OWASP Iot Top 10

セキュリティ事業部

OWASP Iot Top 10

 

OWASP(国際ウェブセキュリティ標準機構、The Open Web Application Security Project)は、Webアプリケーションのセキュリティに関するオープンソースのコミュニティです。世界中のWebアプリケーションの専門家が参加しており、その成果物は無償で利用することができます。

そのOWASPで2014年に発足したOWASP Internet of Thingsプロジェクトの成果物の一つが、OWASP IoT Top 10 です。IoT Top 10 では、開発者、製造業者、企業、消費者が IoT システムの作成や利用に関してより良い判断をするために、避けるべきセキュリティ上の注意点がTop 10形式で説明されています。

 

2018年に公開されたOWASP Iot Top 10

I1: Weak, Guessable, Hardcoded Passwords
(強度の弱いパスワード、推測可能なパスワード、もしくはパスワードのハードコード)
I2: Insecure Network Services(安全でないネットワークサービス)
I3: Insecure Ecosystem Interfaces(安全でないエコシステムインターフェイス)
I4: Lack of Secure Update Mechanism(安全なアップデートメカニズムの欠如)
I5: Use of Insecure or Outdated Components(安全でない、もしくは古いコンポーネントの使用)
I6: Insufficient Privacy Protection(不十分なプライバシー保護)
I7: Insecure Data Transfer and Storage(安全でないデータの転送と保存)
I8: Lack of Device Management(デバイス管理の欠如)
I9: Insecure Default Settings(安全でないデフォルト設定)
I10: Lack of Physical Hardening(物理的なセキュリティ強化の欠如)

 

OWASP Iot Top 10詳細

I1: Weak, Guessable, Hardcoded Passwords 
(強度の弱いパスワード、推測可能なパスワード、もしくはパスワードのハードコード)

容易に解読される認証情報や、ありがちな認証情報を使うこと、あるいは認証情報が変更できないこと。
ファームウェアやクライアントソフトウェアのバックドア機能には、デプロイされたシステムに対して本来許可されていないアクセスを提供するものもある。

I2: Insecure Network Services(安全でないネットワークサービス)
デバイス上に不要な、もしくは安全ではないネットワークサービスが動作しており、特にインターネットに公開されているもの。これにより、情報の機密性、完全性/信頼性、可用性が侵害されたり、不正なリモート制御を許したりしてしまう。不要なポートが開いている。

I3: Insecure Ecosystem Interfaces(安全でないエコシステムインターフェイス)
IoT機器に繋がるデバイスやシステムが脆弱。
デバイスまたはその関連コンポーネントの侵害を可能にする、デバイス外部のエコシステム内の安全でないWeb、バックエンドAPI、クラウド、またはモバイルインターフェイスがある場合。一般的には、認証/承認の欠如、暗号化の欠如または脆弱な暗号化、および入出力のフィルタリングの欠如が問題として挙げられる。

I4: Lack of Secure Update Mechanism(安全なアップデートメカニズムの欠如)
デバイスを安全にアップデートするための機能が欠如。
デバイス上でのファームウェア検証、安全な配信(データ送信中に暗号化されていない)、ロールバック防止機構、アップデートによるセキュリティ変更の通知の欠如などがある。

I5: Use of Insecure or Outdated Components(安全でない、もしくは古いコンポーネントの使用)
デバイスの侵害につながる非推奨、もしくは安全でないソフトウェアコンポーネント/ライブラリの使用。
オペレーティングシステムのプラットフォームに対する安全でないカスタマイズや、侵害されたサプライチェーンからのサードパーティ製ソフトウェアやハードウェアコンポーネントの使用などもある。

I6: Insufficient Privacy Protection(不十分なプライバシー保護)
デバイス上やエコシステム内に保存された利用者の個人情報が、安全に使用されていない、不適切に使用されている、もしくは利用者の許可なく使用されていること。

I7: Insecure Data Transfer and Storage(安全でないデータの転送と保存)
エコシステム内のあらゆる場所で機微データの保存、転送および、処理を実施する際に、暗号化やアクセス制御が欠如していること。

I8: Lack of Device Management(デバイス管理の欠如)
資産管理、更新管理、安全な廃棄、システム監視、および応答機能を含む、本番環境に展開されたデバイスへのセキュリティサポートが欠如していること。

I9: Insecure Default Settings(安全でないデフォルト設定)
デフォルトの設定が安全でない状態で出荷されたデバイスやシステムのこと。もしくは、使用者がシステムをより安全な状態にするための機能が制限されているデバイスやシステムのこと。

I10: Lack of Physical Hardening(物理的なセキュリティ強化の欠如)
物理的なセキュリティ強化策がなされていないこと。そのため、潜在的な攻撃者リモート攻撃やデバイスのローカル制御を奪うために有益となる機密情報を入手できてしまうこと。

 

参照HP:OWASP Iot Top 10