ラズベリーパイのセキュリティ対策
PiLink製のPL-R4/R5シリーズにおいても基本的なセキュリティ対策は一般のラズベリーパイと同様です。
下記をご参考に、ご使用環境やご用途に応じてより強力なセキュリティ対策もご検討ください。
ユーザー名と初期パスワードの変更
デフォルトのユーザー名「pi」と初期パスワードが設定されている場合には、強力なパスワードへの変更を必ず行います。
「pi」ユーザー以外の新規ユーザーへの切替えもセキュリティの強化には有効です。
自動ログインの無効化
自動ログインが有効になっていると電源投入時にユーザー名・パスワードの入力が不要でデスクトップ画面が表示されます。そのまま誰でも使用できる状態となるため、セキュリティの観点からは自動ログインは無効化することを推奨します。
SSHの認証方法を見直す
SSHのログイン認証方式にはパスワード認証と公開鍵認証の2種類あります。
SSHを有効にした際、パスワード認証方式にするとブルートフォース攻撃(パスワードの組み合わせの総当たり攻撃)でログインされてしまうリスクがあります。パスワードを10桁や12桁以上にすることで突破されにくくなるといわれていますが、総当たり攻撃のパスワード解読時間は近年高速化しています。
パスワード認証を無効にして公開鍵認証方式に設定するとより安全です。
SSHのポート番号を変更する
デフォルトのSSHポート番号は22であることが広く知られています。
攻撃を受けやすいため、ポート番号を変更することが対策となります。
RootユーザーのSSH接続を禁止する
Rootユーザーのパスワードを設定することはリスクになります。Root権限ではどのような作業もできてしまうため、Rootパスワードが攻撃者に解読されると侵入や乗っ取られる恐れがあるためです。
デフォルトでは管理者権限をもつRootユーザーのパスワードは設定されていませんが、パスワードを設定する場合は外部から侵入されないようRootユーザーによるSSHログインは無効化してください。
ファイアウォールの導入
ラズベリーパイでもファイアウォールの導入はセキュリティの向上に有効です。
ufw(Uncomplicated Firewall)などRaspberry Pi OSでも使用できるファイアウォールがあります。
不要なポートの閉鎖
使用しないポートが開放されていると外部からの不正アクセスのリスクが高まります。
ufwなどのファイアウォールで使用しないポートは閉じておくことでリスクを低減できます。
ソフトウェアとOSのアップデート
インストール済みのソフトウェアやOSはアップデートを定期的に行い、最新のセキュリティパッチを適用してください。これにより既知の脆弱性を修正することができます。
無線ネットワークのセキュリティを強化する
無線によりネットワーク接続する際の基本的な対策はラズベリーパイでも一般のPCやスマートフォンと同様です。信頼できるネットワークを使用し、WPA3や強力な暗号化方式を採用してください。
Wi-Fi接続のパスワード(パスフレーズ)を暗号化することもセキュリティの対策になります。
▶技術ブログ参考記事:はじめての産業用ラズパイでWi-Fiを設定する方法
現場利用においては産業用セキュリティルータを外部ネットワークとの間に導入したり、ホワイトリスト方式で制限を設けセキュリティを強化する方法もあります。
データ損失に備える
一般のラズベリーパイではSDカードにシステムを書き込むためSDカードの耐久性や抜き取りによるデータ損失の懸念がありますが、PiLinkの産業用ラズベリーパイではシステムはオンボードのeMMCに書き込まれるためそうしたリスクを下げられます。
また、イメージのバックアップを保管しておくことで万一障害が起きた場合にも復旧が容易になります。
不要な機能・サービスを無効化する
使用しない機能やサービスが有効のまま放置されていると適切なアップデートやセキュリティ修正が行われず攻撃を受けるリスクにつながります。例えばSSHやVNC、Wi-Fi、不要なユーザーアカウント、使用しなくなったソフトウェアなど、不要な機能やサービスは停止や削除を行ってください。