12/14/2016

IoTベンダーへの5つの質問

ISC Diaryより。コメントに「IoTベンダー = ハンロンの剃刀」というのがあった。

今年は、IoTの悪用が始まり、それがメインニュースになった年だった。Mirai、車へのハッキング、ユビキタスルータの悪用がセキュリティ会議の外でも議論されている。時々持ち上がる一つの疑問はIoTセキュリティにとってふさわしい最低基準は何かということだ。今日、デフォルトのパスワードや基本的なウェブアプリケーションのセキュリティ上の欠陥が一番の問題である。しかし我々全員、一つの脆弱性が解決されれば、さらに2つ以上の脆弱性が見つかることを知っている。「脆弱性のない」製品を実現することをベンダーに要求することは非現実だ。では、我々はベンダーに何を要求すべきか?

1 - デバイスを購入後、どのくらいの期間、セキュリティアップデートを期待すべきか?

今日、購入したデバイスが脆弱性だと分かったら、予期されるより早くデバイスをリプレースする必要ないことを保証するため、数年間はパッチを提供するようベンダーに求めるべきだ。脆弱性がソフトウェアでパッチ可能ではない可能性は常にある。例えば、デバイスがいくつかの暗号アルゴリズムをサポートしていて、このアルゴリズムを最適化する独自ハードウェアを持つ場合、それが欠陥だと分かった場合にはアルゴリズムを変更できないだろう。この場合、ベンダーはデバイスをリコールする必要がある。「ライフサイクルの終了ポリシー」の一環として、ベンダーはこのケースで行うことを詳しく説明すべきだ。コンシューマ向けのデバイスに、私はベンダーがデバイスの販売を停止した後、5年間セキュリティパッチを期待したい。(私はコンシューマベンダーがこのようなことを行なっているかどうか分からない。私はいくつか尋ねたところ、彼らはデバイスの「サポート終了(EoL)」を宣言された日に基本的に全てのサポートが終了すると私に言った。そして、その数ヶ月前に発表を見るかも知れない)。

2 - セキュリティアップデートについてどのように知るか?

ベンダーは新しいアップデートの更新を受け取る方法を提供すべきである。私は、電子メールメッセージ形式が好きだが、デバイスの管理インタフェースの通知は最低限、最新のファームウェアバージョンがデバイスのものであるかどうかをチェックできるようなウェブページを作ってほしい。

理想的には、標準的なウェブサービスがいいが、私はそういったもののための提案を見たことはない。このデバイスの最新のファームウェアのバージョンを返すのに、単純にシリアル番号、モデル番号(あるいはMACアドレス)を付けてGETリクエストをするのがいい。

3 - デバイスのペネトレーションテストを共有できるか?

私は不愉快な情報を期待していない。しかし、私が知りたいこと: テストをすることに気を使ったか... あなたが公表する詳細なレベル、ペネトレーションテストを実行している会社がベンダーを選ばせる差別要因になるかもしれない。あなたがセキュリティプログラムを持っているなら、ペネトレーションテストのレポートを教えてほしい。

4 - どのように脆弱性を報告できるか?

あなたは世界最高のハッカーではないかもしれない。新しいルータのセキュリティテストを行うことに興味がないかもしれない。しかし、誰もが脆弱性を報告できる必要がある。バグバウンティは素晴らしいが、脆弱性の報告に関する説明(PGP鍵を含む)のウェブページは簡単に見つけるができるだろう。

5 - 暗号を使うなら、何のアルゴリズムでどう実装されているかを公表しているか

今はより特有の問題に陥っている。しかし、暗号はしばしば間違って行われている。どのようなオプションをサポートしているか? MD5が使える唯一のハッシュ関数か? 私に伝えたくない場合、あなたはそれを「プロプライアタリ」と言うだろう。すると、私はあなたの競争相手に助けを求めるだろう。SSLライブラリはTLS 1.2をサポートしているか? あるいはあなたはopenssl 0.9.6lが問題ないと思っているか? 私が知りたい理由: 私は、暗号に関して行なっていることやそれをどのように実装したかを文書化することが十分に重要な課題だとあなたが考えていたことの確約がほしい。それでもあなたは間違っているかもしれない。しかし、それが十分重要だと考えるなら、正しく理解する可能性が高まる。


それでは一体なぜこれらの5つの質問をするのか? なぜもっと尋ねないのか? 私は全ベンダーがパスすべき最低限の水準だと考えている。もっと聞きたいことはあるが、これらの5つの問題は数ヶ月おきに更新する必要がない時間を問わないものにすべきである。私は5つ全てを回答するベンダーを知らない。エンタープライズや産業用システムにフォーカスしているベンダーから回答を得られる可能性は高い。コンシューマレベルのベンダーからはほとんど期待しないことだ。しかし、これらの質問の全てあるいは一部に回答するベンダーを知っているなら、コメントしてほしい(あなたがベンダーなら: 知らせて下さい)。

ヨハネス・ウルリッヒ