IoTセキュリティ

このページ内の目次

タケシです・・・1日過ごして、iPhoneの万歩計が767歩でした。コロナ禍で歩いていないとしても、あと十歩ほしかったとです。

タケシです・・・フルスタック・エンジニアです・・・聞こえは良いですが、誰も分からないような新しい技術製品やトラブルがいつも舞い降りてくるとです。
※フルスタックエンジニア:複数の領域の技術・知識を有しており、1人で分野を超えたシステム開発、運用などを行うことができる技術者のことです。

タケシです・・・私が担当する仕事は市場から見て5年くらい早いとです・・・市場すら無いので、すぐすぐ売れません⤵市場が形成され、売れ始めたら、私はもう別の技術やプロジェクトに取り掛かっています⤵⤵

さて、冒頭は某芸人風に私の業務を記載してみましたが、最近はIoTセキュリティ担当を任命され、お客様の声を聞きながら勉強を重ねる毎日です。私がこれまでに担当してきた技術は日本の国内市場からすれば、上記の通り5年程度早いものを取り扱っている印象です。また、現在担当しているIoTセキュリティも、これまで同様に市場がこれから形成されていくものかと思います。

以下にIoTセキュリティエンジニアの仕事や、その業務をする上で自宅に構築したラボについてご紹介をさせていただきます。


■ IoTセキュリティエンジニア

ネットワークにつながる(IoT)デバイスが、第三者によって壊されたり、遠隔操作されたり、悪用されることから「どう防ぐか」を考えるお仕事です。主に、デバイスを作っている側を微力ながら支援しています。

攻撃者の目線で考えてみると、攻撃を成立させるまでには次のようなステップがあります。
・攻撃目的にあった組織・人・デバイスの候補を出し、実際に使われている状況を見定める
・デバイスとネットワーク周辺に関する情報収集と偵察、および方針決定
・デバイスのファームウェアを入手、無ければ実機から抽出
・弱い箇所を探すゴニョゴニョ・・・
この中で最後のゴニョゴニョがIoTセキュリティエンジニアとしての私の仕事の領域になります。

IoTデバイスは内部で用いるソフトウェア・コンポーネントが共通化してきているので、脆弱性もある程度共通化されてきています。言い換えると、製品Aで報告されたリスクが、同じコンポーネントを使う別の製品B、Cにも広がります。これにより製造メーカーとして、ソフトの部品表(通称"SBOM")管理の重要性が増してきています。また、製造メーカーは別のコンポーネント・メーカーから部材を調達し、デバイスに組み入れているパターンもあります。外部のコンポーネントに重大なリスクが見つかった場合も問題となり、影響は同じものを調達したX社、Y社、Z社へと広がり、"IoTのサプライチェーン問題"になります。もう1つ厄介な事は、コンポーネントの中身として何が含まれているか、不明なことが多々ある事です。上位の製造メーカーにとってはSBOMでの管理漏れにつながります。例えるなら、ある大学生が友人のレポートを良い感じにフィーチャリングしてコピーしたつもりなのに、ちゃんと理解していないから内容が間違ってて連鎖的に誤爆するみたいな感じ、になります。正しい理解が必要です。

■ 自宅ラボ
在宅勤務ではスペースと電源が制約条件になります。いま現在、私のデスク上にはPCが4台、IoTデバイスが3台、キーボードが4つ、マウスが3つ、ディスプレイが1つ、テーブルタップが2つ、ハブと予備のWiFiルータが1つあり、とってもカオスな状態です。枕の近くにLANケーブルが這っているのも、変な電磁波が出ていそうで気持ち悪いです。肩こりに効くならうれしいですが。。

そんな環境でSBOMのチェックやコンポーネントが実際に利用されているかのチェック、実際に攻撃が可能かチェックしてみる、なんて事をたまに行ってます。

環境を整えることはマクニカの文化の1つでもありますが自宅でも大事です。可及的速やかに枕元のケーブルをなんとかしなくてはなりません。。歩いて買いに行けばあと十歩くらいは歩数が稼げることは間違いないでしょう。同様に、SBOMの整備も重要です。IoTデバイスは5年、10年と長期間に渡り使用され続けます。そのため、リスクの有無をチェックする基礎データとしてSBOMを整備していくことが大事だと考えています。

以上、仕事もプライベートも環境整備を心がけたいタケシでした。

トップに戻る

関連記事

前へ

遠距離恋愛は難しいけど、遠距離友情は意外とイケる?

次へ

コンサルタントへのチャレンジ

Page Top