組み込みネットワーク機器は、低価格化が進むにつれて(その好例がRaspberry Piです)、今やあらゆる場所で使用されるようになりました。しかし、この普及の隠れた代償として、こうしたデバイスはセキュリティに欠け、悪用されやすいという負の側面があります。セキュリティへの投資を行わなければ、デバイスから動画、画像、音声などの個人情報が流出したり、デバイスがボットネットに乗っ取られ、世界中を大混乱に陥れることになりかねません。
エッジコンピューティングとは
エッジコンピューティングとは、集中していたコンピューティングリソースをデータの発生源の近くに分散させるというパラダイムシフトです。これによって、多くのメリットが生まれます。
- 切断時操作
- 応答時間の高速化
- 各領域のコンピューティングニーズのバランスを向上
図1が示すように、クラウドインフラストラクチャはエッジでデバイスを管理しています。IoT(モノのインターネット)デバイスは、エッジゲートウェイなどのエッジデバイスを介してクラウドに接続し、グローバルな通信を最小限に抑えます。
図1:クラウドインフラストラクチャとエッジのコネクテッドデバイスとの関係を示すエッジコンピューティングアーキテクチャ図。(画像:執筆者)
ドイツの統計データベース会社Statistaは、2018年にIoTコネクテッドデバイスの数は世界で230億台であったと推定しており、専門家はこの数が2025年には750億台にまで増加すると予測しています。2016年にIoTデバイスを標的とし、数百万人のインターネットアクセスを妨害したマルウェア「Mirai」は、IoTデバイスのセキュリティ強化の必要性を示唆しています。攻撃者は特定のデバイスのエクスプロイトを見つければ、他の同一デバイスにもそのエクスプロイトを一斉適用することができるのです。
エッジでのデバイスの数が増えるにつれて、デバイスのリスクも高まっています。注目されたいため、あるいはボットネットを拡散させるために悪用を試みる攻撃者たちにとって、コネクテッドデバイスは格好の標的です。そこで今回は、エッジコンピューティングデバイスを保護する方法について見ていきたいと思います。
デバイスを保護するには
デバイスが悪用される手口を理解するには、攻撃対象領域と言われるものに注目する必要があります。デバイスの攻撃対象領域とは、攻撃者が悪用したり、デバイスからデータの抽出を試みることのできるあらゆる攻撃点を表します。攻撃対象領域には次のようなものがあります。
- デバイスに接続するネットワークポート
- シリアルポート
- デバイスのアップグレードのためのファームウェア更新プロセス
- 物理的デバイス
攻撃ベクトル
攻撃対象領域は、デバイスが外界にさらされている領域を指し、セキュリティのための防御の焦点になります。デバイスを保護するには、デバイスの潜在的な攻撃ベクトルについて理解し、攻撃対象領域を小さくすることが必要です。
一般的な攻撃ベクトルには以下があります。
- インターフェイス
- プロトコル
- サービス
図2を見ると、攻撃ベクトルは、ネットワークやローカルのインターフェイス、デバイス上で実行されているファームウェアの周辺の攻撃対象領域、さらには物理的パッケージ自体にもあるのがわかります。次に、さまざまな攻撃ベクトルに目を向け、その対策方法について見てみましょう。
図2:シンプルなエッジデバイスの潜在的な攻撃ベクトル (画像:執筆者)
~その2に続く
著者
M・ティム・ジョーンズ
組み込みファームウェアアーキテクトとして30年以上のアーキテクチャ開発実績を持つ。ソフトウェア・ファームウェア開発関連の著書数冊、執筆記事多数。エンジニアとしての実績は、地球周回軌道宇宙船のカーネル開発から組込みシステムアーキテクチャ・プロトコル開発まで多岐にわたる。
0 件のコメント:
コメントを投稿