V1: IoT エコシステム要件
管理目標
開発前に実施されるシステムセキュリティ設計、およびシステム開発を継続的にサポートし、ライフサイクルのすべてのフェーズに統合されるセキュリティプロセスは、セキュアな製品アーキテクチャ実装を作るために必要な基本です。反復的なシステム脅威モデリングは製品設計ライフサイクルの一環として悪意に備えて緩和計画を策定するための手段となります。
セキュアな開発プロセスにより、IoT エコシステムに必要なすべての機密情報と機能の識別と文書化が保証され、決められたレベルですべてのセキュリティコントロールが実施され、エンドユーザーと顧客に脆弱性が通知され、セキュリティソリューションが時間通りに提供されます。以下の参考情報セクションに記載されている関連の OWASP 検証標準を開発プロセスの一部として組み入れるようにします。
サプライチェーンはすべての IoT 製品のセキュリティにとって極めて重要です。セキュアな開発プロセスではサプライヤとサードパーティコードに対してすべてのセキュリティ要件が適切なセキュリティレベルのコントロールを実装しているかどうか、また開発時の機能がデバイスに残されて脆弱性にさらされていないかどうかを検証します。
作成されたすべてのソフトウェアのセキュリティを確保するには、システムソフトウェアに対するビルドプロセスを、すべてのコンポーネントの完全性と真正性を検証するセキュアなビルド環境で実行する必要があります。コードは最善のセキュリティベストプラクティスを使用して記述し、利用可能な最善のセキュリティオプションを使用してコンパイルする必要があります。
システム構成の変更にはセキュリティイベントの監査証跡を提供するために適切なログ記録および監視機能を採用する必要があります。イベントの詳細を示す属性は調査に役立ちますが、機密情報を含む過度に冗長なログはセキュリティリスクをもたらします。
セキュリティ検証要件
アプリケーションおよびエコシステム設計
サプライチェーン
セキュア開発
ログ記録
参考情報
詳細については、以下も参照してください。
OWASP Threat Modeling: https://owasp.org/www-community/Application_Threat_Modeling
OWASP Software Assurance Maturity Model: https://owaspsamm.org/
OWASP Secure SDLC Cheat Sheet: https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets_excluded/Secure_SDLC_Cheat_Sheet.md
Microsoft SDL: https://www.microsoft.com/en-us/sdl/
OWASP C-based Toolchain Hardening Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/C-Based_Toolchain_Hardening_Cheat_Sheet.html
OWASP Embedded Application Security: https://owasp.org/www-project-embedded-application-security/
Banned C Functions (Safe Strings library): https://github.com/intel/safestringlib/wiki/SDL-List-of-Banned-Functions
NIST Draft NISTIR 8259D: https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259D-draft.pdf
Last updated