セキュアなモバイル接続の課題に対応
オフハイウェイOEM業界におけるデータセキュリティを確保するためのセキュリティ対策
エグゼクティブ・サマリー
今日の競争環境では、企業は情報に基づいた意思決定と競争力の獲得のために、データへの即時アクセスに依存しています。これは特にテレマティクスに当てはまり、特にデータ伝送に使用されるCANプロトコルの低レベルな性質を考慮すると、セキュリティを確保しながらリアルタイムのデータアクセスを提供することが課題となります。この要求を満たすには、ワイヤレスで安全なデータ伝送と、堅牢なソフトウェアおよびアプリケーションのセキュリティ対策が必要です。データセキュリティを優先した最先端のソリューションを求める企業にとって、信頼できるテレマティクス・プロバイダーとの提携は極めて重要です。プロエミオンは、セキュアなテレマティクス・ソリューションをリードすることをお約束します。当社のコミットメントの一環として、すべての安全プロトコルを監督する専任の「セキュリティ責任者」を任命するなど、データセキュリティを優先するためのさまざまな対策を実施しています。
はじめに
デジタル化によって定義された時代において、データとそのセキュリティは、特にテレマティクスの領域において最も重要な関心事となっています。このガイドでは、OEMがテレマティクス・ソリューションの導入を検討する際に考慮すべき主な事項について見ていきます。GDPRコンプライアンス、ユーザー認証、データ管理などの問題に触れており、ネットワーク化された領域全体におけるより広範な懸念に対応している。
オフハイウェイ業界のプロジェクトが複雑化し、システムや製品に中立的なデータベースが求められる中、統一されたデータ標準の必要性が急務として浮上している。AI、ロボット工学、IoT、IoEなどの破壊的技術の融合は、我々を第4次産業革命へと駆り立て、クラウド通信における安全なソリューションの必要性を高めている。IoEとIoTの違いを理解するのは難しいかもしれない。しかし、IoTをIoEよりも基本的なデバイスのネットワークと考えることは有益である。IoEデバイスを真に統一されたシステムとして機能させる、同じレベルのまとまった「インテリジェンス」がない。
「中間者(Man-in-the-middle)」攻撃は、安全でないネットワークにとって一貫して重大な脅威である。このような攻撃は、IMSIキャッチャー(国際移動体加入者識別番号キャッチャー)として知られる偽の基地局を利用することが多い。あるいは、デバイスの優先順位付けの傾向を利用し、より近くて強い信号に接続するスティングレイもある。
中間者攻撃は、CANプロトコルを使用してデータを無線配信する際のセキュリティ上の課題の一つに過ぎません。その他にも、相互認証、チャネルの暗号化などがある。そのため、「最適なセキュリティを確保するために、どのような対策を講じることができるか」という疑問が残る。- 現実的で実行可能なものは何か?
接続ソリューションを提供し、膨大な量のデータを処理してきた豊富な経験を持つプロエミオンは、この状況における重要なプレーヤーとして登場し、一流のテレマティクス・ソリューションを長年提供してきた中で培ったサイバー・セキュリティと情報セキュリティの技術に関する洞察を提供します。
このガイドでは、パフォーマンスと安全性を高めるために考案された一流のテレマティクス・ソリューションを設計・構築してきた長い歴史の中で、当社が開発し採用してきたサイバー・セキュリティと情報セキュリティの技術をご紹介します。
注意すべき一般的なセキュリティリスク
今日の無線データ状況では、安全な通信を確保することが最も重要です。オフハイウェイのテレマティクスでは、デバイスが機械データを中央システムに中継しますが、見過ごすとさまざまなリスクが生じます。これらのリスクには、機械制御への潜在的な干渉、内部データの漏洩、デバイスへの不正アクセスなどが含まれます。
例えば、無許可の個人が機械を制御し、作業現場の安全を脅かす可能性がある。さらに、テレマティクス・データが機密情報を暴露し、競争上の不利を招いたり、データ操作によって業務を混乱させたりする可能性もある。
オフハイウェイのテレマティクスに共通するセキュリティの脆弱性には、不十分な暗号化、認証の不 足、旧式のデバイス/ソフトウェアへの依存などがある。特にデータ送信中やアイドルモード中の暗号化が弱いと、重大なセキュリティ脅威となる。さらに、認証が不十分だと、テレマティクス・システムへの不正アクセスを許してしまう可能性がある。
セキュリティのベストプラクティス
ユーザーは、テレマティクス・ソリューションを選択する際にセキュリティ対策を優先し、テレマティクス・プロバイダーがどのようにセキュリティ標準を導入し、セキュリティ専門家を開発に関与させているかを評価すべきである。その上で、包括的なデータ保護には、セキュリティ・インフラの定期的な見直しとセキュリティ・インシデントに関する情報の共有が不可欠である。
安全なソフトウェアとソフトウェア開発ライフサイクル
セキュリティのベストプラクティスを SDLC(ソフトウエア開発ライフサイクル)に統合し、社内で開発されたアプリケーションが設計・開発からデプロイ、運用に至るまで最高水準を満たすようにすることが不可欠です。これを正しく行うことで、内部だけでなく外部のセキュリティ脅威によるリスクを軽減することができます。
セキュリティのベストプラクティスは、トレーニングから安全なコーディング標準まで、また、サードパーティコンポーネントのセキュリティ確保から侵入テストまで、幅広いトピックをカバーしています。
ソフトウェア開発 - セキュリティを重視
ここでは、顧客中心のソフトウェア・ソリューションの選択と開発において、OEMが注目すべき具体的な方策をいくつか紹介する。
セキュリティ・トレーニング
コードが本番環境に到達する前に、セキュリティゲートを設置し、ゲートキーパー全員にセキュアコーディングトレーニングへの参加を義務付けるべきである。他のすべての開発者にも参加を促し、十分な時間を与えるべきである。
セキュアな開発トレーニングは、実践的で実践的な方法で提供されるべきであり、開発者が作業する技術スタックに関連性の高いものでなければならない。最良の結果を得るためには、参加状況を追跡し、チームリーダにフィードバックを提供する必要があります。
安全なコーディング標準
一連のセキュアコーディング標準は、OWASPのトップ10の脆弱性に対処するだけでなく、よく知られたセキュアコーディングガイドラインの他の多くの関連するプラクティスを含むべきである。
これらには、OWASP の追加ガイドラインやその他が含まれる。本番サーバに到達するすべてのコードは、これらの標準に従うべきである。これらの標準は、理想的には、自動テストまたは手動テストとコードレビューの組み合わせによって実施される。
ピアコードレビュー
ゲートキーパーは、開発者が書いたコードに対して、固有の、または明示的なセキュリティコードレビューを行います。この手順は、コードをマージする前に、セキュリティ標準に準拠していることを確認し、潜在的な問題を発見するのに役立ちます。
サードパーティーコンポーネント
コードリポジトリ管理ツールでソースコードを管理すると、プラットフォームが提供するサードパーティコンポーネントの脆弱性アラートの恩恵を受けることができます。アラートは、その重大性とリスクに応じて評価され、対処されます。
自動テスト
継続的改善へのコミットメントには、将来同じ問題が再発するのを防ぐために、 可能かつ実用的な限り、単体テストまたは統合テストを組み込んで、セキュリティ問 題に対処することが含まれる。
内部侵入テスト
内部侵入テストは、どのアプリに対しても定期的に実施すべきである。発見された脆弱性は、その重大性とリスクに応じて対処することができる。
セキュアな展開
アプリケーションは、通常、自動化によって構成される堅牢化された環境に配備される。入念なレビューの後、サードパーティモジュールが自動化ツールに統合され、最新のセキュリティベストプラクティスに従ってインフラストラクチャの堅牢化が実施される。
暗号技術
データの安全性を確保するために、包括的な暗号化ポリシーを導入すべきである。これには、不正アクセスを防ぐための暗号化されたウェブ・インターフェースだけでなく、暗号化されたデータ送信も含まれる。
通信ユニット
通信ユニット(CU)とサーバー間の通信を保護し、デバイスのセキュリティを保証することは最も重要であり、最優先事項である。この目標を達成するためには、潜在的なリスクを軽減するための技術的・組織的対策を含め、数多くのセキュリティ管理を実施する必要があります。
認証
CUと通信サーバ間の相互認証の実装は極めて重要である。これは、サーバ認証や暗号化通信に TLS 1.2 などの標準技術を利用することを意味する。
コミュニケーション
システム・コンポーネント間の(インターネットを介した)パブリック・チャネル上の通信は、明示的に別段の設定がない限り(例えば、該当する場合、規制遵守のため)、暗号化されるべきである。この特定の通信方法は、中間者攻撃者による通信の盗聴や妨害を防ぎます。
ファームウェア・アップデート
よく知られたアルゴリズムと実装によって提供される署名によるファームウェア・アップデートの保護。クリティカル・ストレージ用に暗号化されたボリュームを持つ、専用のエア・ギャップ・サーバを 使用することで、権限のない第三者が不正なファームウェアに署名することはできない。四つの目の原則と、署名鍵へのアクセスと署名検証に関する健全な管理を実装することも、セキュリ ティを保証する。
鍵管理と署名プロセス
推奨されるベストプラクティスでは、ファームウェアは秘密鍵に署名しており、テレマティクス・プロバイダーは署名プロセス全体を管理すべきである。
重要な管理のためのもうひとつの選択肢は、クライアントがファームウェア・イメージを管理 できるようにすることである。しかし、そうすることは、配信のいくつかの側面に影響を及ぼし、より複雑で困難なも のになるかもしれない。優れたテレマティクス・プロバイダーは、クライアントを全面的にサポートし、クライア ントの希望に応じてコンフィギュレーションを支援する。
サーバー位置の確認
テレマティクスデータが保存されているサーバーやクラウドを徹底的に調査することが最も重要である。このステップを踏むことで、データの完全性が保たれ、データの保存と管理に関する現地の規制が遵守される。
プロエミオンのセキュリティ
当社のSSDLC(セキュアソフトウェア開発ライフサイクル)は、組織全体のセキュリティプログラムの一部を形成しています。SSDLC は、潜在的なセキュリティ問題を可能な限り早期に発見し、対処するのに役立ちます。SSDLC は、セキュアなソフトウェアのデリバリーにおける高いレベルの保証をお客様に提供します。
業界の最前線であり続けるという当社の野心に沿って、当社のセキュリティ・プログラムは常に進化しており、専任のサイバー・セキュリティおよび情報セキュリティの責任者が監督しています。
機能概要 - 機密データを悪質業者から遠ざける
ここでは、異なるデバイス間でのデータの安全な伝送を保証し、データ傍受の可能性を最小限に抑えるために使用しているセキュリティ対策の概要を説明します。
すべてのシステムコンポーネント(デバイスやクラウドサービスを含む)は、相互認証を伴う業界標準の暗号化通信(TLS)を実装しています。このシステムにより、安全でないネットワークで懸念される「中間者(man-in-the-middle)」攻撃を防ぐことができます。
デバイスは、TPMチップに安全に保存された秘密鍵を使用して、ウェブサービスに対して認証されます。デバイスのファームウェア・イメージは署名され、よく知られ、テストされたアルゴリズ ムと実装が署名を検証する。
下図は、システム・コンポーネントがどのように連携して機能するかを図式化したものです。
システム概要 - セキュア・バイ・デザイン
Proemionが開発したシステムは、監視対象の車両や機械に取り付けられたCANデバイスからデータを送信します。CANデバイスは、ECU(電子制御ユニット)が複雑な専用配線を必要とせずに通信できるようにする非公式のネットワークとして機能します。
その後、データはファイアウォールを通過し、Proemion DataPlatformに入力する前に認証されます。そこから2つ目のファイアウォールを経て、オンラインブラウザ経由でユーザーに提供される。
このアーキテクチャは最初から非常にセキュアであるため、お客様は中間者攻撃を防ぐことができ、安心することができます。
次の図は、当社のサービスを促進するためのデータの流れをより詳細に示しています。
安全なソフトウェアとソフトウェア開発ライフサイクル
セキュリティのベストプラクティスを SDLC(ソフトウェア開発ライフサイクル)に統合し、設計・開発から配備・運用に至るまで、社内アプリケーションが最高水準を満たすようにすることが不可欠です。そうすることで、内部および外部のセキュリティ脅威によるリスクを軽減することができます。
セキュリティのベストプラクティスは、トレーニングからセキュアコーディング標準、サードパーティコンポーネントのセキュリティ確保から侵入テストまで、幅広いトピックをカバーしています。
プロエミオンは、業界のベストプラクティスに沿って安全にソフトウェアソリューションを開発することに関して、長年にわたり業界のリーダーとして認められてきました。
当社のSSDLC(セキュアソフトウェア開発ライフサイクル)は、組織全体のセキュリティプログラムの一部を構成しています。SSDLC は、潜在的なセキュリティ問題を可能な限り早期に発見し、対処するのに役立ちます。SSDLC は、セキュアなソフトウェアの提供において、お客様に高いレベルの保証を提供します。
結論
建設テレマティクスにおけるデータセキュリティは、リスクを軽減し、安全なデジタル建設現場を確保するために極めて重要です。デジタルトランスフォーメーションへの道を成功裏に進むためには、積極的なアプローチ、十分に考え抜かれたセキュリティ対策、専門家との連携が不可欠です。データ標準とデータセキュリティの重要性が強調されることで、建設業界が直面する課題だけでなく、チャンスも浮き彫りになっている。より効率的で持続可能な建設業界への前進には、技術革新だけでなく、標準やセキュリティ対策を確立するための共同努力も必要です。
Proemionの顧客ベースである世界的に評価の高い産業機器会社は、世界クラスのテレマティクス・サービス・プロバイダーと提携していることを確信できる。
彼らは、プロエミオンが最も要求の厳しいアプリケーションにソリューションを提供できることを経験から知っている。プロエミオンはまた、業界をリードするセキュリティに支えられ、テレマティクス開発の最前線で30年以上にわたって培ってきた強固な基盤の上に構築されたソリューションを提供することができます。
昨今、技術は急速に進歩しています。プロエミオンは、世界中のどこからでも車両や機械を安全に制御できる、機敏で最先端のテレマティクス・ソリューションで、このような課題に対応することをお約束します。
業界をリードするテレマティクス・ソリューションで貴社の潜在能力を引き出すお手伝いができることをお知りになりたい方は、今すぐプロエミオンにご連絡ください。