ウェアラブルデバイスは企業ネットワークに対する脅威ですか？

ウェアラブルは、2014年の決定的な技術トレンドの1つであり、2015年の終わりには再びリストに載ることになるでしょう。 マイクロソフトには新しいフィットネスバンドがあります。 タグ・ホイヤーがスマートウォッチを作成しています。 調査会社IDCは、ウェアラブル製品の出荷数は今年4570万台に達し、2014年から230パーセント以上増加すると予測しています。

しかし、消費者と技術ジャーナリストがこれらのデバイスを期待して待っている間、企業のIT部門はそれらに注意を払っています。 彼らにとって重要な質問の1つは、これらのデバイスが職場にどのように影響するかです。 無害ですか、それともほとんど目に見えないセキュリティの脅威がネットワークをダウンさせるのを待っていますか？

最も弱いリンク

2007年にスマートフォンの普及が始まって以来、企業は消費者製品の職場への流入に対処してきました。ある意味では、ウェアラブルデバイスはこの傾向の延長です。 FitbitやJawbone UPなどのフィットネストラッキングデバイスは、データのペアリングとオフロードをスマートフォンに依存しています。 Apple Watchなどのより複雑なデバイスでも、集中的な処理タスクやGPSナビゲーションなどの機能をスマートフォンに依存しています。

ただし、これらのデバイスは脅威をもたらすため、企業は既存のBYODポリシーに依存して自分自身を安全に保つことはできません。

ウェアラブルデバイスはスマートフォンと密接に通信し、これらの電話が接続するネットワークに間接的にアクセスできる場合があります。 現在のウェアラブルデバイスには、スマートフォンにあるセキュリティ機能がないため、これがシステムのいわゆる「弱いリンク」になります。 ハッカーがスマートウォッチのセキュリティを破ることができる場合、企業ネットワークにもアクセスできる可能性があります。 ネットワークアクセスに多要素認証を使用することは、これを防ぐ1つの方法です。

ウェアラブルデバイスの設計もセキュリティを損なう可能性があります。 ほとんどのウェアラブルは画面スペースが限られている（またはまったくない）ため、振動やタップを介して通信します。 これにより、消費者は自分のデバイスと電話を簡単にペアリングできます。 また、ユーザーをだまして、デバイスを未知のサードパーティとペアリングさせることも容易になります。 最近の実験で、Kaspersky Labの研究者は、多数のスマートバンドがサードパーティのデバイスとの接続を許可し、場合によってはデータを抽出できることを発見しました。 スマートバンドとペアリングしようとしているものを正確に特定する画面または明確な方法がなければ、ユーザーはデバイスをタップするだけで、リクエストが無害であると仮定して確認することができます。 これらのタイプの攻撃を防ぐには、適切なセキュリティプロトコルについて従業員を教育することが最善の方法です。

限られたハードウェアの利点

IT部門にとっての朗報は、ハッカーがウェアラブルデバイスにアクセスしたとしても、多くの場合そこにいないことです。 現在のほとんどのデバイスは、歩数やアクティビティパターンなどの少数のメトリックのみを収集します。 また、多くのデバイスは、データを数時間ごとにクラウドにオフロードして、追加のスペースを解放します。 これは、ハッカーがユーザーをtrickしてサードパーティのデバイスとペアリングさせる作業に行くと、おそらく数時間のステップカウントにしかアクセスできないことを意味します。

スマートウォッチはハッカーにとって潜在的にジューサーの標的ですが、それでもリスクは比較的低いです。 ウェアラブルデバイスと携帯電話間のほとんどの通信は、Bluetoothを介して行われます。 6桁のPINで暗号化されています。 このPINはブルートフォース方式を使用して解読できますが、ハッカーはデバイスの近くにいる必要があります。 通信チャネルが侵害されると、デバイス間で送信されたプレーンテキスト通信を見ることができます。 それでも、企業が極秘情報に取り組んでいない限り（そしてデータ収集やその他の目的でウェアラブルを使用している場合を除き）、ハッカーが企業のスパイ活動からもこれから多くを得ることはほとんどありません。

これらの安全対策は、現在のハードウェアの制限のために存在します。 ウェアラブルデバイスがますます強力になるにつれて、ハッカーにとってより多くの利益が得られ、ビジネスにとってより大きな影響があります。 ウェアラブルデバイスのプロファイルが低いため、IT部門は厳密に規制することが難しくなります。つまり、適切な予防措置とセキュリティ対策について従業員をトレーニングすることが優先事項となります。 テクノロジーの分散化が進み、仕事用デバイスと個人用デバイスの境界がさらに曖昧になると、企業ネットワークは最も弱いリンクと同じくらい強力になります。