F5ネットワークスジャパンは9月8日、Internet of Things(IoT)のセキュリティリスクをブログで解説した。
ブログは、Webアプリケーションのセキュリティ向上を目的に活動するOWASP(Open Web Application Security Project)が公開する「OWASP Internet of Things(IoT) Top Ten Project」から、OWASPが挙げる2014年度の上位10項目のセキュリティリスクとその対策を紹介している。
リストには、脆弱性の事例、攻撃の事例、回避手段に関するガイド、関連情報へのリンクが紹介されている。信頼性が高く、セキュリティ関連ベンダーが「自社製品やサービスがどのようなタイプの攻撃を軽減できるのか」を示す際にも、引用されることが少なくない。
トップ10のセキュリティリストは以下の通り。
- セキュリティが確保されていないWebインタフェース
- 不十分な認証
- セキュリティが確保されていないネットワークサービス
- 暗号化されていないトランスポート
- プライバシーに関する懸念
- セキュリティが確保されていないクラウドインタフェース
- セキュリティが確保されていないモバイルインタフェース
- 不十分なセキュリティ設定
- セキュリティが確保されていないソフトウェア/ファームウェア
- 物理的セキュリティの脆弱さ
最もセキュリティリスクが高いものに「セキュリティが確保されていないWebインタフェース」。対策として、最初のアカウント設定時に、パスワードをデフォルトのものから変更するよう、必ずユーザに要求する、脆弱なパスワードを使わない、内部ネットワーク/外部ネットワークに関わらず、アカウント情報がネットワークトラフィックに露出しないようにするなど、最も基本的なセキュリティ対策が挙げられている。
Webアプリケーションへの攻撃の脅威となるXSS(クロスサイトスクリプティング)やSQLインジェクション、CSRF(クロスサイトリクエストフォージェリ)への脆弱性が存在しないことを確認するようにと、注意を促している。
2位は「不十分な認証」。強度を備えた認証を実現するためには、「1234」などの簡単なものではなく、推測されにくい強力なパスワードを要求する、パスワードの複雑度設定や使用履歴の確認、有効期限設定等、パスワード制御に関する機能を実装する、ニ段階認証を採用するなど、パスワード管理の重要性を強調している。
また、ユーザー自身が与えられた権限を上回る操作をする「特権昇(privilege escalation)」が行えないことを確認するなど、改めて内部にいるユーザー権限の把握・再設定することが重要だと述べられている。
3位は「セキュリティが確保されていないネットワークサービス」。ネットワークサービスのセキュリティを確保するために、使用機器が開いているポートを、ポートスキャナで確認する、DoS攻撃やバッファオーバフロー、ファジング攻撃への脆弱性や、UDPサービス関連の脆弱性等をテストした上で、必要最小限のポートのみを開けるなど、ポート管理の再点検が必要だとしている。