2016年9月6日...
TRANSCRIPT
1. The Journey began/旅は始まった 2. What we’ve found?/何があったのか? 3. Why we‘ve focused on “C”/なぜコンシューマ? 4. Never ending story/終わりのない物語 5. The Journey Continues/旅は続く
旅は始まった
IoT のセキュリティは どうなっているのだ?
組み込み 開発者 新規ビジネス
開発担当者
クラウドサービス 技術者
セキュリティ 技術者
最初の IoT Security WG
リーダー
私はここで 助けを求めていた
1. The Journey began/旅は始まった 2. What we’ve found?/何をみつけたか? 3. Why we‘ve focused on “C”/なぜコンシューマ? 4. Never ending story/終わりのない物語 5. The Journey Continues/旅は続く
何をみつけたか?
自動車のセキュリティは業界関係者が話しているようだ
EVITA、IPA、FMMCなど
制御システムもセキュリティの標準化が進められているようだ
ISO/IEC、OMG/IIC、TNOなど
通信系もいろいろ検討しているようだ
oneM2M/ETSI/TTC/ARIB、TIA、CCSAなど
プロトコルにはセキュリティが徐々にとりこまれてきているようだ
MQ TT(いまひとつ)、XMPP(OSSの雄)、AMQP(OASIS)とかとか
で、 “IoT” という仕組みを意識して”システム全体” を俯瞰したセキュリティは?
連携する 他の IoTシステム
連携する 他の IoTシステム
IoTシステム
1. The Journey began/旅は始まった 2. What we’ve found?/何をみつけたか? 3. Why we‘ve focused on “C”/なぜコンシューマ? 4. Never ending story/終わりのない物語 5. The Journey Continues/旅は続く
2020年までに 250億台の IoT
*2014年度予測
12
18.421 22.445 28.749
131.725
30.32 37.5 48.805
250.066
0
50
100
150
200
250
300
2013年 2014年 2015年 2020年
Automotive
Generic Business
Vertical Business
Consumer
Total
*Gartner 2014 Nov. http://www.gartner.com/newsroom/id/2905717
その半数超は コンシューマー
Copyright (c) 2015-2016 NPO日本ネットワークセキュリティ協会
2020年までに 207億台の IoT
*2015年度予測
13
22.77 30.23
40.24
135.09
38.07 49.03
63.92
207.97
0
50
100
150
200
250
2014年 2015年 2016年 2020年
Cross-Industry
Vertical Business
Consumer
Total
*Gartner 2015 Nov. http://www.gartner.com/newsroom/id/3165317
総数が減り
コンシューマー の予測台数が 増えている
Copyright (c) 2015-2016 NPO日本ネットワークセキュリティ協会
半数以上を占めるコンシューマーデバイスが重要
インフラ/産業から個人へ
*Internetにつながる機器はより身近に
14
商取引
• スマート決済
• POS端末
• ATM
• 自販機の監視
• デジタルサイネージおよび電子看板
ヘルスケア
• ホームヘルスケア
• ヘルスモニター
• 遠隔医療
• 遠隔診療
• ウェアラブル測定器
自動車
• テレマティクス
• 車内エンターテイメント
• ナビゲーション
• 安全サービス
• コンシェルジュサービス
• 遠隔点検
• 保険の最適化
ガス・水道
• スマートメーター
• 遠隔制御
• 自動警告
• スマートグリッド
• 遠隔温度監視
産業
• サプライチェーンマネジメント
• Geo-fencing
• 機械の点検
• 資産管理
• 産業用制御システム
• 操業監視
スマートホーム
• スマート家電
• コネクテッドホーム
• 遠隔ビデオ監視
• ペアレンタルコントロール
個人用マイコンボード(RaspberryPi など)、ネットワーク玩具 など
Copyright (c) 2015-2016 NPO日本ネットワークセキュリティ協会
1. The Journey began/旅は始まった 2. What we’ve found?/何をみつけたか? 3. Why we‘ve focused on “C”/なぜコンシューマ? 4. Never ending story/終わりのない物語 5. The Journey Continues/旅は続く
終わりのない物語
17
117
操作用ディスプレイ
照明
来客記録
番組録画 エアコン
汎用マイコンボード:システム構成
Copyright(c)2015-2016NPO日本ネットワークセキュリティ協会
インターネット
スマートテレビ:システム構成
94
WiFi
有線LAN
USB
HDMI
クラウドサービス
Copyright(c)2015-2016NPO日本ネットワークセキュリティ協会
ウェアラブルデバイス:システム構成
102
USB
Wi-Fi/Bluetooth
クラウドサービス
アプリ
Wi-Fi
Copyright(c)2015-2016NPO日本ネットワークセキュリティ協会
ネットワークカメラ:システム構成
110
WiFi
有線LAN
PC・タブレット・スマートフォン
録画用NAS ・ SDカードローカルアクセス
接続サービス
Copyright(c)2015-2016NPO日本ネットワークセキュリティ協会
インターネット
終わりのない物語
18
想定される脅威:スマートテレビ
表 1:設定ミス、ウィルス感染
95
利用者による操作に起因する脅威 対策の為の機能およびサービス
脅威 説明 利用開始・導入初期 平常運用時 異常発生時 放置、野良状態 買い替え・廃棄時
操作ミス
・IoTデバイス内のユーザインターフェイスを介して 、 利利⽤
⽤者
が ⾏⾏⾏っ た 操作・設定が誤っていたことによりひきおこされる脅威・意図しないサービス事業者に個⼈⼈情
報を送付し
てしまう、通信の暗号機能を OFF にしてしまい通信情報が盗聴される、等
• パスワードを変更更しないと利利⽤
⽤開
始で
きない
• アプリケーションなどが最新の状態であることの確認と、更更新作業
• ネットワークカメラの接続先⼀⼀覧
の初期
化と証明書の更更新と
接続情報の設定• テスト(試⾏⾏⾏)モー
ドでの通信の確認
• ネットワークカメラの接続先と自自機
の証
明書の更更新• 定期的なパスワード
の更更新を
要求、更更新しないと利利⽤
⽤でき
な
くなる
• サポートセンターとの連絡⽅⽅法
を表⽰⽰させ
る
• ⼀⼀定期
間アプリケーションなどの更更新
を
⾏⾏⾏って
いない場合、利利⽤⽤で
きなくなる
• 設定の初期化(SkypeやYouTubeなどのアカウントからデバイスを削除なども含む)
• 廃棄時は物理理的
に
読み出し不不可
に
する• 連携先に廃棄を連絡、
廃棄通知は電話連絡先シールを添付
ウイルス感染
・利利⽤
⽤
者
が
外
部から持ち込んだ機器や記録媒体によって、IoTシステムがウイルスや悪意あるソフトウェア(マルウェア等)等に感染することによりひきおこされる脅威・IoTデバイスに感染したウイルスがネットワークを通じて更更に
他の IoTデバ
イスに感染、等
• パスワードを変更更しないと利利⽤
⽤開
始で
きない
• 製造元の信頼性の確認
• 接続可能な外部記憶装置(DLNA)の指定時に可能であればウィルススキャン
• スマートテレビをつなげようとしているネットワークが感染していないか確認
• 定期的なウィルスチェック
• 製造元からの脆弱性情報のチェックとアプリケーションなどが最新の状態であることの確認と、更更新作業
• 不不定
期
のウィルスチェック
• 製造元からの脆弱性情報のチェックとアプリケーションなどが最新の状態であることの確認と、更更新
作業
• サポートセンターとの連絡⽅⽅法
を表⽰⽰させ
る
• ⼀⼀定
期
間アプリケーションなどの更更新
を
⾏⾏⾏って
いない場合、利利⽤⽤で
きなくなる
• ⼀⼀定
期
間、ウィルススキャンを⾏⾏⾏っ
ていない
場合利利⽤⽤でき
な
くなる
• 設定の初期化(SkypeやYouTubeなどのアカウントからデバイスを削除なども含む)
• 廃棄時は物理理的
に
読み出し不不可
にする
• 連携先に廃棄を連絡、廃棄通知は電話連絡先シールを添付
Copyright(c)2015-2016NPO日本ネットワークセキュリティ協会
想定される脅威:スマートテレビ
表 2:盗難、破壊、盗聴
96
攻撃者による干渉に起因する脅威 対策の為の機能およびサービス
脅威 説明 利用開始・導入初期 平常運用時 異常発生時 放置、野良状態 買い替え・廃棄時
盗難
• IoTデバイスが盗まれることで、リバースエンジニアリングや、サービスの不不正利利⽤⽤などが⾏⾏⾏わ
れる 脅威
• IoTデバイスを誰かが持ち去る、など
• N/A • スマートテレビがネットワークから切切断されたことを検知し、ユーザーに通知し、利利⽤
⽤で
き
な
くなる
• スマートテレビがネットワークから切切断
され
たことを検知し、ユーザーに通知し、利利⽤
⽤で
きなくなる
• スマートテレビがネットワークから切切断
され
たことを検知し、ユーザーに通知し、利利⽤
⽤で
きなくなる
• N/A
破壊
• IoTデバイスが破壊されることで、サービスが利利⽤
⽤で
き なくなるか、サービスそのものが提供できなくなる脅威
• IoTデバイスが潰される、あるいは燃やされるなどにより使⽤⽤できなくなる、等
• N/A • 破壊されることでスマートテレビがネットワークから切切断されたことを検知し、ユーザーに通知する
• 破壊されることでスマートテレビがネットワークから切切断
された
ことを検知し、ユーザーに通知する
• 破壊されることでスマートテレビがネットワークから切切断
された
ことを検知し、ユーザーに通知する
• N/A
盗聴
• IoTデバイス内部やIoTデバイス同⼠士の通信や、IoTデバイスと周辺システムとの通信を権利利を有しない第三者に盗み⾒⾒⾒ら
れる 脅威
• センサーノードなどから得られた気温や湿度度、放射線量量などの情報が途中経路路で
盗
聴される、等
• 通信の暗号化でコンテンツを保護
• 相互認証⽅⽅法の
確認• Firewallや、侵⼊⼊検
知機能のあるネットワークの利利⽤
⽤を
推
奨
し、導⼊⼊時のオプ
ションとして⽤⽤意す
る
• 異異常
発
⽣⽣を検
知
し、ユーザーに通知し、利利⽤⽤で
きなくなる
• 記録保存するコンテンツや聴取・録画予約記録などを暗号化する
• 通信の暗号化• ⼀⼀定
期間アプリケー
ションなどの更更新を
⾏⾏⾏って
いない場合、利利⽤⽤で
きなくなる
• 物理理的に読み出し不不可にする
• 記録保存したコンテンツや各種設定を初期化し、読み出し不不可にする
Copyright(c)2015-2016NPO日本ネットワークセキュリティ協会
想定される脅威:スマートテレビ
表3:情報漏洩、不正使用
97
攻撃者による干渉に起因する脅威 対策の為の機能およびサービス
脅威 説明 利用開始・導入初期 平常運用時 異常発生時 放置、野良状態 買い替え・廃棄時
情報漏漏え
い
• IoTシステムにおいて保護すべき情報が、許可のされていない者に⼊⼊⼿
⼿
さ
れる脅威• 蓄積されたコンテンツや、
各種サービスのユーザ情報が、機器への侵⼊⼊や
通
信の傍受によって不不正
に
読み取られる、等
• アプリケーションなどが最新の状態であることの確認と、更更新作業
• ネットワークカメラの接続先⼀⼀覧
の初期
化と証明書の更更新と
接続情報の設定• 相互認証⽅⽅法
の確認
• Firewallや、侵⼊⼊検知機能のあるネットワークの利利⽤
⽤を
推
奨
し、導⼊⼊時のオプ
ションとして⽤⽤意す
る
• 記録保存するコンテンツや聴取・録画予約記録などを暗号化する
• 通信の暗号化• アプリケーションな
どが最新の状態であることの確認と、更更新作業
• 異異常
発
⽣⽣を検
知
し、ユーザーに通知し、利利⽤⽤で
きなくなる
• 記録保存するコンテンツや聴取・録画予約記録などを暗号化する
• 通信の暗号化• ⼀⼀定
期間アプリケー
ションなどの更更新を
⾏⾏⾏って
いない場合、利利⽤⽤で
きなくなる
• 動作監視(モニタリング)使⽤⽤状
の記録と監
視をメーカーのサービスとして提供
• 物理理的
に
読み出し不不可にする
• 記録保存したコンテンツや各種設定を初期化し、読み出し不不可にする
不不正
利
利⽤⽤
• なりすましや機器の脆弱性の攻撃によって、正当な権限を持たない者にIoTシステムの機能などを利利⽤
⽤さ
れ
る
脅威• 認証⽤⽤の
通
信をなりすます事により、サービスを不不正
に利利⽤⽤
する
、等
• アプリケーションなどが最新の状態であることの確認と、更更新作業
• ネットワークカメラの接続先⼀⼀覧
の初期
化と証明書の更更新と
接続情報の設定• 相互認証⽅⽅法
の確認
• Firewallや、侵⼊⼊検知機能のあるネットワークの利利⽤
⽤を
推
奨
し、導⼊⼊時のオプ
ションとして⽤⽤意す
る
• 認証情報の定期的な変更更と
変更更時に専⽤⽤
のモードで⾏⾏⾏う
(
ペアリング、⼆⼆段
階認
証など)• 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• デバイスそのものの偽者などはベンダー側のデバイスID管理理などで実現
• 異異常
発
⽣⽣を検
知
し、ユーザーに通知し、利利⽤⽤で
きなくなる
• 認証情報の定期的な変更更と
変更更時に
専⽤⽤の
モードで⾏⾏⾏う
(
ペアリング、⼆⼆段
階認証な
ど)• 動作監視(モニタリン
グ)使⽤⽤状の
記録と監視をメーカーのサービスとして提供
• 物理理的
に
読み出し不不可にする
• 記録保存したコンテンツや各種設定を初期化し、読み出し不不可にする
Copyright(c)2015-2016NPO日本ネットワークセキュリティ協会
想定される脅威:スマートテレビ
表4:不正設定、不正中継、DoS攻撃
98
攻撃者による干渉に起因する脅威 対策の為の機能およびサービス
脅威 説明 利用開始・導入初期 平常運用時 異常発生時 放置、野良状態 買い替え・廃棄時
不不正
設
定
• なりすましや機器の脆弱性の攻撃によって、正当な権限を持たない者にIoTシステムの設定値を不不正に変更更される脅威
• ネットワーク設定を変更更し、正常な通信ができないようにする、等
• ネットワークカメラの接続先⼀⼀覧
の初期
化と証明書の更更新と
接続情報の設定• 相互認証⽅⽅法
の確認
• Firewallや、侵⼊⼊検知機能のあるネットワークの利利⽤
⽤を
推
奨
し、導⼊⼊時のオプ
ションとして⽤⽤意す
る
• 動作・使⽤⽤状
態
のログ取得と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• 異異常
発
⽣⽣を検
知
し、ユーザーに通知し、利利⽤⽤で
きなくなる
• 動作監視(モニタリング)使⽤⽤状
態の記録と
監視をメーカーのサービスとして提供
• ⼀⼀定期
間アプリケーションなどの更更新
を
⾏⾏⾏って
いない場合、利利⽤⽤で
きなくなる
• 物理理的
に
読み出し不不可にする
• 記録保存したコンテンツや各種設定を初期化し、読み出し不不可にする
不不正
中
継
• 通信経路路を操作し、正規の通信を乗っ取ったり、不不正な通信を混⼊⼊させる脅威
• NFC(RFIDとか)の電波を不不正
に
中継し、攻撃者が車車車の
鍵の通信を鍵
の近くから中継して遠隔から鍵を解錠する、等、近接通信であるから安全とした前提を利利⽤⽤す
るもの
• N/A • 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• 異異常
発
⽣⽣を検
知
し、ユーザーに通知し、利利⽤⽤で
きなくなる
• 動作監視(モニタリング)使⽤⽤状
の記録と監
視をメーカーのサービスとして提供
• ⼀⼀定期
間アプリケーションなどの更更新
を
⾏⾏⾏って
いない場合、利利⽤⽤で
きなくなる
• 物理理的
に
読み出し不不可にする
• 記録保存したコンテンツや各種設定を初期化し、読み出し不不可にする
DoS 攻撃
• 不不正
も
し くは過剰な接続要求によって、システムダウンやサービスの阻害をひきおこす脅威
• IoTデバイスやサービスゲートウェイに過剰な通信を実施し、利利⽤⽤ 者の要求(エアコンの遠隔制御など)をできなくさせる、等
• N/A • 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• 異異常
発
⽣⽣を検
知
し、ユーザーに通知し、利利⽤⽤で
きなくなる
• 動作監視(モニタリング)使⽤⽤状
の記録と監
視をメーカーのサービスとして提供
• ⼀⼀定期
間アプリケーションなどの更更新
を
⾏⾏⾏って
いない場合、利利⽤⽤で
きなくなる
• N/A
Copyright(c)2015-2016NPO日本ネットワークセキュリティ協会
想定される脅威:スマートテレビ
表5:偽メッセージ、ログ喪失(証跡)
99
攻撃者による干渉に起因する脅威 対策の為の機能およびサービス
脅威 説明 利用開始・導入初期 平常運用時 異常発生時 放置、野良状態 買い替え・廃棄時
偽メッセージ
• 攻撃者がなりすましのメッセージを送信することにより、IoTシステムに不不正な動作や表⽰⽰を⾏⾏⾏わ
せる 脅威
• エアコンの遠隔操作のメッセージを改ざんし、設定温度度を⾼⾼くする、等
• 相互認証⽅⽅法
の
確認• Firewallや、侵⼊⼊検
知機能のあるネットワークの利利⽤
⽤を
推
奨
し、導⼊⼊時のオプ
ションとして⽤⽤意す
る
• 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• 異異常発
⽣⽣を検知
し、ユーザーに通知し、利利⽤⽤で
きなくなる
• 通信の暗号化• 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• ⼀⼀定
期
間アプリケーションなどの更更新
を⾏⾏⾏って
い
ない場合、利利⽤⽤できなく
なる
• N/A
ログ喪失(証跡)
• 操作履履歴
等
を消去または改ざんし、後から確認できなくする脅威
• 攻撃者が自自⾝⾝の⾏⾏⾏った攻撃⾏⾏⾏動についてのログを改ざんし、証拠隠滅を図る、等
• 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• 動作・使⽤⽤状
態
の記録と監視をメーカーのサービスとして提供(ウェブサイト経由で確認できるなど)
• 物理理的
に
読み出し不不可にする
• 記録保存したコンテンツや各種設定を初期化し、読み出し不不可にする
Copyright(c)2015-2016NPO日本ネットワークセキュリティ協会
終わりのない物語
IIoTやITSなどは政府や業界がすでに対応を始めている
クラウドのセキュリティ、ネットワークのセキュリティはITセキュリティの延長線上で担保できる(と思う)
デバイスのアクセス管理、データ保護、認証システムは組み込みシステムの制約を意識しなければならず最適な⼿法がない
コンシューマー IoTの課題はコストと責務
どこまで何をどのように守れるのかを判って実装できなければ、IoTは「Internet of Threats」でしかない
19
1. The Journey began/旅は始まった 2. What we’ve found?/何をみつけたか? 3. Why we‘ve focused on “C”/なぜコンシューマ? 4. Never ending story/終わりのない物語 5. The Journey Continues/旅は続く
旅は続く
21
JNSAのガイドはあくまでも「サンプル」
個々の製品に適⽤するための作業は「これからやらなければ」ならない
「サンプル」を「使えるもの」にする
IoT機器の特性、仕様のあるべき姿を理解する
「脅威⼀覧表」を作成する
脅威一覧表を作成する
22
操作ミス 情報漏洩の可能性、不正アクセスの可能性
ウィルス感染 感染の可能性、プログラム・データ保護の仕組みの実装可能性
盗難 設置場所や環境
破壊 破壊の検知可能性、難破壊性
盗聴 通信内容の重要性
情報漏洩 データやコンテンツ保護の有無
不正利⽤ なりすましなどによる不正利⽤で想定される損害
不正設定 不正に設定変更される
不正中継 通信の乗っ取りや改ざん
DoS 攻撃 システムやサービスの提供の阻害
偽メッセージ メッセージの書き換えによる不正な動作
ログ(証跡)喪失 ログの削除による証拠隠滅
脅威一覧表を作成する:「操作ミス」「ウィルス感染」
23
「操作ミス」によって⽣じるリスクを検討する
情報漏洩の可能性、不正アクセスの可能性を検討する
1. 機器やシステムの設定、個⼈情報が外部に流出しない
2. インターネットから検出可能にならない
「ウィルス感染」の可能性を検討する 感染の可能性、プログラム・データ保護の仕組みの実装可能性
1. 感染可能なOS、プラットフォームである場合、アンチウィルス、ホワイトリスト、アクセス制御などによる対策を検討する
2. 媒体や、ネットワークアクセスによる感染(あるいは書き換え)の可能性と対策を検討する
3. プログラムやデータの保護、アクセス制御や冗長化などによる対策を検討する
脅威一覧表を作成する:「盗難」「破壊」
24
「盗難」されることによって⽣じるリスクを検討する 設置場所や環境
1. 盗難されても、システム全体に影響がないように
2. 盗難されても、情報漏洩など⼆次被害につながらないようにする
3. あるいは、盗難されにくいようにする(取り外せない、あるいは取り外すと破壊され通知される)
「破壊」されることによって⽣じるリスクを検討する 破壊の検知可能性、難破壊性
1. 破壊されたことが検知できる
2. 破壊されにくい(物理的に、電子的に)
脅威一覧表を作成する:「盗聴」「情報漏洩」
25
「盗聴」によって⽣じるリスクを検討する 通信内容の重要性
1. 通信を暗号化する
2. 通信データそのものが意味を持たない構造にする(データの意味とデータとを分離する)
「情報漏洩」によって⽣じるリスクを検討する データやコンテンツ保護の有無
1. データやコンテンツを暗号化する
脅威一覧表を作成する:「不正利用」「不正設定」
26
「不正利⽤」によって⽣じるリスクを検討する なりすましなどによる不正利⽤で想定される損害
1. 当該システム内でのデータやファイルは暗号化され、鍵がなければ復号できないようにする
「不正設定」によって⽣じるリスクを検討する 不正に設定変更される
1. 設定変更の際に⼆重化された認証を利⽤することで不正な設定変更をやりにくくする
2. 定期的に設定の確認を⾏なうようにする
脅威一覧表を作成する:「不正中継」「DOS攻撃」
27
「不正中継」によって⽣じるリスクを検討する 通信の乗っ取りや改ざん
1. 通信の異常検知の導⼊(あれば)
「DoS 攻撃」によって⽣じるリスクを検討する システムやサービスの提供の阻害
1. DoS を検知し排除する仕組みの導⼊(あれば)
2. DoS がデバイス側に発⽣した場合、デバイスとクラウドとの経路を動的に切り替える(できるなら)
脅威一覧表を作成する:「偽メッセージ」「ログ喪失」
28
「偽メッセージ」によって⽣じるリスクを検討する メッセージの書き換えによる不正な動作
1. メッセージやコマンドの異常を検知する
2. 偽メッセージで書き換えしにくいように通信を暗号化する
「ログ(証跡)喪失」によって⽣じるリスクを検討する ログの削除による証拠隠滅
1. ログを分散して保存する(すべてのログは記録できなくとも)
2. ログはデバイスではなくサーバー上に保存(トラフィックが少なく帯域やデバイスに余裕がある想定であれば)
ご静聴ありがとうございました [email protected]