エンタープライズでIoTデバイスを保護する方法
近年では、相互に接続されたモノのインターネット(IoT)デバイス群の拡大によって、企業が大量のデータの収集、交換、分析、推定を行う方法が変革され、消費者の行動の把握や事業効率の改善から、運営コストの削減、職場全体の安全性の向上に至るまで、あらゆる目的に活用できる洞察が得られるようになりました。
接続されたデバイスの数は増加し続けているため、企業がデバイスを保護し、脅威を阻止することはますます困難になっています。多くの脆弱性を含み、セキュリティ侵害に適した攻撃対象領域を提供しているIoTデバイスは、サイバー攻撃者にとって格好の標的です。IoTの導入に着手したばかりであるか、確立されたIoTネットワークの拡大を検討しているかに関わらず、すべての企業は接続されたIoT環境の管理、監視、保護に関して同じような課題に直面しています。IoTデバイスを適切に保護するために、企業が検討すべきことがいくつかあります。
1. 完全な可視化のためにデバイス検出を採用する
企業が最初に行うべきことは、ネットワークに接続されているIoTデバイスの正確な数を可視化することです。ネットワークに接続されているデバイスのタイプを検出し、すべての接続されたIoT資産の詳細かつ最新のインベントリを保持します。すべてのデバイスを確実に識別するには、専用IoTセキュリティ ソリューションを使用することが最適です。メーカー、モデルID、シリアル番号、ハードウェア、ソフトウェア、ファームウェアのバージョン、基本オペレーティング システム、各デバイスに適用される設定に関する情報を収集します。ネットワーク内の他の接続されたデバイスに適用される、各デバイスとその動作のリスク プロファイルを決定します。このプロファイルは、セグメンテーションと次世代ファイアウォール ポリシーの作成に役立ちます。ネットワークに新しいIoTデバイスが接続されるたびに、資産マップを常に最新の状態に保つ必要があります。
2. 防御を強化するためにネットワーク セグメンテーションを適用する
ネットワーク セグメンテーションのセキュリティ上の目標は、攻撃対象領域を縮小することです。ネットワーク セグメンテーションによって、ネットワークは2つ以上のサブセクションに分割され、デバイスとワークロード間のトラフィックの横方向の移動をきめ細かく制御できるようになります。セグメント化されていないネットワークでは、多数のエンドポイントがパーティション分割なしで相互に直接通信するときに、1回の侵害イベントが横方向に拡散して伝染する可能性が高くなります。これとは対照的に、ネットワークのセグメント化の度合いが高いほど、ハッカーが単一の侵害ポイントとして1つのデバイスを攻撃して、横方向にエクスプロイトを仕掛けることは困難になります。企業は、仮想ローカル エリア ネットワーク(VLAN)の設定と次世代ファイアウォール ポリシーを使用して、IoTデバイスをIT資産から分離するネットワーク セグメントを実装する必要があります。この方法によって、横方向のエクスプロイトのリスクから両方のグループを保護することができます。IoTセキュリティ ソリューションと次世代ファイアウォール間の統合を進めると、次世代ファイアウォールの機能にIoTコンテキストが追加され、ポリシーの作成にかかる時間と労力の両方が低減されます。
3. セキュアなパスワード プラクティスを採用する
パスワードのセキュリティ プラクティスが不十分であれば、IoTデバイスに対するパスワード関連の攻撃に加勢し続けることになります。したがって、強力なパスワード セキュリティを維持することは、IoTエンドポイントを保護するために不可欠です。多くのIoTデバイスには、インターネット上で簡単に見つけることができる脆弱なプリセット パスワードが設定されています。ネットワークにIoTデバイスを初めに接続した直後に、プリセット パスワードをリセットして、セキュアでより複雑なパスワードに変更することをお勧めします。新しいパスワードは、推測が困難であり、保護対象の各デバイスに対して一意であり、ITセキュリティ チームのパスワード ポリシーと管理プラクティスに準拠している必要があります。
4. 利用可能になったときにファームウェアに継続的にパッチを適用し、更新する
ほとんどのITシステムは、通常の更新を通じてセキュリティ上の欠陥にパッチを適用することができますが、IoTデバイスの大部分はこの機能を搭載していないため、セキュリティ上の欠陥がいつまでも残ります。特に寿命が長いIoTデバイスの場合、メーカーがサポートを終了するリスクも高くなります。新しいIoTデバイスをセットアップする場合は、ベンダーのWebサイトにアクセスして、既知の脆弱性に対する新しいセキュリティ パッチをダウンロードします。最新のパッチをデバイスに定期的に適用することが重要であるため、IoTデバイス ベンダーと協力して、反復的なパッチ管理/ファームウェア アップグレード戦略を立ててください。データ損失を防止するために、専用のIoT対応ファイルとWeb脅威防御のほか、侵入防御を通じた仮想パッチ適用機能を追加します。
5. 常にIoTデバイスを能動的に監視する
組織でIoTリスクを管理するには、リアルタイムのモニタリング、レポート、アラートが不可欠です。しかし、従来のエンドポイント セキュリティ ソリューションは、設計上IoTデバイスが対応していないソフトウェア エージェントを必要とするため、従来のソリューションでIoT資産を保護することはできません。アプローチを改善して、既存のセキュリティ体制や次世代ファイアウォールへの投資とシームレスに統合することにより、ネットワークに接続されたすべてのIoTエンドポイントの動作を継続的に分析するリアルタイム モニタリング ソリューションを実装します。
参考資料
複雑なIoTライフサイクルの管理は、組織にとって革新的なアプローチが必要な新しい課題です。弊社による120万台のIoTデバイスの分析を参照してください。2020年Unit 42 IoTに関する脅威レポート では、最も侵害されやすいデバイスとその理由を説明しています。5 Must-Haves for IoT Securityfive(IoTセキュリティの5個の必須機能) のチェックリストを今すぐ作成し、平均的な組織のデバイスの30%を占めているセキュアでないIoTのリスクを排除する方法をご確認ください。