IoTが引き起こす問題は誰が責任を負うべきか 51
ストーリー by hylom
ハード屋とソフト屋の距離 部門より
ハード屋とソフト屋の距離 部門より
taraiok曰く、
周辺機器や産業機器をインターネットに接続するのは簡単だ。しかし、こうしたIoTデバイスが引き起こす問題に誰が責任を負うのか。デンマークの研究者は、「The Internet of Hackable Things(PDF)」と題された調査書を公開した。この調査書ではIoT機器の抱えるユーザーインタフェースのクロスサイトスクリプティングや一部証明書の脆弱性、パスワード解析ソフトで70%の機器がパスワードを簡単に解析されてしまう、多くの機器が暗号化されていないネットワークを使用していることなどを指摘している(NETWORKWORLD、Slashdot)。
デバイスメーカー側にも責任の一端があると指摘する。開発段階からセキュリティのことを考慮している組織は48%。デバイスのリモートアップデートを提供している企業は49%。IoTのセキュリティ専門家を雇う企業は20%ほどしかいない。またセキュリティ研究者にデバイスの脆弱性を特定する企業は35%しかいない。
著者らは、IoTのセキュリティ問題は技術的なものよりも文化的な側面が大きいとし、人間の理解とアルゴリズムを統合することが解決策に繋がるとしている。セキュリティを一つの課題として扱うのではなく、IoT製品の開発ライフサイクル全体を通してセキュリティを考慮することが必要だとしている。
最初から (スコア:2)
概念が登場した最初から「セキュリティ不安が解決されなきゃ使わんぞ」と思ってたけど道は遠そう。
the.ACount
売ったら後は知らんがな (スコア:1)
ファームのアップデートって何?というボードメーカーは結構多い。
特にボードメーカー自身でOSの移植をしていない場合は最悪。
穴だらけの古いopensslを使うのと暗号無しのどっちが安全か、と
正直悩むぐらいひどい状況だと思っていればあながち間違いとは言えない。
なのでクラッキングの練習としては非常にいいプラットフォームです。
でも悪用はしちゃダメだよ :)
Re:売ったら後は知らんがな (スコア:1)
エバリューションボードのサンプルに入っていた、
「ここサンプルなんで固定だけど製品化する時はちゃんと実装してね(意訳)」
ってのが見事にそのままだった製品ボードとかも有りますからね。
問題を引き起こした人が悪い (スコア:1)
ユーザーが悪い?
現実問題としてユーザーが機器の問題点まで把握するのは難しいからユーザーに責任を問うのは筋違い。
「これは穴あるから使うな!」とリコール入ったのを知っていて使い続けて問題を引き起こしたなら別だけど。
デバイスメーカーが悪い?
ファームのアプデ機能を入れるのはさほど難しくはないけど、脆弱性の情報収集と修正の開発・配布をし続けるというのは難しい。MicrosoftでさえXPのようにまだ使われているOSの修正を投げ出してるぐらいだし。
出荷段階で致命的な穴があると知っていてそれを放置して売り続けるというなら別だけど。
ユーザーもメーカーも責任の一端はあるに決まってるけど、当たり前ながら一番悪いのは穴をついて悪用してる人。その人物に責任を問うべき。
Re:問題を引き起こした人が悪い (スコア:2)
モノを売るにも使うにも、都合が良くて良いと思う。
#よくてよいとは...
Re: (スコア:0)
犯人の特定や摘発がほぼ確実にできなきゃ、絵に描いた餅。
そうだ!それこそIoT技術を駆使して監視社会を!だな。
Re: (スコア:0)
犯人の摘発が難しいから製造者やユーザーに責任を負わせよう♪というわけかなw
Re: (スコア:0)
それなら、問題がある(たとえばサポート終了である)ことを知らせないメーカーが悪いということになるのでは?
アップデートし続けろと言うわけではなく、ライフサイクル終了は積極的に知らせるべきだと思います。
マイクロソフトもxpは終わった旨を積極的に告知してましたし、iotというなら尚更できなくはない話。
#サポート終わったルーターとかかなり動いてると思うんですよねえ...
Re: (スコア:0)
> それなら、問題がある(たとえばサポート終了である)ことを知らせないメーカーが悪いということになるのでは?
Appleの製品なんてみんなそんなもんですね
iPhoneなどiOS製品も、MacなどPC製品も、いつのまにか切り捨てられて、それも明示されません
AppleWatchのWatchOSもおそらく同じことになるでしょう
AppleWatchなんて、普通に腕時計として5年10年使おうとしたら確実にセキュリティホールガバ空きになりますけどどうするんでしょう
Re: (スコア:0)
毎回アップデートがあるたびに、どの端末が対象か丁寧に告知してるでしょ。
そこから漏れてたらサポート終了ってことだ。知らない人は、確認しない自分が悪い。
OSサポート切れで社会的に騒ぎになるのはデスクトップのWindowsだけでしょ。
そのほかはAndroid含め、サポート中なのか、セキュリティ気にする人以外は知りもしないし気にもしてない。
Re: (スコア:0)
S○NY「弊社の製品は、サポートが終了したら自動的に停止するようにできてます」
Re: (スコア:0)
問題があるって判断が難しすぎる。
致命的という人もいれば、何が問題なの?って言い合いになるだけ。
法で定義されている責任者、じゃないの? (スコア:1)
どこの国にも日本で言うところの製造物責任法に該当する法律があると思うんだけど、それにのっとって責任を取る、以外になにか考える要素はあるのかと……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:法で定義されている責任者、じゃないの? (スコア:1)
日本の製造物責任法は、責任を問われるのは製品を引き渡したときにあった欠陥が対象。
だからこの手の問題に対しては製造物責任法では対象外になる。
> 第四条 前条の場合において、製造業者等は、次の各号に掲げる事項を証明したときは、同条に規定する賠償の責めに任じない。
> 一 当該製造物をその製造業者等が引き渡した時における科学又は技術に関する知見によっては、当該製造物にその欠陥があることを認識することができなかったこと
Re: (スコア:0)
「開発時に十分なテストを実行しておれば発見できたものであり、予見不可能とは言えない」
ほら近頃、気に入らないプロダクトについては、逆汗結果を貼ってまで殴ってくるブログとかもざらにあるじゃん?
Re: (スコア:0)
> 十分なテスト
どれくらいが「十分なテスト」なんでしょうね? というところを明確にした、規格や学説がないので無理だと思います。
マニュアルに書いてある操作すらできない、ぐらいのガバガバな状態なら兎も角、そうでない例外処理とかは気がつかなくても仕方が無い部分はあるような。
# 開発危険の抗弁というのがあってry
使う人だろ (スコア:0)
どんな問題が起きるか想像も出来ないような人は問題に遭えばいい。
つくる人だろ (スコア:1)
どんな問題が起きるか想像も出来ないような人はデバイスをつくるべきではない。
Re: (スコア:0)
EULAに何か起こったら全部ユーザが悪いって書いとけばいいじゃん
Re: (スコア:0)
そうやって新しいことを始めようとしてる人を叩きまくって落ちぶれたのが中世ジャップランド(笑)なんだろうに
かつての邪悪なM$(笑)みたいにごり押しでも何でもいいから新しいものを出し続けないと発展しないよ
Re: (スコア:0)
言ってることはわかる。ただ、ありえないことなんて、ありえないんだなあ
Re: (スコア:0)
そういう理屈だけでは普及はかなわないし安全も確保できません。
家電品に様々な安全基準や規制があるのもそのためです。
利権構造を生まずバランスのとれたルール作りは難しいですけど。
少なくとも、野放しだけじゃ何も解決しませんよ。
Re: (スコア:0)
そう思う人はルール作りでもなんでもすればいいけど、
どんなルールがあったところで、自分に必要な
安全のレベルを考えてそれを確保するのは結局は使う人だよ。
それが出来ない人にはいずれ問題が起きる。
Re: (スコア:0)
ざっくり言えばそりゃそうだろうと思う。
けど、これからますます技術が発展して製品が生活の隅々まで入り込んで来ると、使用の主体がどっちなのかもよくわからんとか、どっちの製品が悪いのかよくわからんとか、そういう状況も生まれるんと違う?
Re: (スコア:0)
Wi-Fiスポットの場合、基本的にデフォルトで暗号化された設定で売られてる。
もしこれを暗号化なしで売ってたら、おそらく消費者はそのまま使ってるだろう。
自分で設定・管理できない消費者がアホで自己責任だ、といえばそうかもしれないが、やはりメーカー側で最低限のことはやっておく責任はあると思う。
消費者を守るためにも。
なので、メーカーはやることはきっちりやっとけ、と思う。
その上で、消費者がバカなことをするなら消費者の責任だ、と言えるだろう。
日本の過剰品質をここにぜひ。 (スコア:0)
日本の奴はすごいぜ!かっちかちだ!!
モノはオープンソースだけど、あんなのちゃんと運用できるの日本人だけだ!
と言われるようなのを作ってくれよ
IoTのファームはLinuxでなくてもいいわけだし、今まさに、活躍の場はあるのでは
Re: (スコア:0)
最近でも日本製って過剰品質なんですかね。
Re: (スコア:0)
あなたの身の回りのものが中国製に変わっただけ。
Re: (スコア:0)
最近の中国製は品質いいですからね
Re: (スコア:0)
ソフトウェア以外はそうかもしれん。
Re: (スコア:0)
日本メーカー製と言い直して、エレコムとかバッファローとかどう思う?
昔のバブル時の必要の無い所まで金を使った商品とは違うよな。
#あれ?もっと言いたいメーカーが有ったと思うが、無意識が避けて居るのかなんか出ない。
Re: (スコア:0)
日本品質をあきらめちゃった世代の製品な。MELCOの頃はまた違ったかも。
その、あきらめちゃったやつを、IoTで復活せえと。
もちろん、「いらん機能てんこもりサービス」に逃げずに。
Re: (スコア:0)
>日本の奴はすごい(マゾだ)ぜ!かっちかち(に硬直化した作りで更新もままならない)だ!!
>モノはオープンソースだけど、あんなのちゃんと(作り直さずにだましだまし)運用できる(被虐性がある)の日本人だけだ!
ところどころ言葉が抜けていたようなので直しておきますね。
Re:日本の過剰品質をここにぜひ。 (スコア:2)
> マゾ
が
> かっちかち
よっぽどな所を攻められてる。
Re: (スコア:0)
皮肉のつもりだったかしらんが、考えてみたらシャレになってない、
設置者は、install and forget を期待してるわけで、
実際に、更新もままならない運用、作り直さずにだましだまし運用できる品質が求められてる気がする。
セキュリティ付きフレームワーク (スコア:0)
を使うことで大概の人にとっては問題は解決! のはずなんだけど、
問題はどのフレームワークがデファクトになるかだな。
Re: (スコア:0)
ワークエリアを 8キロバイト近く使えるような高級なデバイスもあれば、64バイトとレジスタしかないようなデバイスもあるしな。乗っ取らりや偽装データ化に関しては、この中でも対策は必要。今はFPGAのっけて外部とのやりとりを全部暗号化してるだけだが。
まぁLinux動くような奴だと、どうとでもなると思うけど。
セキュリティ研究者にデバイスの脆弱性を特定する企業? (スコア:0)
> またセキュリティ研究者にデバイスの脆弱性を特定する企業は35%しかいない。
この文章、どういう意味でしょうか?解読出来る人いますか?
原文が英語で、訳を間違えたのかな?
Re:セキュリティ研究者にデバイスの脆弱性を特定する企業? (スコア:2)
Only 35% invite third parties (like hackers) to identify vulnerabilities in their devices.
第三者(ハッカーのような)に自社デバイスの脆弱性を特定するように求めている企業は35%しかいない。
かなぁ。
Re: (スコア:0)
脆弱性の分析を依頼しているケース、コンテスト形式で報奨金を出しているケース、報告を受け取って修正しているケースを合わせて35%ってことじゃないかな。
65%はいまでも「お前が発見するまでわが社の製品は安全だったのだ、お前が壊さなければみんな幸せだったんだ。お前は犯罪者だから修正などしない」という態度だと。
Re:セキュリティ研究者にデバイスの脆弱性を特定する企業? (スコア:1)
「セキュリティ研究者に(自社の)デバイスの脆弱性を特定する(ことを依頼する)企業」くらいじゃないか。
つまりたぶん、プロによるブラックボックステストをもっと受けるべきだろ、という方向性?
で (って一文字のタイトルってだけでなんではねられるのか) (スコア:0)
IoTはそんなリスクをおかしてまでも「必要」なんですか。
Re: (スコア:0)
その昔、OA化が叫ばれたぐらいに必要なんじゃね?
Re: (スコア:0)
知らない人、使ったことがない人の「そんなの要らないだろ」って判断は
はっきり言ってアテにならない。
誰が責任を負うのかはともかく、利用者も考えてほしいということか (スコア:0)
Re: (スコア:0)
このままあちこち脆弱性だらけになったら攻殻機動隊みたいな世界が実現するよ
ウィリアム・アームストロング曰く (スコア:0)
「物の力を人間の意思に従わせることが技術者の仕事であって、それを正しい用途に使うことは利用者の責任である」
エスメラルダ号が敵艦を真っ二つにしようが
戦艦三笠がバルチック艦隊を撃破しようが
利用者の責任
とかくこの世は世知辛い (スコア:0)
違法なことは何もしておらず、迫害には徹底的に戦う。
銀の弾丸などない (スコア:0)
自分でサポートする前提でオープンソースを使うか、DOS攻撃ぐらいしか仕掛けられない昔ながらの組み込みに回帰するしかないんじゃ
Raspberry Piで自作するのが安心なのか? (スコア:0)
少し前まで、中古品でいいから
ネットワーク接続の防犯カメラ欲しいなぁ…と思っていました。
でも、なんかラズパイが広まってくると
自分でOSのアップデートまで面倒見れるのであれば
既成品よりも安心なんじゃないか?
セキュリティアップデートの継続が期待できない旧機種の中古購入は
変にリスクがあるんじゃないだろうか?
みたいなことを考えるようになりました。
まぁ、めんどうくさくてラズパイは購入したものの
ちゃんとネットワークカメラとか動体検知カメラとか
組んだこと無いんですけどね…
さぁ、オレが組んだとして
OSのセキュリティアップデートとかまで
ちゃんと実施していけるのかよ?
という運用者,管理者のセキュリティホールに悩む事例