Kaspersky Lab、IoTセキュリティの強化に向けてITU-Tと協力

～ 新しい国際標準「Security capabilities supporting safety of the Internet of things (IoTの安全を支援するセキュリティ能力)」（ITU-T勧告Y.4806）の策定に参画 ～

[本リリースは、2018年2月14日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

2018年1月、国際電気通信連合電気通信標準化部門（ITU-T）の研究委員会20「IoTとスマートシティ・コミュニティ」が策定した、新しい国際標準「Security capabilities supporting safety of the Internet of things (IoTの安全を支援するセキュリティ能力)」（ITU-T勧告Y.4806）の正式運用が開始されました。この新しい標準は、IoTに関連するセキュリティの課題の分類、セキュリティシステムへの脅威の可能性の調査、そしてセキュリティ能力に裏付けられたIoTシステムの安全な実行をもたらします。Kaspersky Labは、同研究委員会のメンバーとして、ITU-T勧告Y.4806の策定に大きく貢献しました。

2017年12月に発生した産業用制御システムを狙ったTRITONマルウェアの攻撃によって、セーフティーシステムに対する攻撃は、情報面のみならず機能面でも安全性に影響を与えうることが明らかになりました。また、Kaspersky Labが2017年に実施した調査の結果^※では、中小企業と大規模企業の両方に最も深刻な経済的影響をもたらした3大インシデントに、コンピューター以外のコネクテッドデバイスが引き起こしたインシデントが含まれ、その件数が増加していることもわかっています。

Kaspersky Lab ICS CERTのエキスパートグループは、IoTへのサイバー脅威拡大に対応し、業界に不可欠な標準を作るため、ITU-T勧告Y.4806の策定に積極的に貢献しました。具体的には、ITU-T勧告Y.4401/Y.2068（Functional framework and capabilities of the Internet of things）で定義されたセキュリティ能力のうち、どれがIoTの安全な実行をサポートするかを決定するために、IoTフレームワークのセキュリティ関連の最新具体例を挙げた助言をおこないました。ITU-T勧告Y.4806は主に、工業用オートメーション、自動車システム、運輸、スマートシティ、ウェアラブルおよびスタンドアロンの医療用デバイスなど、安全性が極めて重視されるIoTに適用されます。さらに、ITU-T勧告Y.4806は、脅威とセキュリティ能力の解析をどのように使えば、IoTのさまざまな用途に対応するセキュリティ要件を確立できるかについても検討しています。

Kaspersky Lab ICS CERTは、IoTシステムにおける一般的な脆弱性を挙げています。

1. Webアプリケーションの不十分な保護
2. 自前で貧弱な暗号の実装
3. PLCのファームウェアに格納され、高い権限で密かにリモートアクセスできるような埋め込み認証情報
4. 任意のコード実行
5. 権限のエスカレーション

Kaspersky Lab ICS CERTが策定した勧告では、上記の脆弱性に加えて発生頻度の低いIoTセキュリティの課題に対応するために、まずIoTシステムへ及ぼす影響の種別の検討から始め、機能面での安全性に対する脅威の分析とモデル化を実施した後、セキュリティ対策への勧告を策定する方法を説明するとともに、具体的な例を挙げて解説しています。TRITONのような産業用制御システムへの攻撃を回避するため、同社のエキスパートはITU-T勧告Y.4806に従って、以下の実施を強く推奨しています。

• 信頼性が高く、攻撃への耐性が強い通信インフラストラクチャと監視メカニズムを導入すると同時に、管理と制御のための相互認証および権限付与を行う
• 管理と制御の手続き、および攻撃検知メカニズムの監査を実装する
• 機器および通信チャネルに対する負荷を監視するメカニズムを実装する。これには、意図的ではない高負荷とDoS攻撃の両方の検知が含まれる

Kaspersky Labのフューチャーテクノロジー部部長、アンドレイ・ドゥフヴァーロフ（Andrey Doukhvalov）は、次のように述べています。「当社の目的は、セキュリティ侵害攻撃への注意を喚起するだけでなく、具体的な要件を策定するための方法論を決定することにもありました。ITU-TのIoTセキュリティ標準に対する貢献は、現代のサイバー脅威に敢然と立ち向かえる効率の良いサイバーセキュリティ戦略を策定する組織を支援するものと信じています」

• IoTインフラストラクチャの保護方法とアドバイスの一覧については、ITU-T勧告Y.4806をご覧ください。
• Kaspersky Labの産業用サイバーセキュリティに関する詳細については、こちらをご覧ください。

※ 企業における情報セキュリティリスク調査（Corporate IT Security Risks survey）は、Kaspersky LabがB2B Internationalと共同で、2011年から実施している年次調査です。2017年は、30か国の小規模企業（従業員数1>～49）、中小企業（同50～999）と大企業（同1,000以上）に勤務する5,274人を対象に調査を実施しました。

■ ITU-Tとは

国際電気通信連合（ITU）の電気通信標準化部門（ITU-T）の研究委員会では、世界中から集まった専門家がITU-T勧告と呼ばれる国際標準を策定しています。この標準では、情報通信技術（ICT）の世界的基盤で使用される要素が定義されます。ITU-Tの研究委員会20（SG20）「IoTとスマートシティ・コミュニティ（IoT and its applications including smart cities and communities：SC&C」は、スマートシティおよびコミュニティにおけるIoTアプリケーションに特に重点を置いて、IoT技術の標準化要件への対応に取り組んでいます。SG20は、M2MコミュニケーションやユビキタスセンサーネットワークをはじめとするIoT技術の調和の取れた開発を実現するための国際標準を策定します。この研究は、IoTで使用されるエンドツーエンドアーキテクチャ、およびさまざまな垂直指向の業界セクタにより採用されるIoTアプリケーションとデータセットの相互運用メカニズムの標準化を中心に進められています。