一般社団法人「日本クラウドセキュリティアライアンス(CSAジャパン)」のIoTクラウドサービスワーキンググループ(WG)は2016年4月4日、IoT(Internet of Things)デバイスに対するセキュリティ脅威のリスクを評価するためのガイドライン「Internet of Things (IoT)インシデントの影響評価に関する考察」を発表した。CSAジャパンが独自に作成したドキュメントで、IoTデバイスに対するセキュリティ脅威のリスクを(1)デバイスの特性、(2)サービスの特性、(3)システムを構成するデバイスの数の三つの軸で分析することを提言する。
同WGは今後もドキュメントの整備やイベントの開催などを通じて、IoTのセキュリティ強化につながる活動を進める予定。同じく4月4日には「IoTにおけるID/アクセス管理 要点ガイダンス」を公開した。
「IoTにおけるID/アクセス管理 要点ガイダンス」の「IoT プロトコルおよび認証オプションの例」部分は参考になります。
たとえば、
MQTT はユーザ名とパスワードを伝送でき るが、パスワードの長さは 12 文字までに制 限される。ユーザ名とパスワードは平文で 転送されるため、 MQTT の利用において は、 TLS が必須となる。
CoAP はデバイス間通信において複数の認 証オプションをサポートする。データグラ ム TLS( DTLS) と組み合わせることで、 より高いセキュリティを確保できる。
Bluetooth のセキュアで簡単なペアリング方 式では、デバイス間認証のために、「とり あえず動く」、「パスキー入力でのペアリ ング」「出荷時設定で動作する」といった 選択肢が可能である
Bluetooth-LE は、 Bluetooth の世界に二要素 認証を提供する。 LE セキュアコネクション ペアリングモデルでは、デバイスの能力に 応じて数種類のアソシエーションモデルを 利用できる。また、鍵交換には楕円曲線 Diffie-Helman 方式が使用される。
HTTP/REST は、一般に認証と機密性維持の ために TLS プロトコルのサポートが必 要である。ベーシック認証(識別情報が平 文で渡される)は TLS のもとで利用 できるものの、これは推奨される方法では ない。かわりに、 OAUTH2 のよう な、トークンベースの認証方式の利用を試 みること。
など。