koudenpaのブログ

趣味のブログです。職業柄IT関連の記事が多いと思います。

インターネットのセキュリティ段階についての雑感

IoT と言う単語がバズっていて IPA がセキュリティガイドラインを公開したりしているけれど、そもそもユーザーのインターネットセキュリティ意識ってそう大したものではないよなぁ。と思う雑感。

「IoT開発におけるセキュリティ設計の手引き」を公開:IPA 独立行政法人 情報処理推進機構

こんなもん満たしたプロダクト出てくるんだろうか。

総務省|「IoTセキュリティガイドライン」(案)に関する意見募集

こいつは少し気にしておきたい。

それはさておき、僕はインターネット上のセキュリティ対応を大体以下の三段階で捉えている。

  1. 丸裸
    • 趣味なら別にこれでいいと思う
    • 悪意の前には無力
    • HTTPでBasic認証とか、平文でクライアントを識別する感じ
  2. 通信を暗号化
    • プロダクトがこれだとちょっともにょる
    • 悪意とある程度の技術の前には無力
    • HTTPSオレオレ証明書とか、証明書検証してないとか
    • 盗聴は厳しいけれど、通信相手は不明
      • アリスと通信していたつもりが、ボブと通信している可能性がある
  3. 通信を暗号化して、相手を認証
    • 一般的な安全な通信
    • 脆弱性の前には無力
    • HTTPSを普通に使うとか

PCやスマホで2以下なプロダクトはサボってるだけなのだけれど、プアなコンピュータだと3は実現がなかなか厳しかったりする。

各社がオレオレプロトコルで対応していたりするみたいだけれど、共有はされないノウハウだし、安全なIoTを手軽にやるのはなかなか大変な状況だと思う。