モノのインターネット (IoT) 製品のセキュリティ確保に手間をかけたくない企業は、自社製品のセキュリティ保護を約束する Cloudflare の新サービス Orbit の利用を検討するかもしれない。
IoTを活用したDDoS攻撃の深刻化
IoTのセキュリティの低さは、今や周知の事実です。昨年は、大規模な分散型サービス拒否(DDoS)攻撃が複数発生し、主要なオンラインサービスに混乱をもたらしました。
大手企業から中小企業まで、ますます多くの企業が自社IoT製品のリリースを急いでおり、将来もあまり明るく見えません。セキュリティは後回しにされがちですが、これは主にセキュリティの欠如が製品購入者に影響を及ぼさないことが主な理由ですが、新機能や低価格が優先されるという側面もあります。メーカーがセキュリティにも配慮するよう促すには、IoT市場に何らかの変化が必要なのかもしれません。
CloudflareはIoTはPC業界とは違うと語る
Cloudflareは、Microsoftが1ヶ月か数ヶ月後に脆弱性を発見しパッチを当てるというPCセキュリティモデルは、数百億台のIoTデバイスには拡張できないと主張している。同社は、両業界が同じような状況にある理由の一つとして、スマートトースターやスマート電球をアップデートしたいと誰も思っていないことを挙げている。
同社の主張はもっともだ。自宅にあるすべての電子機器をアップデートしたい人はほとんどいないだろう。しかし、Chrome、Firefox、その他のアプリで採用されているような自動アップデートを利用するのが解決策として考えられる。
Cloudflareはまた、企業ユーザーでさえIoT製品にパッチを適用しない主な理由は、これらの製品がパッチ適用を想定して設計されていないためだと述べた。同社はこの問題の例として、クライスラー・ジープのリモート実行バグを挙げた。このバグは無線によるパッチ適用ができず、140万台のリコールを余儀なくされた。
繰り返しになりますが、企業が実際にソフトウェアのセキュリティと堅牢な更新システムを念頭に置いて製品を設計すれば、これは解決可能な問題のように思われます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Cloudflareの「Orbit」ソリューション IoTセキュリティ問題
Cloudflareは、デバイスメーカーとユーザーの間にサードパーティのセキュリティレイヤーを提供することで、多くのIoTセキュリティ問題を解決できると主張している。同社は、例えば、Jeepのセキュリティ問題は、ファイアウォールを使用して車両の脆弱なソフトウェアへの直接アクセスを制限することで解決できたはずだと述べている。
Cloudflareは、独自のマルウェア対策システムを用いて、既知のマルウェアがネットワークを通過するのをフィルタリングします。さらに、顧客は、Windowsユーザーがデフォルトのファイアウォールルールに加えて独自のルールを作成するのと同様に、Cloudflareのファイアウォールに独自のルールを記述して、デバイスに影響を与えることができます。
Cloudflareは、すでにOrbitセキュリティレイヤーで1億2000万台のIoTデバイスを保護しており、スマートドアロックを製造するLockitronもこのセキュリティの恩恵を受けている企業の1つであると述べた。
「製品と顧客の安全を守ることが私たちの最優先事項です」と、Lockitronの共同創業者であるポール・ゲルハルト氏は述べています。「Cloudflareは、デバイスを常に最新の状態に保ち、あらゆる脆弱性を未然に防ぐためのセキュリティレイヤーを追加してくれます」とゲルハルト氏は付け加えました。
古いセキュリティ問題に対する古い解決策
CloudflareはIoT業界はPC業界とは異なると考えていますが、IoTデバイスのセキュリティエコシステムは90年代のWindowsセキュリティによく似ています。IoTデバイスが90年代のWindowsマシンのようなものだとすれば、Cloudflareのソリューションは2000年代のセキュリティソリューションと言えるでしょう。
ファイアウォールは2000年代に人気が高まり始めましたが、それ以来、ファイアウォールが決して侵入不可能ではないことが分かってきました。実際、GoogleやDuoなどの企業は、すでに境界防御から脱却し、より高度なエンドポイントセキュリティやその他の最新のセキュリティシステムを導入し始めています。
だからといって、Cloudflareのソリューションが、IoTセキュリティの荒廃した現状において、優れたソリューションではないということではありません。Orbitは、市場に出回っている多くのIoT製品のセキュリティを大幅に向上させる可能性があります。しかし、PC市場で起こったように、このソリューションだけでは不十分になるのは時間の問題かもしれません。IoTメーカーは最終的に、エンドポイントセキュリティと堅牢なアップデートシステムの組み合わせこそが最善のセキュリティであることに気付くでしょう。
