IoT セキュリティ レポート 2022 で、IT 専門家はデバイス ソフトウェアの部品表 (SBOM) を求めています。産業用制御、生産、スマート ホームは、多くの場合、ハッカーから「不十分に」保護されています。 専門家は、使用されているすべてのソフトウェア コンポーネントの証拠を要求します。
シャンプー、ビスケット、缶詰のスープ、薬には共通点が XNUMX つあります。それは、パッケージに記載されているすべての成分のリストと、製造業者から個々の成分の生産者までのトレーサビリティです。 重要なスマート産業用制御装置、ルーター、ネットワーク カメラ、プリンターなどのインテリジェントな生産システムとデバイスは、オペレーティング システムやアプリケーションと共にファームウェアを直接持ち込んでいますが、含まれているソフトウェア コンポーネントの正確な証明は必要ありません。 これは、多くの場合、これらのコントロールとデバイスを使用する企業で、ハッカーやデータ泥棒による攻撃の大きなリスクを意味します.
ルーター、ネットワーク、Co の中身は?
「IoT セキュリティ レポート 2022」調査の一環として、調査対象となった IT 業界の 75 人のスペシャリストとマネージャーの 318% が、すべてのソフトウェア コンポーネントの正確な検証、いわゆる「ソフトウェア部品表」(SBOM) を支持しています。エンドポイントに含まれるすべてのソフトウェアを含め、すべてのコンポーネントを削除します。 「過去数年間の調査の一環として、ネットワークに接続された実質的にすべてのデバイスには、多かれ少なかれ、ファームウェアとアプリケーションの欠陥が隠されています。そのため、ソフトウェア コンポーネントの正確な説明は、アプリケーションにとって非常に重要です。 ONEKEY (旧 IoT Inspector) の CEO である Jan Wendenburg 氏は次のように述べています。 同社は、制御、生産システム、およびスマートデバイスのソフトウェア向けの完全自動のセキュリティおよびコンプライアンス分析を開発し、企業やハードウェアメーカーが簡単に統合できるプラットフォームとして利用できるようにしています。
メーカーはセキュリティを軽視している
したがって、製造業者による IoT デバイスの保護はあまり信頼されていません。調査対象の 24 人のうち 318% がこれを「不十分」と考えており、さらに 54% が「部分的に十分」であると考えています。 そのため、ハッカーは脆弱なデバイスを長い間監視しており、その傾向は強まっています。 IT 専門家の 63% は、ハッカーがすでに IoT デバイスをネットワークへのゲートウェイとして使用していることを確認しています。 特に企業では、IoT に関連するセキュリティ対策に対する信頼は低く、318 人の回答者のうち、IT 部門によって完全なセキュリティが保証されていると考えているのは 49 分の 37 にすぎず、2022% はそれを「部分的にしか十分ではない」と考えています。 また、XNUMX 年 IoT セキュリティ レポートの調査対象となった IT プロフェッショナルの XNUMX% は、通常の PC クライアントではないエンドポイントでセキュリティ関連のインシデントをすでに経験しています。
コネクテッド マニュファクチャリングはリスクを増大させる
「ネットワーク化された生産が拡大し続けるにつれて、リスクはさらに増大します。 一般に、ネットワーク デバイスの数は数年で XNUMX 倍になると予想されます」と、ONEKEY の Jan Wendenburg 氏は述べています。 デバイスのファームウェアをチェックするための自動分析プラットフォームに加えて、同社は独自のテスト ラボも運営しており、主要メーカーのハードウェアがテストされ、脆弱性レポート、いわゆるアドバイザリが定期的に公開されています。
企業における不明確な責任
別のリスク: 産業用制御、生産システム、およびその他のスマート インフラストラクチャ エンドポイントは、多くの場合、318 年以上使用されています。 ただし、コンプライアンス戦略がなければ、通常、社内に更新ガイドラインはありません。 さらに、責任に関して非常に不明確な状況がしばしばあります。調査対象となった 16 社の企業代表者の中で、IoT セキュリティの責任者はさまざまな人や部門に属しています。 その範囲は、CTO (21%) から CIO (22%)、リスク & コンプライアンス マネージャー (26%)、IT 購買マネージャー (21%) までさまざまです。 企業の XNUMX% では、外部のコンサルタントが IoT デバイスやシステムの購入まで請け負っています。
一方、最も単純なセキュリティ チェック、つまり含まれているファームウェアのセキュリティ ギャップの分析とテストを実行しているのはわずか 23% でした。 「それは怠慢です。 デバイス ソフトウェアの検査には数分かかります。結果は、リスクとそのリスク レベルへの分類に関する明確な情報を提供します。 このプロセスは、ルーターから本番マシンまで、エンドポイントの使用前および使用中に必須のプログラムの一部である必要があります」と ONEKEY の Jan Wendenburg 氏は述べています。
Onekey.com の詳細[XNUMXキー]