ma_an0530
2018年4月30日 5時12分
Armadillo-IoT G3を使用しております。
OSのセキュリティ設定について、Armadillo特有の設定事項、考慮事項のようなものはありますでしょうか。
一般的なサーバ等の機器と同様のセキュリティ設定(例えば、不要サービス停止、sshルートログイン禁止、不要ポート閉塞等)を検討すればよいのでしょうか。
コメント
at_koseki
2018年5月7日 19時13分
古関です。
ネットワークのセキュリティ設定であれば、サーバ・PC等の一般論を考えていただけば良いと思います。
・強度のあるパスワード設定
・不要サービスの停止
・sshルートログイン停止
(+パスワード認証によるログインの禁止)
・不要ポートを閉じる
・クラウド・機器・センサー間の通信を暗号化する
・debianパッケージや各種ソフトウェアパッケージのセキュリティーアップデートを取り込む(最新版にする)
・弊社からリリースされるカーネル、ブートローダーのセキュリティーアップデートを取り込む(最新版にする)
等など・・
* 参考URL
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/
https://www.ipa.go.jp/security/vuln/10threats2018.html
また、盗難対策、安全な機器の破棄の方法、ソフトウェア資産のコピー防止
等も考慮する必要があるかもしれません。
「Armadillo特有な事項」となりますと、特別なものは特に無いのですが、
組み込み向けボードのセキュリティ対策という観点で、
不要なハードウェアインターフェース無効化を考慮したほうがいいかもしれません。
例えば、Armadillo-IoT G3の出荷状態ですと、SDブートやJTAG、シリアルコンソールがデフォルトで有効になっております。
不特定の人間が機器に触れることが物理的に可能な場合や、盗難時などに、
これらの経路から任意のコマンドやソフトウェアを動作させ、
ソフトウェア資産や、機器内に保存されている保護したいデータが抜き取られてしまうというリスクもゼロではありません。
SDブートやJTAG、シリアルコンソール、他の不要なインターフェースを使用不可にすることは技術的には可能ですが、
不具合時の解析や保守がしにくくなってしまうというデメリットもあります。
(i.MX7Dのe-fuse設定変更やKernelコンフィグレーションなどで無効化可能)
これらは、お客様のユースケース、かけられるコスト、
セキュリティをどこまでケアしたいかに依存する部分であり、
一意にご回答するのが難しい部分でもあります。。。
よろしくお願い致します。
ma_an0530
2018年5月7日 13時23分
どなたか、ご回答はありますでしょうか。