インフラストラクチャ保護
設計時間は、デバイスとソリューションのライフサイクル全体にわたるインフラストラクチャ保護のセキュリティ要件を検討するための理想的なフェーズです。デバイスをインフラストラクチャの拡張として検討することで、デバイスのライフサイクル全体が、インフラストラクチャ保護の設計に与える影響を考慮できます。コストの観点からは、設計フェーズで行われた変更は、後で加えられた変更よりも安価です。有効性の観点からは、設計時に実装されるデータ損失の軽減は、遡及的緩和よりも包括的であると考えられます。したがって、設計時にデバイスおよびソリューションのセキュリティライフサイクルを計画すると、ビジネスリスクが軽減され、リリース前にインフラストラクチャセキュリティ分析を先行する機会が提供されます。
デバイスのセキュリティライフサイクルにアプローチする方法の 1 つは、サプライチェーン分析です。例えば、適度な規模の IoT デバイスメーカーやソリューションインテグレーターであっても、直接的または間接的にかかわらず、サプライチェーンを構成する多数のサプライヤーを持っています。ソリューションの存続期間と信頼性を最大化するには、正規のコンポーネントを受け取っていることを確認します。
ソフトウェアもサプライチェーンの一部です。デバイスの本番用ファームウェアイメージには、シリコンパートナー、GitHub や SourceForge などのオープンソースの集約サイト、以前のファーストパーティ製品、内部エンジニアリングによって開発された新しいコードなど、多くのソースのドライバとライブラリが含まれています。
ファーストパーティのファームウェアとソフトウェアのダウンストリームメンテナンスとサポートを理解するには、サプライチェーン内の各ソフトウェアプロバイダーを分析して、サポートが提供されているかどうか、およびパッチの配信方法を判断する必要があります。この分析は、接続されたデバイスにとって特に重要です。ソフトウェアのバグは避けられず、脆弱なデバイスがリモートから悪用される可能性があるため、顧客へのリスクを表します。IoT デバイスの製造元またはソリューションエンジニアリングチームは、これらのリスクを軽減するために、適切なタイミングでバグを学習し、パッチを適用する必要があります。
| IOTSEC 7.サプライヤー、契約メーカー、その他のアウトソース関係をどのように評価していますか? |
|---|
| IOTSEC 8.IoT デバイスのセキュリティライフサイクルをどのように計画していますか? |
|---|
| IOTSEC 9.サードパーティーのファームウェアとソフトウェアコンポーネントのセキュリティバグをタイムリーに通知するには、どうすればよいですか? |
|---|
AWS IoT サービスを使用する際に管理するクラウドインフラストラクチャはありませんが、AWS IoT Core がユーザーに代わって他の AWS のサービスとやり取りする統合ポイントがあります。例えば、AWS IoT ルールエンジンは、MQTT トピックストリームに基づいて他の AWS のサービスへのダウンストリームアクションをトリガーできる分析されたルールで構成されます。AWS IoT は他の AWS リソースと通信するため、アプリケーションに適切なサービスロールのアクセス許可が設定されていることを確認する必要があります。
