産業用無線IoTデバイスに発見された脆弱性がOT環境を危険にさらしている

OTORIOはこのほど、産業用の無線IoTデバイスの脆弱性の問題について調べた調査結果を「Wireless IIoT Security: The Elephant in OT Environments」において公開した。研究チームは、主要ベンダー4社の製品から計38件の脆弱性を発見し、この問題が広い範囲に影響を与える可能性があることを確認したという。産業用無線IoTデバイスは企業のOT(Operational Technology)ネットワークに直接接続されていることが多く、これらの脆弱性が重要なインフラを危険にさらす危険性があるとして警告している。

OTネットワークのセキュリティアーキテクチャを表すモデルとしては「Purdueモデル」がよく用いられる。Purdueモデルでは、システムの運用技術(OT)と情報技術(IT)をレベル0からレベル5までの6つのレベルに分けて考えるモデルである。このうちレベル0から3は物理的な装置の制御を含む製造ゾーンとされ、極めて厳格なセキュリティ保護が要求される。レベル4と5は、データベースサーバやアプリケーションサーバ、公衆ネットワークへの接続などを含むエンタープライズゾーンであり、製造ゾーンとはDMZを介して分離されている必要がある。