Documents

IoT SF : Consumer IoT : Vulnerability Disclosure Expanding The View Into 2021

Introduction

こんな状況を想像してほしい。ある研究者が製品にセキュリティ障害を発見したが、その障害を報告するための連絡先が見つけられない。 また、デバイス・メーカーに対して障害の詳細が報告されたが、なんらかの改善が生じるまで、曖昧な状態におかれてしまう。どちらのシナリオにおいても、カスタマーが信頼できる製品の構築と保守の道筋が妨げられてしまう。明確なコミュニケーション・ラインが、障害を捕捉するためのネットを広げる鍵であり、また、脆弱性開示のベスト・プラクティスが、その実現を促進していく。しかし、IoTプロバイダーたちは、こうしたガイドラインに、どのくらい準拠しているのだろうか?

ヨーロッパの標準化団体であるETSIが公開したEN303645に続いて、2020年にはIoTセキュリティの強化に向けたロードマップが更に強化された。 この34ページのドキュメントは、インターネット接続された消費者に提供される、各種製品のセキュリティ・ベースラインを確立し、各国からの賛同を得ている。英国政府は規制に歯止めをかけ、この2018 Code of Practice for Consumer IoT Securityに基づく法制化を計画することで、世界をリードしている。

———–

IoT : Security Architecture and Policy for the Enterprise – a Hub Based Approach

Executive Summary

企業がIoT-classの製品やシステムを用いるとき、その機会と利益は多種多様なものとなる。 そこに含まれるものとしては、顧客と従業員のエクスペリエンスの向上や、運用の合理化、生産性の向上に加えて、新しいビジネス開拓などが挙げられる。 調達/設置/構成/運用に幅広い選択肢があるが、どのようにして複雑なシステムを管理/保守するかという点が、共通の課題として浮かび上がる。IoTを採用するメリットが、そのリスクにより希釈される可能性もあるため、セキュリティは極めて重要になっていく。

Hub_baseアーキテクチャは、単一のデバイス/インターフェイスによるソリューションではなく、セキュリティおよびトラスト・ツールの集合体だと考えられる。 中小企業においては、単一のデバイスによりアーキテクチャが構成される場合がある。大企業においては、スケーラビリティと冗長性を担保するために、、多数のハブによりアーキテクチャが構成される可能性がある。

———–

NIST 800-144 : Guidelines on Security and Privacy in Public Cloud Computing

Abstract

クラウド・コンピューティングとは、それぞれの人々に対して、それぞれの意味をもたらすものである。 それらの意味において、オンデマンドでスケールする、きわめて可用性の高い、共有が可能なコンピューティング・リソースを、どこからでも従量制で利用できるようにし、また、データの置き場所を組織の内から外へと移行させるという概念が、大半の人々が共有されている。それらの特質における側面は、ある程度まで具体化されているが、依然としてクラウド・コンピューティングは進化の途上にある。

このドキュメントは、パブリック・クラウド・コンピューティングに関連する、セキュリティとプライバシーの課題についての概要を提供する。さらに、パブリック・クラウド環境へ向けて、データ/アプリケーション/インフラストラクチャをアウトソースする際に、その対象となる組織が考慮すべき点について指摘していく。

———–

Enterprise Architecture Framework

John Zachman Interview

あらゆる階層と局面に存在し、アーキテクチャを探求する者に安らぎを与えたのちに、ブラックホールへと誘う悪魔のことば フレームワーク。 誰もが “枠組み” とは理解しつつ、それ以上の説明には窮してしまう フレームワーク。どこを調べても、定義されていないことば フレームワーク。そうなんですよ。 あらゆるフレームワークが、自身の定義については熱心に述べていますが、その大元となるフレームワークという言葉の意味については、まったく述べていないのです。

それは、多くの人々にとって大きな疑問となっているはずです。 そして、もう昔のことになりますが、自分なりに手を尽くして調べまわり、そしてたどり着いたのが、この John Zachman インタビューでした。 ちょうど Windows Server 2003 がリリースされたころの、Fawcette Publication:Enterprise Architect の記事です。変わり者のフリをしていると、自分で認めている Zachman のコメントは、一筋縄ではいきませんが、禅問答と思えば、是また楽しです。

%d bloggers like this: