知っておくべきIoTセキュリティ概要 マクニカネットワークス株式会社 取締役CTO 鈴木秀一 Copyright © 2016 Macnica Networks Corp. All rights reserved. IoTの本質とセキュリティの重要性 膨大かつ多種多様なデータを集約し、そこに何らかの意味・関係 を見出し、その結果を実社会(ビジネス、生活)に役立てていく 様々なデータを収集し 【センサーデバイス】 処理・伝送し 【ゲートウェイ・ ネットワーク】 Safety【安全性】 Confidentiality 【機密性】 解析する 【アプリケーショ ン・クラウド】 Privacy【私的情報保護】 Integrity 【完全性】 Availability 【可用性】 セキュリティ Copyright © 2016 Macnica Networks Corp. All rights reserved. その結果を人々の生活 あるいはビジネスに役 立てていく。 IoTにより導きださ れた結果を人々の 生活を向上、ビジ ネス成長に利用す る上で重要なもの は。。 2 IoTセキュリティのガイドライン&フレームワーク いくつかの団体や会社からIoTセキュリティについてのガイドライン やフレームワークが出ている。代表的なところとしては。。 1.「IoT早期導入者のためのセキュリティガイダンス」 Cloud Security Allianceが出しているIoTセキュリティ のためのガイダンス。IoTの各要素(デバイス、ネット ワーク、アプリケーション)について網羅的な内容に なっており、フレームワーク的な使いかたもできる。 複数の事例を通してどのような課題があるのかをわか りやすく解説しているため、一度は読んでおくべき。 IoTシステムの開発・インテグレーションをする人は必 読。 出典:CSAジャパン「IoT早期購入者のためのセキュリティガイダンス」 Copyright © 2016 Macnica Networks Corp. All rights reserved. 3 IoTセキュリティのガイドライン&フレームワーク 2.「つながる世界の開発指針」 IPAから出されている、IoT開発はどうあるべきかについ ての指針。IoTについての概念についても、よく整理さ れている。(System of Systemのような考え方とか) 脅威の説明もわかりやすいため、一読を薦める。特に開 発者は必読。 3.「IoTセキュリティガイドライン」by IoT推進コンソーシアム 2015年の10月に総務省と経済産業省により創設された IoT推進コンソーシアム内に「IoTセキュリティワーキ ンググループ」が設立された。 2016年5月にサービス提供者側のIoTのライフサイクル (方針・管理、分析、設計、構築、運用・保守)にお ける指針と利用者側のルールについて記載したIoTセ キュリティガイドラインをリリース予定。 Copyright © 2016 Macnica Networks Corp. All rights reserved. 4 IoTセキュリティの特殊性 IoTセキュリティを考える上で、IoTと今までのIT環境の違いを理解しておくのは 非常に重要である。例えば、IoT環境ではIT環境には無い以下の特徴がある。 様々な種類の膨大なデバイスが接続 システムの大規模化、多様化 デバイスの貧弱なシステムリソース 限られたリソースでセキュリティ実現 IT機器に比べて長いライフサイクル 長期間に亘るセキュリティ保守 個人の健康、嗜好などのデータを扱う プライバシーの問題 異なるIoTサービス連携により価値創出 セキュリティサプライチェーン 3G/LTE、クラウドの利用が一般化 「境界」セキュリティの限界 Copyright © 2016 Macnica Networks Corp. All rights reserved. 5 課題:乱立するプロトコルと標準化の遅れ 様々なプロトコルが定義される が標準化の動きは遅れている。 また、IoTセキュリティのベストプ ラクティスもほぼ存在しない。 プライバシーやセキュリティライ フサイクルマネージメントなどの 基本的な事を考慮に入れつつ、 現時点ではできるだけシンプル な設計&実装をこころがけるべ き。 図:IoT関連プロトコルと標準技術 出典:CSAジャパン「IoT早期購入者のためのセキュリティガイダンス」 Copyright © 2016 Macnica Networks Corp. All rights reserved. 6 課題:ライフサイクルマネージメント意識の欠如 IoTデバイスは出荷したら終わりではなく、 そこから保守のライフサイクルが始まる。 そのライフサイクル中、ファームウェアの アップデート、セキュリティ管理などが求 められる。同様にIoTアセットのマネージ メントも求められるケースもある。 このIoTデバイスの管理は別の「複雑な 管理業務」という問題を生み出す。あら かじめ設計段階からセキュリティライフ サイクルを見込んだ設計をすべき。 図:IoTセキュリティライフサイクル マネージメント概念図 出典:CSAジャパン「IoT早期購入者のためのセキュリティガイダンス」 Copyright © 2016 Macnica Networks Corp. All rights reserved. 7 課題:攻撃者有利な状況 IoT環境では攻撃者が簡単に攻撃 対象を手に入れることができるた め、エッジデバイスに対して簡単に リバースエンジニアリングが行われ、 そこから脆弱性をつかれる可能性 がある。 システムの堅牢化(耐タンパ性)を 実施するのはもちろんだが、1つの 障壁を破られてもシステム全体に 影響しないような多層防御の考え 方は重要である Copyright © 2016 Macnica Networks Corp. All rights reserved. 8 課題:プライバシーの問題 IoTの情報は「交換」し「相関」させ ることで、より価値があがる。 相手にデータを提供する、相手か らデータをもらう場合、そのデータ のプライバシーについてしっかり考 慮しなければならない。扱うデータ のプライバシーレベルによりシステ ムやセキュリティの設計をする必 要がある。(プライバシー by デザ イン) 【プライバシー by デザイン】 ・設計段階でプライバシー考慮 ・漏洩未然防止が基本原則 ・機能性とのバランス ・エンド to エンドでの保護 ・ライフサイクル ・全ての利害関係者の把握 ・プライバシーインパクト評価 Copyright © 2016 Macnica Networks Corp. All rights reserved. 9 課題:監視と監査 膨大な数のデバイスを管理すること、エッジデバイスのリソースが 限られることから、既存ITのシステムだけを使った監視、監査には 限界がある。別の監査・管理方法も検討すべき。 最近では、機械学習やDPIのテクノロジーを使った監査・管理手 法が出始めているため、これらのツールの利用も検討。 Copyright © 2016 Macnica Networks Corp. All rights reserved. 10 今後のIoTセキュリティの流れ ► 標準化の加速 IoT推進コンソーシアムからのIoTセキュリティガイドラインの発行等 ► IoTセキュリティの現状を把握する仕組みの重要性 既存のSIEMなどの利用 機械学習、DPIやAIなど新しい技術の利用 ► SDP(Software Defined Perimeter)などの新しい技術とIoT との融合 ► セキュリティ情報の共有 クリティカルな脅威情報の共有 インシデント情報の共有とそこからの学び Copyright © 2016 Macnica Networks Corp. All rights reserved. 11 ご清聴ありがとうございました。 Copyright © 2016 Macnica Networks Corp. All rights reserved.
© Copyright 2024 ExpyDoc
