IoT機器の脆弱性課題

 
IoT機器が多様性を見せるなかで、その脆弱性に対する対応は重要性を増しています。トレンドマイクロが2020年1月〜9月の間に、被害を受けた法人／団体が インターネット上で情報公開した事例を集計した数値によると、公開事例のうちおよそ4件に1件で脆弱性が悪用されているとのことです。
 
なかでも深刻な脆弱性には共通点がいくつかあります。汎用ソフトウェアのため導入機器が多い、または広く普及しているソフトウェアであるということ。公開されている攻撃手法がある、または攻撃可能性が実証されている。そして、自社製品が対象製品かどうかが追跡困難またはパッチ作成・適用が困難な環境であることにあります。
 
こうしたIoT時代における課題は、機器の数・種類が多い、情報ソースが多い、関係者が多いといった情報の多さにあります。情報が多いと、現場が最も必要としている確定情報を得ることが難しくなるからです。トレンドマイクロでは組織におけるの対策、『効果的かつ効率的な情報収集の方法』と『万が一のリスクを軽減する方法』をあらかじめ取り決めておくほかに、リソースも限りがある中で効果的な対処を行うには『対処すべきリスク』と『保有してもいいリスク』を判別することが大切であるとしています。
 
このなかでも情報収集のフェーズをいかに効果的なモノにするかが重要です。確定情報を持っているベンダとの密な連携はもちろん、信頼できる第三者による情報提供は有効となります。
 
『トレンドマイクロ「iot security」』
（出典：トレンドマイクロ「iot security」より）
 

ライフサイクルの長いIoT機器サポート

 
IoT機器は通常のIT機器と違い、そのサポート年数は最長で20年ほどになるなど、長期使用が前提となります。サイバートラスト株式会社は5日、IoT機器の長期使用を実現するサービス「EM+PLS（イーエムプラス）」を機能強化すると発表しました。
 
EM+PLSは、IoT用Linuxと製品の長期利用を支援するサービスで、IoT機器の「設計・開発」から「生産・保守・保全」「廃棄・再利用」の段階に至るまで、ライフサイクルを通したIoT機器の信頼性の担保と継続的開発が可能な環境を実現できるとして2019年10月より同社が提供しています。長期運用が求められる産業機器を製造しているメーカーに対して、長期間の脆弱性パッチ提供や、安全なリモート更新機能、IoT機器が本物であることを担保するトラストサービス（IoT機器管理機能）、脆弱性検査ツールなどを提供するものです。
 
今回の機能強化では、産業グレードの長期利用を実現するIoT機器向けLinux OS「EMLinux」が、リネオソリューションズ株式会社の組み込みLinux高速起動ソリューション「LINEOWarp!!」に対応しています。この機能強化により、アプリケーションが起動している時のメモリ状態をあらかじめ記憶媒体にスナップショットイメージとして保持しておき、起動時にそのイメージをメモリに展開してOSの起動処理を省略することでシステムの起動を高速化することが可能となります。
 
省電力のため利用時以外は電源を落としている機器（車載機器、複合機など）や、バッテリー駆動のコンシューマ機器（IoT家電など）、瞬断から迅速な復帰が求められる機器（建機、パネコン、エレベーターなど）、緊急時に電源を入れて利用する医療機器などにおいて、特にその効果が享受できるでしょう。
 
多様化し、情報ソースが多くなりすぎたIoT機器には、このような一元管理・サポートができるような仕組みが今後も重要になってくるでしょう。
 
『サイバートラスト、IoT機器の長期使用を実現するサービス「EM+PLS」を強化』
（出典：2020年11月5日　クラウドWatch記事より）
 
＊＊＊＊＊＊＊＊＊