2020年の画期的なIoTサイバーセキュリティ改善法は、政府と業界のモノのインターネット(IoT)セキュリティ標準の新時代を告げるものです。 この新しい法律と、SSL.comがIoTメーカーが新しい標準とベストプラクティスに準拠し続けるのにどのように役立つかをご覧ください。
概要
最近の問題について普遍的な合意を見つけるのは難しいです、しかし、米国議会の両院は満場一致で承認した HR1668/S.734 2020年のIoTサイバーセキュリティ改善法、4年2020月XNUMX日に法案に署名される前。法案の簡単な通過は、連邦政府のモノのインターネット(IoT)セキュリティ標準の開発と実装に対する幅広い超党派の支持を示しています。 ハウス法案の要約から:
この法案では、米国国立標準技術研究所(NIST)と行政管理予算局(OMB)が、モノのインターネット(IoT)デバイスのサイバーセキュリティを強化するための特定の措置を講じることを求めています。 IoTは、インターネット接続を物理デバイスや日常のオブジェクトに拡張したものです。
具体的には、この法案は、NISTが、政府機関が所有または管理し、政府機関が所有または管理する情報システムに接続されたIoTデバイスの適切な使用と管理に関する連邦政府向けの標準とガイドラインを作成および公開することを求めています。これには最小限の情報セキュリティが含まれます。そのようなデバイスに関連するサイバーセキュリティリスクを管理するための要件。
IoTサイバーセキュリティ改善法に基づき、NISTの基準はXNUMX年ごとに見直され改訂されます。 米国行政管理予算局(OMB)は、「情報システムのセキュリティの脆弱性に対処するために、必要に応じてポリシー、原則、標準、またはガイドラインの実装を開発および監督します」。 IoTメーカーにとって最も重要なことは、「IoTデバイスの使用が規格やガイドラインへの準拠を妨げると代理店が契約のレビュー中に判断した場合、代理店はIoTデバイスの調達、取得、または使用を禁止されている」ことです。国家安全保障、研究目的、またはそのようなデバイスが代替の効果的な方法を使用して保護されている場合。」
IoTセキュリティ改善法の通過は、IoTのプライバシーとセキュリティを保護することを目的とした法律を最近可決した州の主導に従います。 カリフォルニア • オレゴン.
この法律は、連邦政府が調達するデバイスの規制を対象としていますが、セキュリティ擁護派は、それがIoTセキュリティ標準と民間部門のベストプラクティスの確立にもつながることを期待しています。 で ブログ投稿 ioXTアライアンス、IoTセキュリティ標準を推進する業界グループであるCTO Brad Reeは、次のように述べています。「これは米国政府固有のものですが、ネットワークオペレーター、消費者エコシステム、小売業者がデバイスセキュリティ認証に追随するきっかけとなると確信しています。前進します。」
IoT(イン)セキュリティ
新しいIoTサイバーセキュリティ改善法は、他の州法や業界のイニシアチブとともに、現在提供されている巨大な攻撃対象領域への対応です。 文字通り数十億 心臓モニターからSUVに至るまでのインターネット接続デバイスの。 安全でない「スマート」デバイスの悪用について考えるとき、侵害されたという有名な話 監視カメラ or スマートロック プライバシーの侵害や財産犯罪のリスクを最初に頭に入れるかもしれません。 ただし、次のようなことができる巨大なボットネット 大規模なサービス拒否攻撃 また、現実かつ現在の危険でもあります。 セキュリティ研究者のElieBursztein 説明する 2016 Miraiボットネット:
2016年1月のピーク時に、Miraiは、大規模な分散型サービス拒否攻撃(DDoS)を介して、OVH、Dyn、Krebs onSecurityなどのいくつかの注目を集めるサービスを一時的に機能不全にしました。 OVHは、これらの攻撃がXNUMXTbpsを超えたと報告しました。これは公記録で最大です。
これらの記録破りの攻撃で注目に値するのは、ホームルーター、大気質モニター、個人用監視カメラなどの小型で無害なモノのインターネット(IoT)デバイスを介して実行されたことです。 私たちの測定によると、Miraiはピーク時に、600,000万を超える脆弱なIoTデバイスを奴隷にしました。
...
デバイスを危険にさらすために、MIRAIの初期バージョンは、IoTデバイスで一般的に使用される64のよく知られたデフォルトのログイン/パスワードの組み合わせの固定セットのみに依存していました。 この攻撃は非常にローテクでしたが、非常に効果的であることが証明され、600,000を超えるデバイスの侵害につながりました。
ユーザーや管理者が変更することのない、簡単に推測できるデフォルトの資格情報が付属する何百万ものデバイスを想像してみてください。 このような「ローテク」ブルートフォースアプローチの成功の可能性は簡単にわかります。これが、連邦政府が緩いIoTセキュリティにこのような関心を持っている理由のXNUMXつです。 (興味深いことに、そしておそらく注目を集めることを避けるために、Miraiボットは 回避するようにコーディング 米国国防総省および郵便局およびInternetAssigned Numbers Authority(IANA)のスキャン時のIPアドレス。)
もちろん、インターネットに接続されたデバイスを admin
• password
管理者の資格情報は素晴らしいスタートになるでしょう。 そして、以下で見るように、認証 クライアント証明書 パスワードの安全な代替手段です。 SSL.comがIoTメーカーがデバイスのセキュリティを向上させ、政府や業界の標準に準拠し続けるのに役立つこの方法やその他の方法を見つけるために読んでください。
SSL.comがどのように役立つか
2020年のモノのインターネットサイバーセキュリティ法の満場一致の通過、および業界がそれに続くという期待は、IoTメーカーの今後の道筋にはより厳しいセキュリティ基準と規制への準拠が含まれることを示しています。 デジタル証明書 • 主催 PKI SSL.comは、メーカーがIoTデバイスを保護するための優れた方法です。 デジタル証明書と公開鍵インフラストラクチャ(PKI)は、現代のインターネットとIoTセキュリティの基礎のひとつであり、法律の下で新しい標準が起草されるにつれて、ますます重要になるでしょう。
デジタル証明書
デジタル証明書は、暗号化キーのペアをWebサイト、個人、組織、デバイスなどのエンティティにバインドする特別なファイルです。 認証局(CA) SSL.comのように、証明書を発行する前にこれらのIDを検証します。 デジタル証明書の最も広く知られている使用法は、 SSL /TLS • HTTPS Webサイトを保護するために使用されるプロトコルですが、他にも多くのユースケースがあります。 コード署名 • 文書の署名。 デジタル証明書は以下を提供します:
- 認証、発行先のエンティティのIDを検証するための、暗号で検証可能な資格情報として機能します。
- Encryption、インターネットなどの安全でないネットワークを介した安全な通信用。
-
統合性 証明書で署名されたドキュメントのうち、転送中のサードパーティによって変更されないようにするもの。
IoTセキュリティの観点から、これは次のことを意味します。
- 各デバイスには、製造時に一意のIDとクライアント証明書を提供して、使用できるようにすることができます。 相互 TLS 会社のサーバーで安全に認証します。
- ユーザーのコンピューターとデバイス間、またはデバイスと会社のサーバー間の通信は暗号化され、これらの通信の整合性が保証されます。
- パソコンやモバイル機器にインストールされているクライアント証明書は、 認証要素 ユーザー名とパスワードに加えて(またはその代わりに)デバイスにログインするとき。
- デバイスは、署名されたソフトウェアアップデートのみを信頼するように構成できます コード署名証明書 出版社を特定する。
そして、デジタル証明書と PKI 確立されたセキュリティ標準、次のような標準的な業界プロトコルです ACME、SCEP、およびESTは、デバイス証明書の登録と管理に使用できます。
ホステッド PKI
IDを暗号化キーにバインドし、デジタル証明書を発行するためにCAによって維持されるテクノロジーと手順は、公開キーインフラストラクチャ(または PKI)。 どの組織も独自に運営できます PKI および内部信頼用のCAですが、SSL.comなどの公的に信頼されているCAのみが、現在のすべてのブラウザとオペレーティングシステムによって自動的に信頼される証明書を提供できます。
この普遍的なレベルの信頼を維持するために、SSL.comは、世界中の業界標準および政府規制への準拠を維持するために継続的に取り組んでいます。 私たちのプロセスと施設は毎年厳格に管理されています WebTrust監査 これは、証明書を普遍的に信頼するために必要です。 これらの業界監査はまた、私たちが国のコンプライアンスを維持していることを確認します PKI の基準とガイドライン 政府 世界的に。 私たちは、新しいものへのコンプライアンスを維持することをお約束します PKI 今後の標準と規制—商業的で公的に信頼されているCAとして、私たちのビジネスはそれに依存しています。
IoTメーカーは、SSL.comのインフラストラクチャと専門知識を ホステッドエンタープライズ PKI、公的に信頼されている証明書へのアクセスを提供し、追加の機器や専門スタッフに投資する必要をなくします。 証明書の発行とライフサイクル管理は、次のような標準プロトコルを介して実行できます。 ACME、SCEP、およびEST、またはSSL.comのRESTful SWS API。 個人的に信頼されている PKI SSL.comからも入手でき、一部のアプリケーションに適している場合があります。 読んでください プライベートvsパブリック PKI:効果的な計画の作成 このテーマの詳細については。
IoT向けSSL.comと提携することにより PKI プライベートまたはパブリックの信頼があれば、デバイスで証明書を発行および保守するために導入したシステムとプロセスは、IoTサイバーセキュリティ改善法に基づいてNISTによって発行された規制に準拠し続けることが保証されます。
もっと詳しく知る
SSL.comがIoTメーカーにどのように役立つかについてもっと知りたいですか? 詳細については、これらのSSL.comリソースを確認するか、以下のフォームを送信して、SSL.comのエンタープライズセールスチームのメンバーに連絡してください。
- モノのインターネット(IoT)ソリューション
- SSL /によるモノのインターネット(IoT)の保護TLS
- SSL /TLS ACMEによるIoTの自動化
- SSL /TLS モノのインターネット(IoT)の自動化
- 相互認証によるユーザーとIoTデバイスの認証 TLS