セキュリティ上の欠陥を利用しようする动きが活発になると、広范にわたる脆弱性を利用しようという动きも活発化します。各种の脆弱性を考虑した上で、システムにどのような影响を及ぼすかを把握しておくことが重要です。础谤尘は脆弱性の种类を、通信、物理、ライフサイクル、ソフトウェアの4つの领域に分类しました。
通信の脆弱性
攻撃者は、デバイスからサーバーに戻ってくるメッセージを傍受、スプーフィング、または妨害するためにさまざまな手段を试すことができます。暗号化を利用した防御のベストプラクティスは、通信中のデータ値の増加と一致している必要があります。
物理的な脆弱性
2種類に大別される半導体デバイスへの攻撃: 非侵襲型と侵襲型。非侵襲型(サイドチャネル)は、チップにさまざまな方法の観察を試みることで情報を詐取します。これらの方法には、電圧の改変、電磁気署名の妨害などの摂動技術の使用が含まれます。侵襲型技術には、チップのプローブに対する開設やパッシベーション層の一部の改変が含まれます。
ライフサイクルの脆弱性
デバイスは、工场から个人ユーザーに渡り、メンテナンスを経て廃弃に至るまで、何人もの手から手へと渡っていきます。デバイスの整合性は、各手顺で保护される必要があります。谁が修理しているのか、どのように机密データが扱われるのか。この2点が、ファームウェア?アップグレードの合法性のポイントです。盗难、超过使用、奥颈-贵颈の切り替えなどの予想外または禁止されている事项は、すべて考虑すべき脆弱性です。
ソフトウェアの脆弱性
これこそが最も一般的な攻撃でつけ入られる隙であり、ここから第叁者が既存のコストを使って制限のあるリソースにアクセスする方法を见つけるのです。ソフトウェアのバグや予期せない呼び出しシーケンスが招くこの脆弱性により、クラス全体が胁威に晒されることになります。
主なセキュリティ目标
Armは、PSA Certifiedの創設者として、すべてのコネクティッドデバイスが10の基本的なセキュリティ目標を達成する必要があると考えています。これらの目標は、一部の最も基本的なセキュリティ脅威の克服に有用であり、セキュリティに基準線があることを明確に示します。これらの10のセキュリティ目標を達成するには、特定の対策を含め、さまざまなことが必要になります。
対策
デバイスに適したセキュリティ製品を選択するには、4つのタイプの脆弱性を考慮しながら、慎重に分析して脅威のレベルを明確にする必要があります。確認: アプリケーションのアセットは何ですか。どれくらい脆弱ですか。それらが無防備な場合、ビジネスにどのようなリスクがありますか。攻撃者がアセットにアクセスするためにどのくらいの時間を要しますか。PSA Certifiedでは、セキュリティ設計を始める際に、まず分析とこれらの重要な質問への回答を行い、脅威のモデル化(または保護プロファイル)を使用して、適切な対策を明確にするよう勧めています。この広範な解析が完了すると、セキュリティ要件の一覧が表示されます。この一覧から、最善の対策をアプリケーション用に選択しましょう。
Armが提供する幅広い種類のセキュリティ滨笔により、各種の脆弱性に関連するリスクを軽減できます。これらの対策には、暗号方式、セキュリティサービス、分離、改ざん防止によりサポート可能な製品が含まれます。