セキュリティアーキテクト Arlen Baker、サービスデリバリーディレクター Seth Cramer
組込み Linux 機器におけるセキュリティ侵害のリスクについて、考えてみましょう。私たちは、特にミッションクリティカルな機器やセーフティクリティカルな機器において、セキュリティの脅威と関連コストが急増していることを認識しています。
本当の問題は、脅威の状況を現実的かつ正確に理解して、無秩序または無計画なセキュリティ対策を構造化されたコスト効率の高い効果的なセキュリティ対策へと移行し、安心感を得るにはどうすればよいかということです。
ウインドリバーのウェビナー「5 Security Best Practices for Linux at the Intelligent Edge」では、脅威の状況を理解することが最も重要なトピックの1つとしてご紹介しました。そこで、次の6つの質問を問いかけ、脅威の状況を分析し、明らかにすることをお勧めします。
1. 保護が必要なものは何ですか?脅威の状況は、組込みデバイスに影響を与える可能性のあるサイバーセキュリティ事象の総体です。 エッジ デバイスのほとんどの場合、保護すべき重要な資産は、構成データ、調整データ、またはユーザ名、パスワード、暗号化キーや証明書などの PII 資格情報のいずれであっても、データです。また、エンドデバイスとその動作に関わるすべてのものを含め、デバイスが動作する環境の保護要件も考慮する必要があります。
2. どのような種類の脅威と脆弱性がありますか? 次のステップは、保護が必要な資産に対する今の脅威を特定することです。脅威は、不正アクセス、破壊、開示、変更、および/または中断によって資産に影響を与える可能性があるのに対し、脆弱性は、脅威によって悪用される可能性があるデバイスのコンポーネントの弱点を指します。下図は、近年確認されている主要なCVEタイプのいくつかを示しています。
3. 許容できるリスクは何ですか?特定されたデータや資産が侵害された場合に何が起こるかについて、企業と顧客の両方の視点から明確に理解する必要があります。これには、デバイスやそれを使用するユーザへの被害、データ損失の結果、業務の中断、重要なデバイスやシステムの完全な障害の可能性、自社やエンドカスタマの評判へのダメージ、そしてもちろん、罰則やコンプライアンス違反などの金銭的影響など、複数の考慮事項が含まれるべきです。
4. 適用される規制はありますか?リスク評価プロセスの一環として、お使いのデバイスに規制要件があるのはどの政府機関か、またその規制が法的にどのような影響を与えるかを特定することが重要です。これには、標準化団体、政府機関、セキュリティ監視機関、企業のIT部門などが含まれる可能性があります。
5. 正しい対応とは何でしょうか?率直に申し上げましょう。サイバーセキュリティの事象は、どんな予防策を講じようとも、必ず発生するものです。難しい問題は、どのように対応するかということです。積極的に行動し、事象に対処するための詳細な対応策を構築しますか?それとも、最新のポリシーや手順を採用するのでしょうか?対応策を継続的に更新し、リフレッシュしますか?それとも、無秩序で反応的なアプローチになるのでしょうか?
6. 誰が対応したらよいのでしょうか?オープンソースのプラットフォームやテクノロジーの利用が爆発的に増加していることを考えると、サイバーセキュリティ事象への対応に誰が関与するのかということも同様に重要なことです。社内のチーム?オープンソースコミュニティ?請負業者?ハードウエアベンダー?ソフトウェアベンダー?規制当局との調整が必要ですか?などに対する答えは、導入するセキュリティ対策のスピード、有効性、そして潜在的なコストに大きな影響を与えることになります。
脅威の状況を理解することは、効率的で費用対効果の高い、組込み機器のセキュリティ対策を成功させるための第一歩にすぎません。
何から手をつけたらいいかお困りですか?ご安心ください。ウインドリバーでは、お客様のあらゆるセキュリティニーズに対応するソリューションを提供しています。まずは、セキュリティアセスメントサービスから始めてはいかがでしょうか。
次回のブログ記事では、特定したCVEの修復に優先順位をつける方法について、具体的な方法をご紹介します。そして、重要なLinuxデバイスのセキュリティを確保する、フルライフサイクルアプローチを導入することの価値について迫っていきます。
また、Wind River Studio Linux Servicesのポートフォリオもご覧ください。サイバーセキュリティの問題を解決し、技術的負債を減らし、リスクを懸念するユーザが、イノベーションに集中できるよう支援します。また、Wind River Studio Linux CVEスキャンサービスをぜひ無料でお試しください。ウインドリバーへのご相談は、こちらからお問い合わせください。