IoT と言う単語がバズっていて IPA がセキュリティガイドラインを公開したりしているけれど、そもそもユーザーのインターネットセキュリティ意識ってそう大したものではないよなぁ。と思う雑感。
「IoT開発におけるセキュリティ設計の手引き」を公開:IPA 独立行政法人 情報処理推進機構
こんなもん満たしたプロダクト出てくるんだろうか。
総務省|「IoTセキュリティガイドライン」(案)に関する意見募集
こいつは少し気にしておきたい。
それはさておき、僕はインターネット上のセキュリティ対応を大体以下の三段階で捉えている。
- 丸裸
- 趣味なら別にこれでいいと思う
- 悪意の前には無力
- HTTPでBasic認証とか、平文でクライアントを識別する感じ
- 通信を暗号化
- 通信を暗号化して、相手を認証
PCやスマホで2以下なプロダクトはサボってるだけなのだけれど、プアなコンピュータだと3は実現がなかなか厳しかったりする。
各社がオレオレプロトコルで対応していたりするみたいだけれど、共有はされないノウハウだし、安全なIoTを手軽にやるのはなかなか大変な状況だと思う。