握のユニークな機能が利用可能となります。

待ってはダメ。今すぐ PKI を使いましょう。

PKI は IoT において認証を必要とする様々な物に対し、オンラインの本人性を提供できる、最も拡張性の高い、柔軟かつ確立したソリューションです。PKI をいかに今後開発される IoT デバイスと管理システムに組み込み、有効に活用できるかが、IoT の今後の発展に影響していくでしょう。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事: PKI: Solving the IoT Authentication Problem - [2016 年 3 月 23 日投稿]