IoT と言う単語がバズっていて IPA がセキュリティガイドラインを公開したりしているけれど、そもそもユーザーのインターネットセキュリティ意識ってそう大したものではないよなぁ。と思う雑感。

「IoT開発におけるセキュリティ設計の手引き」を公開：IPA 独立行政法人 情報処理推進機構

こんなもん満たしたプロダクト出てくるんだろうか。

総務省｜「IoTセキュリティガイドライン」（案）に関する意見募集

こいつは少し気にしておきたい。

それはさておき、僕はインターネット上のセキュリティ対応を大体以下の三段階で捉えている。

1. 丸裸
   • 趣味なら別にこれでいいと思う
   • 悪意の前には無力
   • HTTPでBasic認証とか、平文でクライアントを識別する感じ
2. 通信を暗号化
   • プロダクトがこれだとちょっともにょる
   • 悪意とある程度の技術の前には無力
   • HTTPSでオレオレ証明書とか、証明書検証してないとか
   • 盗聴は厳しいけれど、通信相手は不明
     • アリスと通信していたつもりが、ボブと通信している可能性がある
3. 通信を暗号化して、相手を認証
   • 一般的な安全な通信
   • 脆弱性の前には無力
   • HTTPSを普通に使うとか

PCやスマホで2以下なプロダクトはサボってるだけなのだけれど、プアなコンピュータだと3は実現がなかなか厳しかったりする。

各社がオレオレプロトコルで対応していたりするみたいだけれど、共有はされないノウハウだし、安全なIoTを手軽にやるのはなかなか大変な状況だと思う。