「ソフトウェアが世界を動かしている」とまでは言いませんが、ソフトウェアはどこにでも存在するということは気に留めておくべきでしょう。最近、新しい冷蔵庫を探していたときに改めて認識したのは、IoTが浸透しているので、インターネットに接続できる場所であればどこからでも、なんでも、家電ですらつながるということでした。 同じことが、現代の大規模なデータセンターのネットワークから、ビルオートメーション、各種制御システム、インテリジェントラックPDUを操作するソフトウェアに至るまで、すべてにいえます。
ソフトウェア主導の世界が比較的オープンであるということは、ある意味これまで以上に脆弱であるということです。 冷蔵庫にある食べ残しのようなものは比較的安全ですが、2017年の「スター・ウォーズ」ツイッター・ボットネットのようなIoTボットネット攻撃、燃料や食料供給へのランサムウェア攻撃、そして最近の米国企業への同様の攻撃は、ソフトウェアやインターネットに接続されたデバイスの脆弱性を教えてくれます。
このような理由から、LegrandはラリタンのラックPDUのセキュリティを非常に重要視しています。ラリタンのPX3 PDUは、最近、Pivot Point Security社による徹底的なソフトウェアセキュリティ監査を受けました。 このペネトレーションテストでは、OSSTM、PTES、OWASPの各テスト手法に加え、カリフォルニア州の比較的最近の法律であるCA SB 327の指針を取り入れています。
Raritan PX3ソフトウェアが受けたテストは以下の通りです。
-
ネットワークに無防備なデバイスの公開サービスの完全なテスト
-
公開されているアプリケーションのOWASP Top 10評価
-
通信チャネルのセキュリティの全面的な評価
-
デバイスの物理的セキュリティの評価
-
デバイス内部のハードウェアセキュリティ評価
-
デバイスのファームウェアのバイナリおよびリバースエンジニアリング解析
カリフォルニア州は、消費者関連のIoTデバイスに関する法律を制定した唯一の州です。 カリフォルニア州SB327では、IoTデバイスを、インターネットに接続可能で(他のデバイスとのペアリングなど「間接的」にでも)、IPアドレスまたはBluetoothアドレスが割り当てられているあらゆるデバイスまたは「その他の物理的対象物」と定義しています。
この法律では、デバイスには、デバイスおよびデバイスに含まれる情報を「不正なアクセス、破壊、使用、変更、または開示」から保護するために設計された「合理的なセキュリティ機能」を装備することが求められます。 合理的なセキュリティ機能とは、「機器の性質と機能」および「機器が収集、包含、送信する可能性のある情報」に対して「適切な」ものと定義されています。 重要なのは、メーカーはこの法律を、ユーザーの安全と消費者のプライバシーを保護するための取り組みとして、さらには公共の安全に対する脅威から守るための取り組みとして捉えるべきだということです。
この法律の具体的な内容はやや漠然としていますが、ラリタンはミッションクリティカルなデータセキュリティの必要性を理解しています。 ラリタンのラックPDUは、独自のテストにより脆弱性への対策をサポートし、業界のベストプラクティスに沿った方法でセキュリティを確保しています。 ラリタンPX3ソフトウェアのセキュリティテストについて、詳しくはこちらからお問い合わせください。
0 件のコメント:
コメントを投稿