CISSPのCBK (Common Body of Knowledge)のドメイン3には新しい技術もいくつか記載されておりIoT機器も取り上げられています。今回はそのIoT機器のセキュリティの問題です。
セキュリティ専門家がIoTデバイスの脆弱性を評価する際、最も重要な要因は何でしょうか?
a. デバイスのハードウェア仕様
b. ユーザーの対話パターン
c. デフォルトの設定と認証メカニズム
d. デバイスの物理的な保護手段
正解:c. デフォルトの設定と認証メカニズム
正答が正しい理由
IoTデバイスの脆弱性はデフォルトの設定が容易に推測されるか、実際には広く知られていることが挙げられます。
他の選択肢が間違っている理由
a. デバイスのハードウェア仕様はセキュリティ評価において重要ではありますが、最も重要な要因ではありません。
b. ユーザーの対話パターンは、セキュリティ専門家がIoTデバイスの脆弱性を評価する際の主要な要因ではありません。
d. デバイスの物理的な保護手段はセキュリティ評価において重要ではありますが、最も重要な要因ではありません。
IoT機器の設計において認証のデフォルト値の設定(いわゆる固定のデフォルトパスワードのことです)は常に問題でした。購入して初期設定をするために機器にアクセスする際に多くの場合マニュアル記載のデフォルトパスワードでアクセスし、初期設定後もパスワードを変更しない、という状況です。マニュアルもPDFでネットに公開されているため、そのようなIoT機器は容易な攻撃対象になってきました。
従ってセキュリティの専門家がIoT機器の脆弱性を評価する際には「固定のデフォルトパスワードがマニュアルに記載されている」かどうかは最初に調べる重要な点です。
ちなみにこのような状況を改善するために、このようなIoT機器を違法とする動きが活発です。例えば英国では2024年4月からそのような法律が施行予定です。施行後はこのような機器を英国で販売することは違法になり、販売したもの、製造したものに対してはリコール指示が出たり罰金が課せられたりします。