IoT/CPS時代の セキュリティガバナンス 株式会社ディアイティ クラウドセキュリティ研究所 所⻑ セキュリティサービス事業部 副事業部⻑ 河野 省⼆, CISSP <[email protected]> Cloud Security Lab. IoT時代っていうか・・・ 2 • ⽇本はIoTって⾔ってるけど、それはすでにInternet of Toyになっているかも・・・ • IoTというバズワードの理解が難しい • ビッグデータのプライバシー、通信の暗号化だけではない、い わゆるIoTのセキュリティについての課題を考える • ビジネスを前提としたIoT/CPS • そのデバイスは何個配るんだろう • そのデバイスのアップデートはどのようにするんだろう JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. インダストリー4.0ってIoTじゃないよ? 3 どうしても都合の良いように⾔葉を使ってしまいがちだけど・・・ JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. インダストリー4.0は産業⾰命!! 4 第1次産業⾰命:機械⼯業化 マニュファクチャからマシナリ 第2次産業⾰命:電気と⽯油 電気による⼤量⽣産と輸送⾰命 第3次産業⾰命:ITの活⽤ インダストリー4.0: ネットワーク接続によ るガバナンスと⾃動制 御 ITによる場所を選ばない⽣産 JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. 協調して動く制御システム JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 5 2016年7⽉20⽇ Cloud Security Lab. IoTとCPSの違い? IoTはセンサーネット ワーク。だからデータセ キュリティだけで良かっ た JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 6 CPSは「アクチュエー タ」が付いているので、 悪⽤されると⽣産に問 題が起きる 2016年7⽉20⽇ Cloud Security Lab. もうIoTの時代じゃない・・・ JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 7 2016年7⽉20⽇ Cloud Security Lab. 現在⾏われているIoTセキュリティ 8 2016年7⽉5⽇にIoTセキュリティガイドライン が総務省と経産省から出ています • 脅威は「遠隔操作」と「情報流出」がメインに なっていて、ネットワークセキュリティや情報 の保護などが中⼼的な内容 • これから内容が充実していくことに期待したい http://www.meti.go.jp/press/2016/07/20160705002/20160705002.html JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. ハッキングしなくても遠隔操作できる 9 ネットワークをハッキングしなく ても、ナレッジデータを狂わせれ ば、アクチュエータをご作動させ ることができる。 データを改ざんしなくても、ニセ のデバイスを設置して、情報を偏 らせることで誤動作を誘発させる ことができる JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. デバイスの管理 10 • スマートメーターは8000万個の設置 • これからはじまる電⼒会社によるスマートメーター(電⼒使⽤ 量計)の設置 • ファームウェアのアップデートなどもかなりの⼿間がかかる • デバイスの仕様変更なども頻繁に⾏うことが出来ない。デバイ スが安いものでも、交換にコストがかかる。デバイスの値段で はなく、交換コストなどデバイスのライフサイクルで計算して おく必要がある JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. 正しく動いているという証明 ① デバイスが正しく 動いているかをリ アルタイムに判断 11 ② 異常時の対応は「交 換」「廃棄」 ③ 誰がその作業を⾏う のか これらを証明するためにはどうするか JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. 運⽤コストを考える 12 • ⾃動できることと⼈間がやることを区別 • IoTやCPSはワークフローの⼀部であるということを考えて、ビ ジネス全般における⼈間がやるべきこと、システムが⾃動でや ることを決める • ⼈間が⾏うことはコストが⾼い • ⼈間は初⽇から正しく働けない • ⼈間は失敗をするし、気が付かないことがある • ⼈間は何かを維持することが出来ない • 機械はそれ⾃体では学習できない • だから、機械学習が注⽬されてい JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. スマートメーターシステムセキュリティ 13 スマートメーターの安全管理については⽇本電気 協会から「スマートメーターシステムセキュリ ティガイドライン」が発⾏されています。 • 運⽤開始前の事業者もすでにセキュリティマ ネジメントに取り組んでおり、内部監査も終 了しています • 今後はAルートだけではなく、Bルート、C ルートについても検討をする必要がある JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. IoT時代のIT基盤構築 14 IoTもCPSもIT基盤を構築するところから!! JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. ID管理からちゃんとやろう 15 認証は「他要素認証」 「証明書活⽤」などで 解決している。 これからは、ID発⾏、 認可、そしてログの統 合管理などが重要に なってくる。 特に様々なシステムで 共通に使えるID管理 や認可設定に取り組む 必要がある JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. ID連携を前提とした管理 16 ITサービス利⽤の拡⼤ に伴うガバナンスをど のように確保するのか ということが重要なポ イントになる そのためにもID連携 を積極的に⾏う必要が ある。 JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. 例えば、Azure ADなら・・・ 17 JAIPA Cloud Conference 2016 | ©株式会社ディアイティ Cloud Security Lab. 2016年7⽉20⽇ リアルタイムログ管理 - CISOダッシュボード JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ 18 Cloud Security Lab. クラウド、IoT/CPS時代は「常時接続」 19 • 常時接続されているので、リアルタイムに理解ができる • バッチ処理ではわからないことがたくさんある • リアルタイムに様々なことを把握できるように⼀元管理を⾏う • 事故に早く気がつくための仕組みづくりをIoTやCPSでも やっていこう • 事故に早く気がつけば、被害は最⼩限で済む JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 2016年7⽉20⽇ Cloud Security Lab. 攻めのIT投資のためのセキュリティ 平常時 事故対応 20 平常時 ◯ 普遍化による学習と成⻑ 予防 検知 対策は期待通りに 機能しているか 対応 復旧 ① 封じ込め ② 調査・分析 ③ 再発防⽌策の計画 JAIPA Cloud Conference 2016 | ©株式会社ディアイティ ✕ IT制限による効率悪化 対策は期待通りに 機能しているか 2016年7⽉20⽇ Cloud Security Lab. 本⽇のまとめ 21 JAIPA Cloud Conference 2016 | ©株式会社ディアイティ Cloud Security Lab. 2016年7⽉20⽇ 河野 省⼆ 22 - 情報セキュリティは科学であると伝えたい 株式会社ディアイティ クラウドセキュリティ研究所 所⻑ [email protected] • • • JAIPA Cloud Conference 2016 | ©株式会社ディアイティ 経済産業省 • クラウドセキュリティ研究会 • セキュリティガバナンス研究 会 • セキュリティ監査研究会 など 情報処理推進機構 • セキュリティセンター研究員 ⽇本セキュリティ監査協会 • スキル部会副部会⻑ • • • • • JIPDEC • ISMS専⾨部会委員 NPO クラウド利⽤促進機構 • セキュリティアドバイザー JTC1/SC27 WG1委員 東京電機⼤学 • 未来科学部 ⾮常勤講師 (ISC)2 認定主席講師 など 2016年7⽉20⽇ Cloud Security Lab.
© Copyright 2024 ExpyDoc
