on 01-Sep-2015 22:15
このブログでもすでに何度か触れていますが、Webアプリケーションのセキュリティ向上を目的としたプロジェクトとして、OWASP(Open Web Application Security Project)というものがあります。OWASPはWebアプリケーションのセキュリティリスクに対し、全世界の個人や企業、その他の組織が適切な情報に基づく判断を行えるよう、セキュリティを取り巻く状況の可視化や、ベストプラクティスやフレームワークの紹介等を行っています。
OWASPはこの活動の一環として、最もクリティカルとされる10種類のセキュルティリスクを「OWASP Top 10 リスト」としてまとめています。このリストにはそれぞれのリスクについての説明の他、脆弱性の事例、攻撃の事例、回避手段に関するガイド、関連情報へのリンクが記載されています。これは優れたリストであり、セキュリティ関連ベンダーが「自社製品やサービスがどのようなタイプの攻撃を軽減できるのか」を示す際にも、引用されることが少なくありません。
OWASPではこれまでにもWebアプリケーションに関した「Top 10 Most Critical Web Application Security Risks」を公開していましたが、IoT(Internet of Things:モノのインターネット)に関しても同様の「OWASP Internet of Things (IoT) Top 10」(英語のみ)を作成し、公開しています。
IoTとは、身の回りにある様々なモノ、例えば冷蔵庫やトースターといった家電製品、寒暖計等のセンサー類、自動車等が、インターネットに接続されて互いにデータを送受信する世界を意味しています。このような家電製品や日用品によるインターネットアクセス実現に関心を持つベンダーを支援することが、「OWASP Internet of Things (IoT) Top 10」の目的です。このリストではIoT対応の機器やサービスのセキュリティリスクのうち、上位10項目を順に取り上げ、それぞれについての対応策を紹介しています。
ここでは2014年度の「OWASP Internet of Things Top 10」に含まれる項目を紹介すると共に、OWASPが示す対応策についてもまとめて掲載しておきます。
1 Insecure Web Interface(セキュリティが確保されていないWebインターフェイス)
Webインターフェイスのセキュリティを確保するには:
2 Insufficient Authentication/Authorization(不十分な認証)
十分な強度を備えた認証を実現するには:
3 Insecure Network Services(セキュリティが確保されていないネットワークサービス)
ネットワークサービスのセキュリティを確保するには:
4 Lack of Transport Encryption(暗号化されていないトランスポート)
トランスポートに十分な暗号化を行うには:
5 Privacy Concerns(プライバシーに関する懸念)
プライバシーに関する懸念を最小限に抑えるには:
6 Insecure Cloud Interface(セキュリティが確保されていないクラウドインターフェイス)
クラウドインターフェイスのセキュリティを確保するには:
7 Insecure Mobile Interface(セキュリティが確保されていないモバイルインターフェイス)
モバイルインターフェイスのセキュリティを確保するには:
8 Insufficient Security Configurability(不十分なセキュリティ設定)
不十分なセキュリティ設定を改善するには:
9 Insecure Software/Firmware(セキュリティが確保されていないソフトウェア/ファームウェア)
ソフトウェア/ファームウェアのセキュリティを確保するには:
10 Poor Physical Security(物理的セキュリティの脆弱さ)
物理的セキュリティを強化するには:
ここでは各項目に関する対応策を掲載しましたが、OWASPのそれぞれのページでは、攻撃者が攻撃可能となる条件、攻撃手法や侵入経路、脆弱性がどのような状況で生じるのか、技術面とビジネス面へのインパクト(影響)についても解説されています。また攻撃シナリオのサンプルも掲載されています。ぜひ目を通されるようお薦めします。