IoT とクラウド コンピューティングの統合では、どのようなセキュリティ上の課題に直面しますか?

人、物、デバイス、ビジネスを結びつけるテクノロジーであるモノのインターネット (IoT) の採用がますます増えています。そして、COVID-19パンデミックの時代において、モノのインターネットは社会的交流を最小限に抑えるための世界的なソリューションの1つになりました。クラウド コンピューティングとモノのインターネットを組み合わせることで、企業の業務運営における最も深刻な問題や課題を解決できます。しかし、遠隔制御デバイスの需要の増加により、モノのインターネットとクラウド コンピューティングのセキュリティに関する懸念が生じています。企業がすでにデジタル変革を実現しているか、変革の旅を始めたばかりであるかにかかわらず、モノのインターネットとクラウド コンピューティングの統合によるセキュリティ リスクに直面することになります。幸いなことに、これらのリスクを軽減する方法はあります。

IoTクラウドセキュリティの課題

以下は、IoT とクラウド コンピューティングの統合によって直面するセキュリティ上の課題の一部です。

（１）集中アクセス

クラウド内のファイアウォールで保護された API ゲートウェイは、受信トラフィックと送信トラフィックを制限します。 IoT とクラウド コンピューティング テクノロジーのこの機能により、ネットワーク攻撃対象領域が縮小されます。同時に、ファイアウォールの有効性についての疑問も生じます。ネットワークの攻撃対象領域を縮小すると、標的がより目立つようになり、ハッカーにとってより魅力的になります。

（２）エッジとクラウドコンピューティングプラットフォーム間の安全でない通信とデータフロー

アクセス制御は、ユーザーの ID と企業データへのアクセスを保証する方法です。エンドポイントまたはクラウド コンピューティング プラットフォームには、認証、承認、データ暗号化などのセキュリティ機能が不足している場合があります。この場合、アクセス制御と送信データの整合性が危険にさらされます。

（３）プライバシーと認証の問題

IoT デバイスとセンサーが機密データを収集する方法は、企業にとって非常に重要です。クラウド コンピューティング エコシステムでは、情報は相互運用可能な空間に転送されます。パブリック クラウドの場合、データは他のユーザーや顧客が利用できるようになります。データが保存される場所と情報がどのように処理および送信されるかは、プライバシーにとって重要です。

（4）IoTセキュリティ対策の不十分な実施

ビジネスが拡大するにつれて、企業ネットワークにアクセスする人の数も増加します。これにより、IoT エコシステムをクラウドに接続するエンドポイントの数が増加し、サイバー攻撃のリスクが高まります。アクセス ポイントや IoT デバイス ネットワークにセキュリティ上のギャップがあると、クラウド コンピューティング サービスの導入にも影響が及ぶ可能性があります。

（５）クラウドコンピューティングの脆弱性

クラウド コンピューティング環境とリソースの構成が誤っていると、システムが攻撃に対して脆弱になり、機密データの漏洩につながる可能性があります。設定が間違っていると、システムの停止や不要なダウンタイムが発生し、サービスが中断される可能性があります。エコシステムが統合されている限り、これらの問題や同様の問題は、クラウド コンピューティングと IoT セキュリティの両方に共通しています。

（6）セキュリティパッチが組み込まれていない

IoT アプリケーションのセキュリティは、継続的な更新とパッチを通じてのみ確保できます。一部の IoT デバイスでは、パッチを適用できない古いオペレーティング システムやレガシー オペレーティング システムを使用しています。したがって、そのようなエコシステムの安全な機能の確保は非常に疑問です。

（７）従業員の安全意識の欠如

ネットワークセキュリティサービスプロバイダーのVerizonが2021年に発表したデータ侵害調査レポートによると、2020年のすべての侵害の30％に内部関係者が関与していた。統計によると、フィッシング攻撃やその他のソーシャル エンジニアリング手法について従業員を教育する必要があることが示されています。

クラウドコンピューティングとモノのインターネットのセキュリティ確保

以下のヒントを実装することで、企業はクラウドと IoT のセキュリティを強化できると確信できます。

（１）データフローの監視と保護

エンドポイント保護は、クラウド コンピューティングと IoT セキュリティを実装する上で重要です。企業は、サイバー攻撃者が狙う可能性のある盲点を特定するために、監視およびフィルタリング ツールを管理する必要があります。 IoT エンドポイントからクラウドへのデータ フローが保護されたら、防御を強化するために追加のセキュリティ制御を追加する必要があります。

（２）安全な開発プロセスを採用する

IoT ソリューションの開発における将来の傾向に沿って、企業は市場に参入する前にクラウド コンピューティングと IoT セキュリティを確保する必要があります。ネットワーク セキュリティを実現するために、専門家はネットワークの弱点を特定し、潜在的な攻撃対象領域を探すことを推奨しています。

（3）クラウドセキュリティオプションを活用する

クラウド コンピューティング環境に接続された IoT デバイスを保護する必要があります。リモート攻撃のリスクを最小限に抑えるために、企業はクラウドベースの IoT セキュリティ プラットフォームを使用できます。クラウド コンピューティング プロバイダーは、次のようなさまざまなソリューションを提供しています。

• 新しいデバイスの登録
• デバイスに証明書と秘密セキュリティキーを付与する
• デバイスをリモートでリセットする
• ファームウェアとソフトウェアのアップデートのインストール
• 脅威の監査と検出機能
• クラウドコンピューティング監視

（4）ローカル機密データ

次の 3 種類のデータは一般公開しないでください。

• 個人を特定できる情報 (PII)
• 個人医療情報 (PHI)
• 財務データ

クラウドコンピューティングを使用してデバイスを保護する方法

企業はクラウド内の IoT ハードウェアを保護するための追加対策を実施できます。 「ミドルウェア」と呼ばれるソフトウェアは、IoT コンポーネント間のインターフェースです。ミドルウェアは、もともと接続するように設計されていなかった複雑なプログラム間の接続を作成する「ソフトウェア接着剤」と呼ばれることがよくあります。

（１）データの暗号化

IoT プロトコルはデバイスをネットワークに接続し、データの交換を可能にします。プロトコル機能には、データ パケットの配信に加えて、ネットワーク セキュリティとデバイスの互換性も含まれます。最も一般的に使用される IoT プロトコルは、MQTT、CoAP、XMPP です。

IoT とクラウド コンピューティングの融合により、ハードウェア要素とソフトウェア要素の複雑なエコシステムが生まれました。 IoT では、ほとんどのシナリオがイベント駆動型アーキテクチャ パターンに従います。ソフトウェア パターンは、イベントの作成、使用、および認識として説明できます。

API を使用すると、物理的な世界と対話できるシナリオベースのアプリケーションを構築できます。 REST を使用すると、グローバル インターネット プロトコルを介してデータを転送し、承認を委任および管理できます。 RESTful API を使用すると、単一のアプリケーションで複数のプログラミング言語で記述されたソフトウェアを使用できます。 REST と API の組み合わせは、IoT とクラウド コンピューティングの統合システムにとって重要であり、柔軟でスケーラブルかつ安全な管理を保証します。

（２）明確なアクセス管理計画

アクセス制御は、コンピューティング環境内のリソースを誰が、または何が表示または使用できるかを制御するセキュリティ アプローチです。 IoT クラウド プラットフォームでの不正なアクションのリスクを最小限に抑えるには、各デバイスに固有の ID が必要です。デバイスがゲートウェイまたは中央ネットワークに接続しようとするときの認証は、次の方法で実行できます。

• IPまたはMAC（メディアアクセス制御）アドレス
• 固有のIDキー
• セキュリティ証明書

IoT セキュリティを向上できるもう 1 つのデバイス識別テクノロジーは、機械学習 (ML) です。このツールは、IoT デバイスのトラフィックを分析し、承認された動作プロファイルを構築できます。機械学習アルゴリズムは、トラフィックの逸脱や侵入を正常に検出し、認証とアクセス管理のためのセキュリティ層を追加できます。

（３）継続的なアップデート

IoT およびクラウド コンピューティング機器のメーカーとサプライヤーは、市場の需要を満たすために製品を最新の状態に保つ必要があります。 IoT およびクラウド コンピューティング エコシステムのセキュリティも、タイムリーなアップグレードに依存します。

パッチによりデバイスに新しい機能を追加できます。ただし、これらのマイナーアップデートは通常、バグやセキュリティホールを修正したり、IoT やクラウドコンピューティングのアプリケーションやオペレーティングシステムの将来の脆弱性を防いだりするように設計されています。そうしないと、セキュリティ上の脆弱性を含むパッチ未適用のソフトウェアがサイバー攻撃者の標的となり、悪意のあるコードに対する耐性が低下します。

IoT デバイスのパッチ管理は手動で実行できます。 IoT セキュリティ コンプライアンス チェックと監査の後、IT 管理者はオンサイトで IoT クラウド ネットワークのコンポーネントと対話して、新しいパッチと更新を実装します。このプロセスは、特に複数のサーバーとエンドポイントを持つ企業にとっては複雑で時間のかかるものになる可能性があります。パッチ適用はリモートで管理および自動化でき、プロセス全体をクラウドから操作できます。リモート パッチ適用とセキュリティ管理により、製品のリコールやベンダー サービスにかかる時間とコストを節約できます。

（4）安全なパスワード

脆弱な認証情報は、企業の IoT およびクラウド コンピューティング ネットワーク内のシステムにアクセスしようとする攻撃者にとって格好の標的となります。 IoT デバイスとリンクされたクラウド サービスを保護するには、次の推奨事項に従う必要があります。

• デフォルトのパスワードは使用しないでください。
• すべての IoT デバイスとクラウド サービスには一意のパスワードが必要であり、工場出荷時のデフォルトにダウングレードすることはできません。
• 保護されたネットワーク経由でインターネットに接続する前に、IoT デバイスのパスワードを変更してください。
• IoT デバイスを定期的に監査します。新しく検出されたデバイスは、ネットワークにアクセスする前に認証され、デフォルトのパスワードが変更される必要があります。
• パスワードを採用することに加えて、admin などのデフォルトの標準ユーザー名の使用も避けてください。代わりにハードコードされたパスワードを使用してください。

結論

今日、IoT クラウド コンピューティング ソリューションの需要が高まっており、新たなビジネス チャンスが生まれると同時に、サイバーセキュリティに関する懸念も高まっています。上記の予防策とクラウド コンピューティング ソリューションを採用することで、企業はセキュリティ リスクを最小限に抑え、顧客満足度を高めることができます。