組込みシステムのセキュリティガイドの整備と車載分野への高 ... · 2019-04-01 · • oneM2M: – Security Solutions v2.4.1 (TTC より日本語版あり

組込みシステムのセキュリティガイドの整備と車載分野への高信頼化機能適用検討について

2017年11月2日重要生活機器連携セキュリティ協議会専務理事・事務局長伊藤公祐

© Connected Consumer Device Security Council Proprietary 1

IPA/SECセミナー

2

本日のお話の内容1. CCDSとは2. IoTシステム向けセキュリティガイドライン3. 車載分野への高信頼化機能適用検討4. まとめ

2© Connected Consumer Device Security Council Proprietary

3

CCDSのご紹介• 名称：一般社団法人重要生活機器連携セキュリティ協議会

– 英名：Connected Consumer Device Security council (CCDS)• 設立：2014年10月6日• 会長：徳田英幸（情報通信研究機構理事長、慶應義塾大学客員教授）• 代表理事：荻野司（京都大学特任教授）• 専務理事・事務局長：伊藤公祐（ゼロワン研究所）• 理事：後藤厚宏（情報セキュリティ大学院大学教授）

長谷川勝敏（イーソル（株）代表取締役社長）服部博行（（株）ヴィッツ代表取締役社長）

• 会員数：152（正会員以上：44, 一般会員：80, 学術系：16, 提携団体：12）

• 主な事業：1. 生活機器の各分野におけるセキュリティに関する国内外の動向調査、

内外諸団体との交流・協力2. 生活機器の安全と安心を両立するセキュリティ技術の開発3. セキュリティ設計プロセスの開発や検証方法のガイドラインの開発、

策定および国際標準化の推進4. 生活機器の検証環境の整備・運用管理及び検証事業、セキュリティに

関する人材育成や広報・普及啓発活動等

© Connected Consumer Device Security Council Proprietary

4

IoT活用ー＞セキュリティリスクの増大

サイバー空間における脅威がモノへ


5

IoT環境で対象となるシステム領域例

Managed Unmanaged＝CCDSの主な対象

fixed

movable

電力

電車

自動車

インフラ

スマホ

ロボット

スマートホーム

SIP：重要インフラ等におけるサイバーセキュリティの確保

スマートタウンATM

スマートメータ

スマート健康機器

HEMS端末

スマート家電

IoT/ホームゲートウェイ

慶應義塾大学教授/CCDS会長徳田英幸氏「IoTセキュリティの課題」より


6

・検証業務をサポートする共通基盤開発－組込み機器評価・検証基盤システム

・セキュリティ検証ツール開発－車載、IoT-GW、ATM、POS分野

・テストベット検討

検証基盤構築

・セキュリティガイドライン策定－セキュリティガイドラインWG

（車載、IoT-GW、ATM、POS-SWG）

・IoTセキュリティ対策技術の体系化－デバイスセキュリティ技術SWG

－ユーザビリティWG

・ガイドライン国際標準化検討

標準化推進

・国内外のガイドライン、標準化動向

・検証手法、検証ツールの調査・研究

・脅威事例の収集、ハッキング技術調査

・認証制度の実現に向けた調査

動向調査・研究

人材育成・オープンセミナーの開催

－セキュリティシンポジウム－検証技術セミナー

－CCDSガイドライン勉強会 .etc

・ワークショップの開催－検証ツールハンズオン講習会

・シンポジウム、セミナーの主催・調査資料、ガイドラインの公開

・提携団体での講演活動

普及啓発

CCDSの事業分野


２． IoTシステム向けセキュリティガイドライン


8

機能安全とセキュリティ• IoT普及において、セキュリティ懸念が増しているが、

IoT向け生活機器のセキュリティ標準が未整備。

原子力

自動車

医療機器

機能安全（セーフティ）セキュリティ

IEC 61508「電気・電子・プログラマブル電子の機能安全」

IEC 62443「汎用制御システムのセキュリティ」

IEC61513

ISO 26262

IEC 60601

プロセス産業 IEC61511

白物家電 IEC60335

産業機械類 IEC62061

基本分野別

未策定

組織分野別

ISO 27001「ISMS：情報セキュリティマネジメントシステム」

製品・部品のセキュリティ機能

ISO 15408「セキュリティ評価・認証」

生活機器に関するセキュリティ評価・検証・認証

を行うためのガイドライン・標準規格

スキームがない

CSSCが制御システムを評価・検証・認証

「コモンクライテリア（CC)」セキュリティ機能を評価・検証

JIPDECが認定した認証機関が組織の

セキュリティ体制を認証CSSC:技術研究組合制御システムセキュリティセンターIPA：独立行政法人情報処理推進機構JIPDEC一般財団法人日本情報経済社会推進協会

基本

ガイドラインレベル

策定中または未策定

IoT推進コンソ・IPA


9

IoTセキュリティガイドラインの例（海外）• Dept. of Homeland Security

– STRATEGIC PRINCIPLES FOR SECURING THE INTERNET OF THINGS (IoT)• oneM2M:

– Security Solutions v2.4.1 (TTCより日本語版あり)– Security v2.0 (TR analysis)– End-to-End Security and Group Authentication v2.0

• CSA: – Security Guidance for Early Adopters of the Internet of Things (IoT)– Identity and Access Management for the Internet of Things – Summary Guidance– Security Guidance for Smart Health, for Smart Cities, for Smart Retails– Analysis of Hardware Security Options for the IoT– Checklist for Secure IoT Device Development– Internet of Things (IoT)インシデントの影響評価に関する考察 (CSAジャパンより日本語版あり)– Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products（同

上）• OWASP

– IoT Security Guidance (Draft)• https://www.owasp.org/index.php/IoT_Security_Guidance

• GSMA: – IoT Security Guidelines (Overview, for Service Eco-Systems, for End Point Eco-Systems, and

for Network Operators)– IoT Security Self-Assessment

• SAE:– J3061（Cybersecurity Guidebook for Cyber-Physical Vehicle)

• Continua Health Alliance– End-to-End Security for Personal Telehealth

他にもいっぱいあると思います…


10

IoTセキュリティガイドラインの例（国内）

• NISC（内閣サイバーセキュリティセンター）– 「IoTセキュリティ一般的枠組み」

• http://www.nisc.go.jp/active/kihon/pdf/iot_framework2016.pdf• IoT推進コンソーシアム（IoTセキュリティWG）・総務省・経済産業省

– 「IoTセキュリティガイドライン」• http://www.iotac.jp/wg/security/

• IPA– 「つながる世界の開発指針」

• https://www.ipa.go.jp/files/000051411.pdf– 「つながる世界の開発指針の実践に向けた手引き＜高信頼化機能編＞

• https://www.ipa.go.jp/files/000059278.pdf• JNSA（IoTセキュリティWG）

– 「コンシューマー向けIoTセキュリティガイド」• http://www.jnsa.org/result/iot/data/IoTSecurityWG_Report_Ver1.pdf

• CCDS– 「分野別セキュリティガイドライン」車載器編、IoT-GW編、オープンPOS編、ATM編

• CCDSホームページ「公開資料」コーナーで一般公開中！• https://www.ccds.or.jp/public_document/

他にもあるかも…


IoTセキュリティガイドラインの概要

IoT推進コンソーシアム IoTセキュリティガイドライン概要資料より


12

IPAでの組込みセキュリティの取り組み• つながる世界の開発指針をリリース（ 2016年３月）

– IoT機器やシステムを開発するメーカーに向けて、従前の安全基準対応だけでなく、セキュリティ対応にも目を向けた開発を実施してもらうための、基本的な実施すべき項目をセキュリティガイドラインとして策定

– 主査：名古屋大学高田教授– CCDS学術メンバー

– 副査：情報セキュリティ大学院大学後藤教授（CCDS理事）

– CCDSガイドラインWGメンバーが策定に協力

– 成果は、IoT推進コンソーシアムIoTセキュリティガイドラインのIoTシステム設計・製造・管理のガイドラインに組み込まれる

– 第2版公開– 実践編となる「高信頼化機能編」も公開


13

「IoT高信頼化機能」の解説

IPAより「つながる世界の開発指針」の実践に向けた手引き【IoT高信頼化機能編】を作成（2017年5月８日公開）



分野別セキュリティガイドライン

IPA「つながる世界の開発指針」やIoT推進コンソーシアム/総務省/経済産業省「IoTセキュリティガイドライン」を上位概念として、製品分野ごとに対策すべき脅威が異なることから、各分野ごとの視点でセキュリティの取組みを整理し、各業界にセキュリティ・バイ・デザインの考え方を理解しやすくする。

対象分野

ガイドラインの主な内容と改良点

車載器システム構成 POSシステム構成ATMシステム構成IoT-GW：ホームGWケース

・車載器・ATM（金融端末）・IoT-GW ・POS（決済端末）

・対象とするシステム構成・想定されるセキュリティ上の脅威・製品ライフサイクルの各フェーズにおけるセキュリティの取組み（IPA「つながる世界の開発指針」やIoT推進コンソーシアム「IoTセキュリティガイドライン」との相関表）

・脅威分析・リスク評価の方法・製品全体およびセキュリティ対策機能の第三者セキュリティ評価

・別冊読本の追加（実践的ケーススタディ、べからず集など）

・分野別ガイドラインv1：2016年6月リリース・同英語版：2017年4月リリース・分野別ガイドラインv2：2017年5月リリース

CCDS分野別ガイドラインの位置づけ


CCDS車載器編

CCDSIoT-GW編

CCDSATM編

CCDSオープン

POS編

IoTセキュリティガイドライン

IoT推進コンソ総務省

経済産業省

IoTサービス提供者

IoT基盤・ネットワーク提供者

IoTシステムベンダー

IoTセキュリティ

一般的枠組NISC

製品分野横断で活用できる安全・安心なIoTシステムの開発指針

（チェックリスト）

製品分野ごとの視点での脅威やリスクポイントの具体化

設計段階からのセキュリティ検討ポイントの整理

産業展開協力

IoTサービス関係者全レイヤに向けたセキュリティガイドライン

サイバーセキュリティ

戦略NISC IoTシステムの設計・構築・運用にかかる

基本的な一般要求事項の明確化

日本の考え方の国際展開

セキュリティ・バイ・デザイン思想によるIoTシステム開発の

提唱

検討協力

参照

提案

参照

つながる世界の

開発指針

2016年3月リリース



2017年5月末改訂版リリース

CCDSの取組み成果＜セーフティとセキュリティの国際規格の策定状況＞

原子力

自動車

医療機器

機能安全（セーフティ）セキュリティ

IEC 61508「電気・電子・プログラマブル電子の機能安全」

IEC 62443「汎用制御システムのセキュリティ」

IEC 61513

ISO 26262

IEC 60601

プロセス産業 IEC 61511

白物家電 IEC 60335

産業機械類 IEC 62061

基本分野別組織分野別

ISO 27001「ISMS：情報セキュリティマネジメントシステム」

製品・部品のセキュリティ機能

ISO 15408「セキュリティ評価・認証」

CSSCが制御システムを評価・検証・認証

NISC：内閣サイバーセキュリティセンターCSSC:技術研究組合制御システムセキュリティセンターIPA：独立行政法人情報処理推進機構JIPDEC一般財団法人日本情報経済社会推進協会JNSA：特定非営利活動法人日本ネットワークセキュリティ協会

基本

CCDS「製品分野別セキュリティガイドライン」

策定中または未策定

NISC「安全なIoTシステムのためのセキュリティに関する一般的枠組」

総務省・経済産業省・IoT推進コンソーシアム「IoTセキュリティガイドライン」

IPA「つながる世界の開発指針」

JNSA「コンシューマー向けIoTセキュリティガイド」

車載分野

IoT-GW分野

金融端末分野

決済端末分野

生活機器に関する

セキュリティ評価・検証を行うためのガイドライン・標準規格・

スキームがない


さらに、、、IoTセキュリティ評価・検証ガイドライン

評価検証方針・計画策定

評価検証設計

運用保守製品企画設計・製造評価・検証廃棄

評価検証実行評価検証完了・報告

総括・フィードバック

※「CCDS製品分野別セキュリティガイドライン Ver.1.0」に準拠し「評価・検証」フェーズを詳細化


製品分野別セキュリティガイドラインがIoT機器の開発者向けだったのに対し、IoT機器品質評価者向けに、セキュリティ評価に必要な基本プロセスと具体的な評価方法をガイドラインとして整理した

・ ISO/IEC/IEEE 29119、NIST SP800-115といった国際標準を参考に策定

・スマートホーム分野での実例を交え、IoT機器全般を対象に、具体的なセキュリティの評価検証プロセスを体系的に整理

・評価検証仕様書の策定手順の解説- リスク分析から対策の立案、評価検証ツール

の選定方法、テストケース策定までを網羅- どこまで評価検証すべきか、評価検証(監査)

レベルの定義事例を参考掲載

・検出されたインシデント（脆弱性）レポート記載要件の定義

- IPA-ESBRガイドラインを基に記載要件を整理- 深刻度指標のリスク評価手法の解説

・豊富な参考資料- 脆弱性評価検証ツールリスト- スマートホーム脆弱性評価検証仕様書- リスク評価手法（CVSSｖ３他9種）

目的

ガイドラインの特徴

ガイドラインの主な内容

18

ガイドラインから国際標準化• ISO/IEC JTC1 SC27/WG4およびSC41 国内委員会が始動– ISO/IEC JTC1 SC27/WG4：

• 日本のIoTセキュリティガイドラインをベースに、米国CSAなどからの提案を加味した目次案を検討中。10月下旬のベルリン会合にてNew Work Item化の予定。

– ISO/IEC JTC1 SC41：• IoTセキュリティガイドラインレベルの議論と、すでに発行されているIoTリファレンスアーキテクチャ（ISO/IEC 30141）の間を埋める文書「IoTを安全にするための一般的要求事項」として明文化することを検討中。IoTシステムの高信頼化のための設計要求事項を導出する考え方とする方向。

• ITU-T SG17– Q6：IoTセキュアアップデートスキーム提案をNICT中心に提案中。CCDS 分野別ガイドラインIoT-GW編をNICT経由で紹介。

– Q13: ITS専門の新しいWGが発足。CCDS分野別ガイドライン車載器編を紹介。


19

ガイドラインから法制化• 米国

– IoT Cybersecurity Act 2017」法案• IoTデバイスにセキュリティ機能の搭載を強制する法案が提出された（2017.08.04）

• 概要：– IoT製品の政府調達条件として、メーカー側に既存(IoT)製品のソフトウェアアップデートと、その証明を要請し、修正がきかないハードコードのパスワードを用いることを禁ずるもの。

– また、この法案はIoTデバイスを政府へ販売するベンダー側にも及ぶことになる。

• 評価要件：– 既知の脆弱性はすべて排除しておくこと– アップデートは、適切に認証され、信用できるものとすること– 通信・暗号・機器などとの相互接続には、業界標準技術を使用すること


20

ガイドラインから法制化• 米国

– FTCの動き• 台湾製のルーターに対する訴訟事例

– 複数の脆弱性が発覚⇒メーカー対応が不十分（パッチ提供も解決せず）– 約1万3千ルータのクラウド接続サービスから不正アクセスインシデント⇒和解：ただしメーカに対し、セキュリティ管理策の実施記録保持と20年間のセキュリティ監査（第三者による脆弱性診断）実施

– FDA規制• Postmarket Management of Cybersecurity in Medical Devices

(2016年12月施行）• 対象：稼働中のデバイス・システム• メーカへの要求事項：

– 自社・他社製品の脆弱性についての情報収集– 自社製品の脆弱性について検証および影響を評価– 脆弱性発見時の、開発・生産管理チーム等との社内連携体制の構築– インシデントへの迅速な対応– 実際にサイバー攻撃を受けた時の縮退運転機能の明確化– アップデートやパッチの配布方法・脆弱性情報の公開基準について定義


セキュリティに対するメーカー責任が拡大

21

ガイドラインから法制化• 欧州：EU Cybersecurity Agencyによる認証制度「EU Framework for Cybersecurity Certification」– 2017/9/19リリース

http://europa.eu/rapid/press-release_IP-17-3193_en.htm– 目的：IoTのTrustworthiness（信頼性）の確保– 対象は、EU圏におけるプロダクトとサービスの両方

• EUのFood Label（食品安全表示）のようなイメージ• サイバー犯罪者に対する法的罰則も検討

– 詳細は不明。考え方を示したレベル。


３．車載分野への高信頼化機能適用検討


23

「開始～終了」の考え方• 利用開始後に複数の利用者で共有される場合は、「開始～終了」が複数階層になり、それぞれで考慮が必要

②システム構築サービス開始（設定）

利用中 ⑤サービス終了システム解体（設定解除）

⑥機器・システムの破棄

①機器・システムの入手 ③開始 ④終了

・・・③開始 ④終了

※アクセス範囲などは契約によって設定される場合がある

が詳細は言及しないネットワーク

クラウドビッグデータ

＜レンタカーシステムの例＞

開始～終了

開始～終了

開始～終了レンタカー情報分析(クラウド)

レンタカーサービス（車両）

貸出し


24

２３のIoT高信頼化機能• 初期設定や認証など、具体的な機能を紹介• 一般的な機能名ではあるが、IoTについて考慮した内容としている– 例）機器の認証や、軽量暗号、ホワイトリストによるウイルス対策等 IoT高信頼化機能

1 初期設定機能 9 ウイルス対策機能 17 冗長構成機能

2 設定情報確認機能 10 暗号化機能 18 停止機能

3 認証機能 11 リモートアップデート機能 19 復旧機能

4 アクセス制御機能 12 監視機能 20 障害情報管理機能5 ログ収集機能 13 状態可視化機能 21 操作保護機能

6 時刻同期機能 14 構成情報管理機能 22 寿命管理機能

7 予兆機能 15 隔離機能 23 消去機能8 診断機能 16 縮退機能


25

フェーズ項番項目内容高信頼化機能企画・開発３対策の検討 ⑤接続される機器やアプリソフトの正当性

を確認する。３認証機能

企画・開発７未知の脅威への対応

④ログを残し後から解析できるようにしておく

５ログ収集機能

運用４アップデート ②リモートでアップデートできる仕組みを講じておくと更に望ましい。

11リモートアップデート機能

運用３ユーザへの注意喚起

①不審な機器が接続されている場合や、おかしな挙動を検知した場合に、ユーザに注意をうながす表示をする等の工夫をすることが望ましい。

12監視機能


③異常を検出した時には、機能を停止させるなど適切な対応がとれるようにしておくのが望ましい。

18停止機能

廃棄２初期リセット ①初期状態にリセットできるようにしておく。

23消去機能

◇ IoT高信頼化機能編対応既存ガイドラインv2.0に記載済の内容

※記載内容はIoT高信頼化機能編を参考に見直しする予定

CCDS車載SWGでの検討製品分野別セキュリティガイドライン車載器編


26

フェーズ項番項目内容高信頼化機能運用追加初期設定 ①IDやパスワードを初期設定のまま使わ

ないよう注意喚起する②推測されやすいパスワードや短いパスワードの設定を回避する

③定期的なパスワードの変更を推奨する

１初期設定機能

企画・開発３対策の検討 ⑪ウイルス等不正プログラムへの防御対策や検知対策を講ずる

９ウイルス対策機能


⑤カメラやミリ波レーダ、超音波センサ、車外との通信機能へのジャミング攻撃により、これらの情報の信頼性が著しく低下した場合に、センサを切り離したり、性能を制限しても処理を継続できるようにしておくことが望ましい。

16縮退機能

◇ IoT高信頼化機能編対応追加案



27

フェーズ項番項目内容高信頼化機能運用追加早期復旧 ①異常が発生しシステムの停止や、ネッ

トワークから切り離されても、リブートやネットワークの再接続により、早期に復旧できるようにしておくことが望ましい。

19復旧機能

廃棄追加 End of Life ⑪セキュリティを確保するためのサポートが終了した時に、ネットワークに紐づく機能・サービスを使えなくできるようにしておくことが望ましい。

22寿命管理機能

◇ IoT高信頼化機能編対応追加案（つづき）



28

1 初期設定機能システムの構築・接続時や利用開始時に必要な設定が実施されるようにする。 13 状態可視化機能

機器・システムの稼働状態を表示する。

2 設定情報確認機能機器・システムの設定情報の確認を行う。

14 構成情報管理機能機器・システムを構成している情報を管理する。

3 認証機能利用者、機器などを一意に識別し、本人、あるいは、正しいものであるかどうかを確認する。 15 隔離機能

異常の発生したアプリケーションや機器・システムを、他の正常なアプリケーション、機器・システムから遮断する。

4 アクセス制御機能守るべきものを保護するために、守るべきものに対する操作を制限する。 16 縮退機能

システムの一部に障害が発生しても、機能や性能を制限し、稼働を完全に停止することを防ぐ。

5 ログ収集機能機器やシステム上で発生した事象を追跡可能とするために、発生したイベントに関する情報を蓄積する。 17 冗長構成機能

システム、あるいはシステムを構成する機器などを複数用意することにより、一つのシステムや機器に障害が発生しても全体としては機能や性能を維持する。

6 時刻同期機能機器・システム間で時刻を合わせる。

18 停止機能機器・システムが放置され処理の継続が危険な場合や、異常の発生により処理の継続が困難な場合などに、機器・システムを停止する。

7 予兆機能近い将来に異常となることが見込まれることを予測し、正常な範囲内でも対応を促す。 19 復旧機能

障害が発生し処理の継続が困難な場合に、機器・システムを処理の継続可能な状態に戻す。

8 診断機能異常発生の可能性が高い状態に陥っていないかをテストなどにより積極的に確認する。 20 障害情報管理機能

障害の解析に必要な情報を収集し管理する。

9 ウイルス対策機能ウイルス感染の被害を防止する。

21 操作保護機能機器・システムの放置や盗難により、不正な操作をされる可能性がある状態にあるときに操作を受け付けない。

10 暗号化機能機器やシステムに格納されたデータ、または通信経路上のデータを、暗号技術を用いて電子署名や暗号化を行う。

22 寿命管理機能稼働時間や使用期間を過ぎた利用を防止する。

11 リモートアップデート機能ソフトウェアの不具合や脆弱性を改修するために、遠隔で更新を行う。 23 消去機能

機器やシステムを破棄するときなどの情報の漏えいを防止する。

12 監視機能機器・システムの異常を検知する。

IoT高信頼化機能

◇ IoT高信頼化機能編対応（検討中）

追加予定記載済



29

CCDS車載SWGでの検討製品分野別セキュリティガイドライン車載器編リスク値変化のスタディ• 「べからず集」の脅威事例をもとに、「IoT高信頼化機能」を含めて対策を適切に施したとき、リスク値が下げられるかの検討を試行。


30

まとめ

• 今日のお話– CCDSという団体の概要– 2016年はガイドラインラッシュ– ガイドラインから国際標準化および法制化へ

• セキュリティへのメーカー責任が問われる時代に– セキュアな製品にするための高信頼化機能– ＞車載システムへの適用検討事例の紹介

• 今後（CCDSの課題）– IoTセキュリティ検証ツールと評価作業の一般化（普及、人材育成、低コスト化）

– セキュリティ対策コスト（対策機能追加、検証）を製品価値として見える化する認証プログラムの検討


31

分野別セキュリティガイドラインなどCCDSホームページ「公開資料」コーナーで

無料公開中！https://www.ccds.or.jp/public_document/

本日はご清聴ありがとうございました


Documents

組込みシステムのセキュリティガイドの整備と 車載分野への高 ... · 2019-04-01 · • oneM2M: – Security Solutions v2.4.1 (TTC より日本語版あり

組込みシステムのセキュリティガイドの整備と車載分野への高 ... · 2019-04-01 · • oneM2M: – Security Solutions v2.4.1 (TTC より日本語版あり