ソフトウェアの品質を学びまくる2.0

旧ブログからゆっくり移行中です。http://blog.livedoor.jp/prjmng/

「IoTテスティングガイド」 #IoTテストアドカレ(2)

はじめに

 この記事は、IoTのテストに関するネットの記事を読んでいく、「IoTテスト アドベントカレンダー」の2日目の記事です。1日目はコチラ。

kzsuzuki.hatenablog.com

プロファイル

タイトル: 『IoT Testing Guides』
著者: Open Web Application Security Project
参照サイト: OWASP Internet of Things Project

ポイント

 1日目に扱った資料でも、IoTのテストの課題の1つに「セキュリティ」がありました。今日の資料(現時点ではドラフト版) は、IoTのテストにおけるセキュリティ面での配慮事項を、10のカテゴリに分けています。プライバシーも、セキュリティの一部として扱われています。
 それぞれのカテゴリについて、配慮事項の例を1つずつ挙げておきます。フルバージョンは原本をご確認ください。

  1. セキュアでないWebインタフェース
    XSS、SQLi、CSRF他のWebアプリケーションの脆弱性への対応

  2. 十分でない認証/認可
    パスワード復旧の仕組み

  3. セキュアでないネットワークサービス
    バッファオーバーフロー、ファジング、DoS攻撃に対する応答

  4. データ転送の暗号化漏れ
    バイス間、またはデバイスとインターネット間でのデータ転送の暗号化

  5. プライバシーへの配慮
    収集する個人情報の量を決定する方法

  6. セキュアでないクラウドインタフェース
    APIインタフェースやクラウドベースのインタフェースといったセキュリティの脆弱性への対応

  7. セキュアでないモバイルインタフェース
    AppleのTouchIDのような)2段階認証の実装

  8. 十分でないセキュリティ設定
    暗号化オプション(AES-128がデフォルトになっている場合に、AES-256を有効にする)が利用可能かの検討

  9. セキュアでないソフトウェア/ファームウェア
    バイスアップデートの機能と、脆弱性が発覚した場合に迅速にアップデートできることの確認

  10. 貧弱な物理的セキュリティ
    バイスにおいて、使用する物理的な外部ポート(たとえばUSBポート)が必要最低限であることの確認 

所感

 最初の方を読むと、Webアプリケーションのセキュリティチェックで聞いたような話ではありますが、モバイル、インフラ機器、組み込み、それぞれについて配慮すべきポイントが書かれていることがわかります。1番目と6番目、2番目と6番目と7番目は、かなり重複していますが、別の部位であることは意識しておく必要があるでしょう。IoTにはインタフェースがたくさんあり、それは攻撃のポイントもたくさんあるということですね。各分野のプロフェッショナルが持っている「これがセキュリティテストである」という知見を持ち寄って整理する必要がありそうですね。

 3日目はコチラです。(12月3日の0時に公開されます)

kzsuzuki.hatenablog.com