リリース日: 2021年1月5日
本日、IoT Security Foundation(IoTSF)とFIDOアライアンスは、IoTセキュリティの地位向上に向けて協力することを発表しました。
このコラボレーションの主な目的は、IoTデバイスのパスワードの制限に対する認識を高め、製品メーカーに実用的な代替手段を提供することです。 このコラボレーションの目標は、業界がパスワードレス認証を実装するのを支援するために、共同メッセージと一般にアクセス可能な資料を提供することで達成されます。
パスワードの何が問題なのでしょうか?
パスワードは、ユーザーを認証し、リソースへのアクセスを許可するための従来の簡単な方法です。 これまではこれで十分だったかもしれませんが、何十億ものデバイスがネットワークに接続され、データを収集して共有したり、自動化を提供したりすることが予想される場合、つまりIoTの時代になると、パスワードは多くの点で劇的に不十分になります。
これは新しい問題ではありませんが、ユーザーは、さまざまなアカウントやアプリのログイン資格情報を管理および追跡することに依然として課題を感じています。 その結果、多くの人が近道をして、覚えやすい(そして推測しやすい)パスワードを使用したり、多くのアカウントで同じパスワードを使用したりしています1。 これにより、セキュリティが弱まります。 次に、家庭、企業、医療、産業、および国家インフラのIoTの使用が増加し、効率性、革新性、およびユーザーの利益をもたらすことを考えてみましょう。 IoTデバイスはいたるところにあり、 この記事 が示すように、この傾向は今後も続くと思われます。 ルーターやウェブカメラなどのIoTクラスの製品の場合、従来、メーカーは工場出荷時のユニバーサルデフォルトパスワード2 を選択しており、これらは変更可能ですが、かなりの数がデフォルトに設定されたままになっています。 これにより、有名なMiraiやその多くの亜種などのDDOS攻撃用のデバイスを武器化するボットネットの主要な標的になります。
つまり、デバイスの数が膨大になることで、今日のパスワードの問題がさらに悪化するのです。 要約すると、パスワードは、現在または将来のIoT認証の要件に対する適切なソリューションではありません。
これにどのように対処できますか?
新しい基準と今後の規制は、変化を促進するのに役立っています。 2020 年半ばに発行された消費者向け IoT サイバーセキュリティ規格の ETSI 303 6453 ベースライン要件には、「ユニバーサル デフォルト パスワードなし」の規定があり、この規格は現在、国際的な規制および認証スキームの基礎として使用されています4。
「ユニバーサルパスワードなし」は、レギュレーション5の出発点としては良いものですが、十分ではありません。 幸いなことに、パスワードに代わる優れた方法があるため、パスワードを排除でき、使いやすくなっています。
IoTSFとFIDOアライアンスはどのように連携していますか?
両組織は協力して、パスワードレス認証の認識と使用を促進し、ワーキンググループの活動をリンクして、業界が新製品を設計する際に公開されている資料にアクセスできるようにします。
FIDOアライアンスのIoT技術ワーキンググループは、パスワードレス認証の詳細な技術仕様を提供するIoTデバイスの包括的な認証フレームワークを構築することを目的としています。
IoT Security Foundationは、IoTシステムの製品メーカーとユーザー向けに、サイバーセキュリティのベストプラクティスに関するアドバイスを公開しています。 そのIoTセキュリティコンプライアンスフレームワークワーキンググループは、質問と証拠収集の構造化されたプロセスを通じて開発者をガイドするフレームワークの作成と保守に専念しています。 これにより、企業はセキュリティ・バイ・デザインでより優れた製品を作ることができます。 この分野では、両組織が技術レベルで協力し、パスワードの代替案の提唱を補完するつもりです。
IoTSFのマネージングディレクターであるジョン・ムーア氏は、「セキュリティのためのパスワードの使用は、デジタル時代において時代遅れで時代遅れのセキュリティ慣行です。技術的な観点からはより強く、ユーザーの視点からはより優れたソリューションがあります。FIDOアライアンスと緊密に連携し、パスワードの使用をなくし、製造業のメンバーのためにより良いプラクティスを推進できることを嬉しく思います。」
FIDOアライアンスのエグゼクティブディレクター兼COOであるクリスティーナ・ハルカは、「FIDOアライアンスの使命は、残念ながらデフォルトまたは脆弱なパスワード認証に依存し続けているIoTを含め、よりシンプルで強力な認証によって、世界のパスワードへの依存を減らすことです。IoT Security Foundationと協力して、パスワードレス認証をIoTに導入する道を加速させることを楽しみにしています。」
参照
1 https://en.wikipedia.org/wiki/List_of_the_most_common_passwords
2 https://www.router-reset.com/default-router-password-lookup
3 https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.00_30/en_303645v020100v.pdf
4 https://www.iotsecurityfoundation.org/consumer-iot/
5 https://www.gov.uk/government/news/government-to-strengthen-security-of-internet-connected-products
Internet of Things Security Foundation (IoTSF) について
IoTSFは、非営利の企業および専門家の会員制協会です。
IoTSFの使命は、モノのインターネットの採用を支援し、そのメリットを最大化するために、モノのインターネットのセキュリティ保護を支援することです。 そのために、IoTSFは、IoT製品やシステムを指定、製造、使用する人々に、適切なセキュリティに関する知識と明確なベストプラクティスを促進します。
IoTSFは、セキュリティファーストのアプローチ、目的への適合性、および運用寿命を通じた回復力のセキュリティ価値を促進します。 セキュリティの価値は、IoTエコシステムの重要な段階、つまり製品やサービスを構築、購入、使用する段階、つまりBuild Secureを対象としています。 セキュアを購入します。 安全を確保します。
IoTSFは、モノのインターネット(IoT)アプリケーションにおける既存および新たな脅威への対応として設立されました。
IoTSFは、IoTエコシステムによって推進され、テクノロジープロバイダーやサービスの受益者を含むすべての関係者を包含する、国際的で協力的でベンダー中立なメンバーのイニシアチブです。
詳細、ニュース、その他の発表については、 www.iotsecurityfoundation.org の公式ウェブサイトをご覧ください。
FIDOアライアンスについて
FIDO(Fast IDentity Online)アライアンス(www.fidoalliance.org)は、強力な認証技術間の相互運用性の欠如に対処し、ユーザーが複数のユーザー名とパスワードを作成し、記憶する際に直面する問題を改善するために、2012年7月に結成された。 FIDOアライアンスは、パスワードへの依存を軽減する、オープンでスケーラブル、相互運用可能な一連のメカニズムを定義する、よりシンプルで強力な認証のための標準によって、認証の本質を変えようとしている。 FIDO認証は、オンラインサービスの認証において、より強力で、プライベートで、使いやすい。
プレス連絡先
ジェニー・デヴォイ
IoTセキュリティ基盤
+44 (0)1506 401210
contact@iotsecurityfoundation.org
ツイッター:@IoT_SF