IoT時代のセーフティ・セキュリティ確保に向けた …...2015/12/07 · IoT時代のセーフティ・セキュリティ確保に向けた課題と取組み 2015年12月7日

IoT時代のセーフティ・セキュリティ確保に向けた課題と取組み

2015年12月7日

情報セキュリティ大学院大学

後藤厚宏

2015/12/07 IPA SECセミナー 0

医療・ヘルスケアネットワーク

ホームゲートウェイ

蓄電池・コジェネ

HEMSネットワーク

電力会社

省エネ制御家電・照明

EV/HV

スマートメータ

太陽光発電

HEMS端末

医療・ヘルスケア機器ウェラブル機器

医療・ヘルスケアサーバ

ロボット介護

ITS＆自動車安全機能の連携

テレマティクス端末、データレコーダ等

Newサービス

後付車載器

車載 ECU

車車間通信持込機器

ITS路側機

自動運転

４K・８Kコンテンツ

ホームサーバ

ネットワーク家電

HEMS関連企業

コンテンツ提供企業

医療機関・ヘルスケア企業

サービス提供サーバ（クラウド）

自動車メーカ・交通管制Convenience

お弁当セール

生活圏の公共エリアのネットワーク機器

ATM機器メーカ

遠隔監視・制御

オフィスエリアのネットワーク機器

MFP

出典：一般社団法人重要生活機器連携セキュリティ協議会提言

AVネットワーク

IoT時代：様々なモノやサービスがつながる世界


IoT時代におけるサービスの変化

インターネット

環境・構造情報管理・分析センタ

社会状況データ管理・分析センタ

DB

環境・構造情報をセンシングし、可視化情報や将来予測等のアセスメント情報を提供

個人の健康状態や屋内外の環境因子をセンシングし、ヘルスケア情報を提供

社会状況をセンシングし、渋滞回避等の次のアクションのための意思決定支援情報を提供

20:00 22:00

CO2

パーソナル情報管理・分析センタ

環境・構造情報センシングパーソナル情報センシング社会状況センシング

混雑度測定

渋滞予測橋梁健全性体内環境

室内環境

移動履歴

地滑り監視

氾濫監視水質等環境監視

個人から地球環境まで、あらゆるところにセンシングデバイスが遍在する社会が到来。

街頭防犯カメラ


ＩｏＴの接続デバイスは2020年に250億

（出典：Gartner公表データより作成）

ＩｏＴデバイスの半数以上は、消費者関係（consumer）

0

5,000

10,000

15,000

20,000

25,000

30,000

2013 2014 2015 2016 2017 2018 2019 2020

Automotive Consumer Generic Business Vertical Business

Connected Things（百万）

Total：250億

32億

52億

132億

35億


IoTの特性と課題


Management

Mobility

Fixed

Movable

プラント制御システム

通信・放送・電力・ガス等インフラ

スマート家電

ウェアラブル端末

鉄道等

自動車等

人工衛星等

PAD型POS端末

オフィス機器

医療機器等

スマートハウス

Strong（Single）

Weak（Numerous）

環境センサー等

スマホ

H27年度新規SIP 「重要インフラ等におけるサイバーセキュリティの確保」本日の主テーマ

• 大規模• 社会的インパクトが甚大

• 設備の寿命（減価償

却期間）が長い

つながる世界のリスク

事例１：無線で心臓ペースメーカーの停止可能

（出展： http://www.vice.com/read/i-worked-out-how-to-remotely-weaponise-a-pacemaker ）

米国で、心臓ペースメーカーへの伝送装置を利用して10m弱の距離から致死に至る電流を流したり、プログラムを書き換える実験について公表された。医療品や医療機器は、複数の法律により品質や安全性の確保が進められているが、セキュリティに関しては世界的に規格や法制度が十分ではないため、メーカーが意図的な攻撃を考慮していなかったための脆弱性があった。

特に人命に関わる機器やシステムについては、想定しない者が「つなげてしまう」のに対処するため、開発時から攻撃者の立場に立って脅威を見つけ出して対応することが必要がある。

攻撃用ソフトウェア

不正な命令や設定変更

電流を流したり、停止させる攻撃

攻撃者


事例２：複合機のセキュリティの脆弱性

（出展：読売新聞サイト）

大学などに設置されたコピー・プリンタ複合機が、外部からインターネット経由でアクセスして複合機に蓄積されていた試験答案や住民票、免許証などの個人情報が参照できる状態になっていた。ファイアウォールなしにもかかわらず、パスワードを設定していなかったり、簡単に入手できる初期設定をそのまま使用していたりしているケースだった。

メーカーや設置担当サービスマンは、セキュリティ知識がないユーザーや、セキュリティ対応が不十分な利用環境を想定し、説明の強化をする必要がある。

Ａ大学

Ｂ大学

Ｃ大学

インターネットパスワードを設定・変更

パスワードが未設定、またはインターネットでダウンロード可能なマニュアルに記載された初期値

容易に閲覧可能

ファイアウォールあり


先行事例：ホームルータのセキュリティ問題

82015/12/07 IPA SECセミナー

2012年5月

•Ｌ社がファームウェア更新をリリース

•ユーザへの脆弱性情報提供開始

2013年8月

•脆弱性のあるホームルータは1万台以上残る

•ISPがホームルータの所有者に連絡しようとしたが「通信の秘密の侵害」の懸念

2013年9月

•MICが指針を明確化（緩和？）

•いつくかのISPが利用者に連絡開始

2014年初め

•脆弱性のあるホームルータが40%減少（現在も対策継続中）

先行事例：ホームルータのセキュリティ問題


「大量」×「管理者不在」のリスク

脆弱性のあるホームルータ⇒IoT課題の先行例数年前から世界で数100万台、数千万台の実例

攻撃の踏み台⇒大規模DDoSの事例

Telecom-ISACが中心となって対策⇒多大な時間と手間

IoTのセキュリティ課題は「大量」＆「管理者不在」（by 水越）

大量：製造者は把握しきれない ⇒散在してしまう

管理者不在：所有者は機器の管理やネット接続に無関心

ＩｏＴ時代でのリスクを「物（生活機器）」の設計段階から考

慮！（事後対応は大きな社会的負担増をもたらす）


IoTの特性と課題


Management

Mobility

Fixed

Movable

プラント制御システム

通信・放送・電力・ガス等インフラ

スマート家電

ウェアラブル端末

鉄道等

自動車等

人工衛星等

PAD型POS端末

オフィス機器

医療機器等

スマートハウス

Strong（Single）

Weak（Numerous）

環境センサー等

スマホ

「大量」×「管理者不在」のリスク

高い「安全性」が求められる領域

つないでも大丈夫？

設計時から事前の準備を！

接続先は信頼できる？（信頼性に関する設計要件は自分が求めているものと合致しているか？）


通信やエンターテイメントに利用する信頼性の

設計要件

自動運転の車スマートフォン人の命を預かる信頼性の設計要件

設計要件が異なる際に想定されるリスク

• 持ち主以外からの接続による車の盗難

• 車を制御・操作中のスマホのハングアップにより、制御・操作が効かなくなり、重大な事故が発生

• 脆弱性がある側の製品や機器への不正アクセスにより、相手側の製品や機器に保存されている情報が盗難

接続しても問題がないかの確認が必要

IoT時代の安全と安心への危惧

等

接続先の信頼性をどう確認するのか？

（１）セーフティ・セキュリティ設計の確実な実施

【IoT時代の安全・安心への危惧を払拭するには】

製品やサービスをつなげるための開発を

行う際に互いの信頼性を確認することが重要

セーフティ設計

セキュリティ設計

セーフティ、セキュリティは車の両輪

その把握のためには、双方の

（２）その設計実施状況の見える化

が必要不可欠に

特にセーフティ設計・セキュリティ設計


「セーフティ設計」「セキュリティ設計」「見える化」

◆上流の段階でリスク分析を実施し、リスクを低減した設計を行う

◆設計の品質をエビデンス（証拠）に基づき第三者でも容易に理解できる表記で論理的に説明する


サプライチェーンにおける品質の見える化WG


セーフティ・セキュリティ設計普及と見える化の取り組み

WG名：サプライチェーンにおける品質の見える化WG

期間： 2014年9月～2015年５月

目的：設計品質の見える化のためのセーフティとセキュリティ設計の取組みとハザード・脅威事例を含めて分かり易く解説するガイドブックの作成とそのプロモーション

メンバー：セーフティ or セキュリティの有識者

主査：情報セキュリティ大学院大学後藤教授

成果物：ガイドブック


氏名所属 SafetySecurit

y提供利用補足

主査後藤厚宏情報セキュリティ

大学院大学〇提供

委員田口研治認証工学WG、

産総研〇〇提供アシュアランスケース,GSN専門家

〃櫛引豪 JQA 〇利用認証機関

〃金田光範 JASA、産技研〇提供機能安全

〃小林展英デンソークリエイト〇利用 D-Case適用企業,想定利用者(自動車)

〃梅田浩貴 JAXA 〇提供利用

GSN適用団体,想定利用者(IV&V)

〃林彦博パナソニック〇利用セキュリティ、想定利用者

〃麻薙年男東芝情報システム〇利用想定利用者(医療、エネルギー)

〃森川聡久ヴィッツ〇〇利用想定利用者(組み込み系)

〃奥原雅之富士通〇利用想定利用者(エンタープライズ系)

IPA 中野学IPAセキュリティ

センター〇提供オブザーバ

IPA 鈴木基史 IPA SEC 事務局

IPA 西尾桂子 IPA SEC 事務局

IPA 宮原真次 IPA SEC 事務局

（2015年５月時点）

サプライチェーンにおける品質の見える化WG委員


WGで見えてきた課題

標準的なセキュリティ設計手法（分析・対策）が確立していない（公開されている手法はあるが、独自手法が主流）

セーフティ設計とセキュリティ設計を統合したプロセスは確立されていない（同時認証に対応するＳａｆＳｅｃ等はあるが…）

業界やセーフティとセキュリティでも用語の意味・使い方が違う


本ガイドブックの構成と対象読者

現状と背景(1章)

事故事例(2章)

リスク対応した開発プロセス(3章)

セーフティ設計(4章)

セキュリティ設計(5章)

設計品質の見える化(6章)

経営層にも読んで頂きたい内容

ソフトウエア開発者向けの入門レベルの

内容 SEC BOOKS書籍（有料）

WEB公開小冊子（無料）

主な対象読者

リーダー

組み込み系のソフトウェア技術者

「セーフティ設計・セキュリティ設計」は、製品開発の根幹に係り、つながる世界では更に重要になる。その重要性を認識してもらうために、本ガイドブックの読者は組込み系のソフトウェア技術者や、製品開発の責任を担う経営層を主な対象とする。

← 製品開発責任者（経営層）

←実装責任者


IPA/SECの「つながる世界」に関する取組み

品質ガイド

つながる世界の開発指針検討WGつながる世界の安全・安心を確認するために、各製品の開発時に考慮すべきセーフティ要件、セキュリティ要件及び信頼性要件を検討し、開発指針として策定

セーフティ＆セキュリティ設計入門

つながる世界の開発指針

IPA

つながる世界の品質理解の共通化

コンシューマデバイスの信頼性確保に向けた取組み

つながる世界のセーフティ設計・セキュリティ設計の薦めと見える化

つながる対象であるコンシューマデバイスの開発方法論の標準化

さらに下記を実施中

ISO/IEC 25000シリーズ

2015年６月発行 2015年10月発行 2013年9月公開



参考


戦略的イノベーション創造プログラム（ＳＩＰ）

社会的に不可欠で、日本の経済・産業競争力にとって重要な課題を総合科学技術・イノベーション会議が選定。

府省・分野横断的な取組み。

基礎研究から実用化・事業化までを見据えて一気通貫で研究開発を推進。規制・制度、特区、政府調達なども活用。

企業が研究成果を戦略的に活用しやすい知財システム

H26年度より１０プログラムが既にスタート革新的燃焼技術革新的構造材料次世代海洋資源調査技術インフラ維持管理・更新・マネジメント技術次世代農林水産業創造技術次世代パワーエレクトロニクスエネルギーキャリア（水素社会）自動走行（自動運転）システムレジリエントな防災・減災機能の強化革新的設計生産技術

H27年度新規重要インフラ等におけるサイバーセキュリティの確保


重要インフラ等のサイバーセキュリティ確保

重要インフラ等（ex 通信・放送、エネルギー、交通他）

制御ネットワークサイバー攻撃（遠隔保守時）

インフラ事業者の業務用ネットワーク

外部ネットワーク（インターネット等）

サイバー攻撃（内部犯行, 侵入者）

IoTシステム

事業者オフィス

サイバー攻撃

発生国インシデント被害

電力ブラジル製鉄所内発電所の制御システムのワーム感染

発電所の数ヶ月停止

ガス米国制御システムのマルウェア感染

制御システムへアクセスする資格情報等の漏えい

鉄道米国内部システムのマルウェア蔓延

鉄道運行の6時間停止

石油化学

サウジアラビア

制御システムのPC 3万台がマルウェア感染。

内部ネットワークの1週間以上停止、PCデータの全削除

重要インフラの制御・監視


SIP課題「重要インフラ等におけるサイバーセキュリティの確保」の目標

技術的目標重要インフラのセキュリティ確保のために

システム構築時に悪意のある機能を持ち込ませない

システム運用時に悪意のある動作をいち早く発見する

社会経済的の目標勘所となるセキュリティ製品・技術の国内自給を確保する

将来のIoT (Internet of Things)普及に向けたセキュリティの先行的（proactive)取組

セキュリティ技術を梃（差異化）にして重要インフラ産業の競争力強化とインフラシステムの輸出増

世界で最も安全な社会基盤の確立し、2020年オリンピック・パラリンピック東京大会の安心安全な開催


セキュリティの作り込み運用時のセキュリティ監視と対処

「信頼の基点」を機器に作り込み

不正機能検出

ソフトウェア IoTシステム

「信頼」

運用時にもセキュリティ確認

動作監視・解析「信頼」できる機器での分析により迅速対処

「信頼」

確認後になりすまされる可能性

確認後に侵害される可能性

安全にシステム更新

安全にシステム防御

重要インフラ等（ex 通信・放送、エネルギー、交通他）

新旧設備が混在強弱機器が混在

IoT機器の動作監視・解析

システム起動時にセキュリティを確認

制御ネットワーク

機器の製造

サイバーセキュリティ確保のコア技術


SIP計画の全体像

東京オリンピックを支える主要な

重要インフラ向けプラットフォーム

SIP連携：自動走行システム

ウェアラブル機器等のセキュリティ技術開発へ

国内の重要インフラへ広く展開

政府系システムへ展開

本課題での取組

SIP連携•レジリエントな防災•インフラ維持管理

(b) 社会実装向け共通プ

ラットフォームの実現とセキュリティ人材育成

(a) 制御・通信機器と制御ネットワークのセキュリティ対策技術

(a1)制御・通信機器のセキュリティ確認技術

(a4) IoT向けセキュリティ確認技術

(b2) 情報共有プラットフォーム技術

(b4) セキュリティ人材育成

(b1) 認証制度の設計

(a2)制御・通信機器およ

び制御ネットワークの動作監視・解析技術

オリンピック設備で実証

コア技術社会実装技術社会実装（当初）社会実装（将来展開）

(a3)制御・通信機器およびシステムの防御技術

(b3) 評価検証プラットフォーム技術


Documents

IoT時代のセーフティ・セキュリティ確保に 向けた …...2015/12/07 · IoT時代のセーフティ・セキュリティ確保に 向けた課題と取組み 2015年12月7日

IoT時代のセーフティ・セキュリティ確保に向けた …...2015/12/07 · IoT時代のセーフティ・セキュリティ確保に向けた課題と取組み 2015年12月7日