前のエントリで、「消費者保護のための共同行動の原則」を見てみました。
次の原則2は、「(意識・理解向上の原則)脅威に対する認識と理解を高め、消費者が自分自身とネットワークを守るための支援を行うための行動をとる。」となります。
デフォルトを消費者保護としたとしても常に保護できるわけではないので、「第2レイヤー」が必要になり、それが、意識と理解の向上ということになります。
この原則は、フィッシング攻撃の経済的・評判的リスクを減少させて、なりすましやそれによる不正行為を特定する、連絡や意識向上に貢献して信頼を向上させ、対応をより早期にする、スパムや詐欺的メールの数を減少させることなどのインパクトがあるとしています。
この原則に基づく推奨事項としては、消費者へのガイダンスとしては
勧告1:セキュリティのベストプラクティスに関する最低限のガイダンスと、関連する場合には国のイニシアティブとリンクした不審な活動を報告するためのルートを顧客に提供する。
勧告2:システム上で特定された疑わしい活動や脆弱性を消費者に迅速に通知する仕組みを確立し、必要に応じて、あらゆる問題に対処するための支援を提供する
とされています。また、電子メールでは、DMARC(ドメインベースのメッセージ認証、報告および適合性)を推奨しています。Smishing対策として、そのリスクの理解のエコシステムの構築と減少、報告を推奨しています。
原則3は、(連携強化の原則)ということで、「セキュリティのベースラインを向上させるために、ハードウェア、ソフトウェア、およびインフラメーカーとの連携を強化する。」ということになります。
これは、特に廉価なネットワークデバイスが攻撃の標的になりやすいということのでそのための対応をとるべきであるということを意味しています。特にIoTデバイスがそのような標的になる場合には、重大なインパクトを引き起こしかねません。
この原則は、犯罪者が攻撃を開始する可能性のある攻撃面を減少させ、その結果、消費者とISPの両方への潜在的な犯罪の影響を減少させること、 消費者の間で優れたセキュリティ慣行を奨励し、サプライチェーン全体のセキュリティ基準と透明性を高めること、 接続されたエコシステムのセキュリティと、それを支える通信インフラの安定性を高めることを目標としています。
そのための推奨事項としては
脆弱性のあるデバイスによる被害を防ぐために、一般的に大多数の消費者が必要としないプロトコルを制限することを検討してください。
CPEの管理プロトコルがネットワークの外部からルーティングされないようにブロックし、管理プレーンがインターネットからアクセスできないようにします。
となります。機器を介して行われた攻撃のほとんどは、デフォルトで WAN 側から利用可能な特定の管理関連プロトコルに依存することが一番目の理由で、それゆえに、 ISP には、telnet、SSH、UPNP、SNMP など、一般的に顧客の大多数が必要としないプロトコルを、デフォルトで消費者の端末にインバウンドするように制限することを検討することを推奨するということです。
また、CPEというのは、 consumer premises equipmentになります。 ルーターやスイッチなどの機器になります。これらの機器が悪意あるトラフィックを生み出していますとされます。
また、推奨事項2は、
サプライチェーン全体での IoT デバイスの許容可能な最低基準を明確にするためのイニシアチブとフレームワークの採用を支援し、奨励する。
となります。具体的な標準としては、ETSIの消費者用IoTデバイスのの標準、OTAのセキュリティ・プライバシートラスト枠組み(日本語訳にリンク)、カリフォルニアのIoTサイバーセイキュリティ法(湯淺先生の論文)などが紹介されています。
次は、原則4に続きます。
