2018 年、IoT デバイスのセキュリティ対策がついに義務化されるのか
セキュリティ専門家の Bruce Schneier 氏が昨年発表した論文で、IoT デバイスセキュリティを「目に見えない公害」と呼び、デバイス製造元の安全な製品の開発につながる市場インセンティブがないと述べました。それを裏付けるかのように、2017 年にはウォッチガードでも Mirai や Reaper などの IoT ボットネットを使った大規模 DDoS 攻撃がいくつも検知され、ウェブカメラ、デジタルビデオレコーダ、スマート電球などの安全性の低い大量のデバイスが悪用されました。2018 年にこれらの攻撃がさらに深刻化した場合、IoT デバイスに関する法規制が課されることになるのでしょうか。
ウォッチガードの脅威アナリスト、Marc Laliberte が先日、このトピックに関するコラムを Help Net Security に寄稿しました。Marc は、Reaper などの攻撃が Mirai など初期のボットネットから進化を遂げたことを考えれば、2018 年にはボットネット攻撃の被害がさらに深刻化し、政府も IoT デバイスに関する法規制の整備に乗り出さざるを得なくなるだろうと予測しています。記事の中から、具体的な法規制の予測に関する部分を抜粋して、以下に紹介します。
法規制の具体的な内容を正確に予測するのは簡単ではありませんが、最も高い可能性として、おそらく、IoT デバイス製造元に対して、最低限のセキュリティ要件の順守が求められるようになるでしょう。最も簡単なものとしては、Telnet や SSH によるリモートアクセスがデフォルトで無効にする(または完全に削除する)、ハードコーディングされたパスワードの使用を禁止する(または少なくともセットアップ時にパスワード変更を要求するようにする)、最低でもデバイスの最初の出荷日に最新であるセキュリティパッチを必ず適用するといった要件が考えられます。これらの法規制が市場インセンティブとなり、製造業者がセキュリティ対策を実施してから製品を市場に投入するようになることが期待されます。
詳細は Help Net Security で記事全文(英文)をお読みいただき、IoT デバイスのセキュリティについては、2018 年のセキュリティ予測を参照してください。