Zscalerのブログ

Zscalerの最新ブログ情報を受信

購読する
IoTアイデンティティーの見直し
製品およびソリューション

IoTアイデンティティーの見直し

PENG XU, AMEET NAIK
January 07, 2025 - 4 分で読了
安全なIoT/OT

コンテンツ

  1. IoTアイデンティティーの見直し
  2. 従来のIoTアイデンティティー ソリューションが機能しない理由
  3. IoT Behavioral Identity
  4. まとめ
  5. おすすめのブログ

エンタープライズ環境におけるIoTデバイスの普及によって、この数十年でビジネスのオペレーションは劇的に改善しています。しかし同時に、サイバーセキュリティやネットワークの管理者にとっては、IoTの効果的な保護が大きな課題となっています。その理由は、端的に言えば、IoTデバイスは他のデバイスとは異なるためです。通常、エンドユーザー デバイスは一般的なOS (例:Windows、MAC OS)を実行しており、認証情報やMFAなどの認証メカニズムを備えたエージェント ソフトウェアをインストールすることで効果的に保護できます。しかし、このアプローチはIoTデバイスでは機能しません。実行するオペレーティング システムが異なり、多様なため、エージェントまたは証明書をすべてのIoTデバイスにインストールすることはほぼ不可能です。言うまでもなく、こうしたヘッドレス デバイスは手動で操作されていないため、資格情報やMFAによる認証には対応できません。

では、過去20年間、私たちはこれらの課題をどのように解決しようとしてきたのでしょうか?

従来のIoTアイデンティティー ソリューションが機能しない理由

従来のアプローチは、IoTのアイデンティティーに関する課題の解決策として十分に機能していません。

証明書による認証

IoTでは資格情報を使用したアプローチが機能しないため、各IoTデバイスに一意の証明書を付与することでIoTのアイデンティティーに関する問題の解決を図ります。これにより、各デバイスに一意かつ暗号的に安全なアイデンティティーが提供されますが、証明書を最初にIoTデバイスにインストールできることが前提になります。CCTVカメラやサーモスタットに証明書をインストールできない場合の対応が問題になります。本質的に、この方法ではIoTデバイスの10%しか保護できず、残りのデバイスは脆弱なままとなります。さらに、これらの証明書のPKIシステムを維持するために膨大な管理オーバーヘッドが発生します。

MACアドレスによる認証

では、MACアドレスによる認証はどうでしょうか?この方法では、ネットワーク アクセスを、既知のMACアドレスを持つIoTデバイスのみに制限できます。多くの場合、一定レベルの認証を実施することで管理者を安心させ、不安を解消できるアプローチであると考えられています。しかし、実際には、MACアドレス スプーフィングを受けやすい方法です。また、膨大な数に上る正規のIoTデバイスの既知のMACアドレスを管理する必要があり、これが管理者の負担になります。そのため、この方法はまったく効率的でも効果的でもありません。

認証のみに集中

これらの方法には共通のパターンが存在します。いずれもユーザー向けの認証アプローチをIoTデバイスの保護に当てはめただけだったのです。従来のアプローチで、IoTセキュリティを有意に改善できなかった理由はこの点にあります。IoTのアイデンティティーにとって最も重要なのは認証であると考えられがちです。しかし、認証は1回限りのプロセスであり、ネットワークに接続した後にデバイスが危険にさらされる可能性があることを忘れています。そこで、SIEMやXDRソリューションを活用してデバイス ポスチャーを監視し、このセキュリティの死角を排除する必要があります。

 

Zscaler AIを活用したIoT Behavioral Identity

Zscalerが今、IoTアイデンティティーの変革が必要だと考える理由はここにあります。デバイスそのものだけでなく、デバイスの動作も識別することが重要です。長年にわたるこの問題を解決するには、デバイスの動作を継続的かつ常に監視する必要があるのです。そこで大きな効果を発揮するのがZscaler IoT Behavioral Identityです。ZscalerのAI/MLテクノロジーを活用したIoT Behavioral Identityは、プラットフォーム、OS、タイプに関係なく、すべてのIoTデバイスに継続的なゼロトラスト保護を提供します。

Zscaler IoT Behavioral Identity

では、これはどのように機能するのでしょうか?まず、IoTデバイスは特定のタスクを実行するように設計された機械です。たとえば、プリンターは印刷を目的としています。そのため、IoTデバイスの動作は、人間のユーザーに比べはるかに明確に定義されています。人間は通常、SNS、ストリーミング メディア、ビジネス アプリケーションなど、インターネット上の多数のWebサイトに接続します。しかし、IoTデバイスは、テレメトリー データまたは統計情報を更新するために特定のドメインのみと通信を行います。たとえば、Brotherのプリンターは、brother.comと頻繁に通信します。

次に、IoTデバイスの動作を知ることで、MACアドレスを調べるよりもはるかに信頼性の高い形で、そのIoTデバイスが本質的に何であるかが明らかになります。IoTのトランザクション データを取り込むことで、Zscaler AIエンジンは通信パターンに基づいてそのデバイスが何であるかをインテリジェントかつ自動的に判断できます。たとえば、未知のIoTデバイスがほぼ常にbevi.coと通信している場合、Zscaler AIは人間の介入を一切必要とせずに、そのIoTデバイスを飲料機器として分類できます。

そして、IoTデバイスの動作を1回だけでなく、継続的に監視します。そのため、デバイスが通常と異なる動作をすれば、潜在的な不正侵入として検知し、警告を発することができます。これにより、より迅速かつ効果的なインシデント対応を可能にするとともに、MTTRを短縮します。

 

まとめ

Zscaler AIエンジンを活用した最新のZscalerのイノベーションであるZscaler IoT Behavioral Identityは、数十年来のIoTアイデンティティーの課題を解決します。従来の証明書やMACベースの認証の方法にとらわれず新たな方法を取り入れ、すべてのIoTデバイスを保護することが必要です。詳細については、こちらをクリックするか、Zscalerの担当者に連絡してデモを依頼してください。

form submtited
お読みいただきありがとうございました

このブログは役に立ちましたか?

vote yes
はい
vote no
いいえ

おすすめのブログ

IoT/OT device

IoT/OT Predictions for 2024

投稿を読む
IoT Security Begins with Visibility

IoT Security Begins with Visibility

投稿を読む
pubsec-IoT_OT-report-blog-tile-img

Securing Public Sector Against IoT Malware in 2024

投稿を読む

Zscalerの最新ブログ情報を受信

このフォームを送信することで、Zscalerのプライバシー ポリシーに同意したものとみなされます。