「F5 DevCentral」は、191ヶ国、160,000人の技術エキスパートのコミュニティサイトであり、日々最新情報がアップデートされています。今回投稿されたブログは、F5ネットワークスのテクノロジー・エバンジェリストであるPeter Silvaのブログ投稿「Internet of Things OWASP Top 10」を元に、日本向けに再構成したものです。
IoTに対する注目度はますます高まっており、IoT関連の製品やサービスも続々と登場しています。ここで重要な課題になるのが、セキュリティをどのようにして確保するかです。今回はOWASP(Open Web Application Security Project)が公開している「OWASP Internet of Things Top Ten Project」を元に、OWASPが挙げる10のセキュリティリスクと、それらに対する対応方法を紹介します。
ブログのハイライト
1.OWASPのセキュリティリスク「Top 10 リスト」
2.IoTにおけるリスク Top 10とそれらへの対応方法
以下にブログの冒頭より一部をお伝え致します。全文は、Dev Centralにおいて、こちら(https://devcentral.f5.com/articles/iot-top-10)よりお読みいただけます。
Webアプリケーションのセキュリティ向上を目的としたプロジェクトとして、OWASP(Open Web Application Security Project)というものがあります。OWASPはWebアプリケーションのセキュリティリスクに対し、全世界の個人や企業、その他の組織が適切な情報に基づく判断を行えるよう、セキュリティを取り巻く状況の可視化や、ベストプラクティスやフレームワークの紹介等を行っています。
OWASPはこの活動の一環として、最もクリティカルとされる10種類のセキュルティリスクを「OWASP Top 10 リスト」としてまとめています。このリストにはそれぞれのリスクについての説明の他、脆弱性の事例、攻撃の事例、回避手段に関するガイド、関連情報へのリンクが記載されています。これは優れたリストであり、セキュリティ関連ベンダーが「自社製品やサービスがどのようなタイプの攻撃を軽減できるのか」を示す際にも、引用されることが少なくありません。
OWASPではこれまでにもWebアプリケーションに関した「Top 10 Most Critical Web Application Security Risks」を公開していましたが、IoT(Internet of Things:モノのインターネット)に関しても同様の「OWASP Internet of Things (IoT) Top 10」(英語のみ)を作成し、公開しています。
IoTとは、身の回りにある様々なモノ、例えば冷蔵庫やトースターといった家電製品、寒暖計等のセンサー類、自動車等が、インターネットに接続されて互いにデータを送受信する世界を意味しています。このような家電製品や日用品によるインターネットアクセス実現に関心を持つベンダーを支援することが、「OWASP Internet of Things (IoT) Top 10」の目的です。このリストではIoT対応の機器やサービスのセキュリティリスクのうち、上位10項目を順に取り上げ、それぞれについての対応策を紹介しています。
ここでは2014年度の「OWASP Internet of Things Top 10」に含まれる項目を紹介すると共に、OWASPが示す対応策についてもまとめて掲載しておきます。
1 Insecure Web Interface(セキュリティが確保されていないWebインターフェイス)
Webインターフェイスのセキュリティを確保するには:
・最初のアカウント設定時に、パスワードをデフォルトのものから変更するよう、必ずユーザに要求してください。できればユーザ名も変更できるのが理想的です。
・十分に堅牢なパスワード再設定メカニズムを実装してください。またパスワード再設定メカニズムや新規ユーザページなどから、正規アカウントの情報が特定できないようにしてください。
・ウェブインターフェイスに、XSS(クロスサイトスクリプティング)やSQLインジェクション、CSRF(クロスサイトリクエストフォージェリ)への脆弱性が存在しないことを確認して下さい。
・内部ネットワーク/外部ネットワークに関わらず、アカウント情報がネットワークトラフィックに露出しないようにしてください。
・脆弱なパスワードは許可しないでください。またログインに3~5回失敗した場合には、そのアカウントをロックアウト(一時的に使用不可能に)してください。
2 Insufficient Authentication/Authorization(不十分な認証)
十分な強度を備えた認証を実現するには:
・「1234」などの簡単なものではなく、推測されにくい強力なパスワードを要求してください。
アカウント情報がプレーンテキストで伝送されていないことを確認してください。
・パスワードの複雑度設定や使用履歴の確認、有効期限設定等、パスワード制御に関する必要機能を実装してください。また新規ユーザの場合には、必ずパスワード変更を強制してください。
・漏洩によって重大な問題を引き起こす機密性の高い情報にアクセスする場合には、ユーザの再認証を要求してください。
・インターフェイスがユーザのロール(役割)に応じて分離可能であることを確認してください。例えばアドミニストレータは全ての機能にアクセスできる一方で、一般ユーザはアクセス可能な機能を制限する、といった対応が必要です。
・ユーザが本来持っている権限を超えた権限を取得できる「特権昇格(privilege escalation)」が行えないことを確認してください。
・必要であれば、よりきめ細かいアクセス制御を導入してください。
・アカウント情報が適切に保護されていることを確認してください。
・必要に応じて二要素認証(ニ段階認証)を実装してください。
・パスワード再設定メカニズムが安全であることを確認してください。
・パスワード制御の設定に関しては複数の選択肢を用意してください。
こちらより先はDev Central(https://devcentral.f5.com/articles/iot-top-10)において全文をご覧ください。
企業プレスリリース詳細へ
PRTIMESトップへ