組込みシステムSecurity By Designと 重要生活機器連携セキュリティ協議会(CCDS) について 2014年11月28日 荻野 司 株式会社ユビテック 顧問 (一社)重要生活機器連携セキュリティ協議会 専務理事 Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 1 サービスメニュー 1. 組込みセキュリティへの取り組みの背景 NISCセキュリティ研究開発戦略(改訂版) 生活機器分野のセキュリティ標準の欠如 組込みシステムに対するハッキングトレンド 2. ユビテックにおける組込みシステムセキュリティの取り組み IPA殿の組込みセキュリティ調査とガイドライン作り ユビテックセキュリティ by デザイン支援サービス 3. 重要生活機器連携セキュリティ 重要生活機器連携セキュリティ研究会-課題の整理と提言 重要生活機器連携セキュリティ協議会-一般社団化 4. まとめ Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 2 (内閣官房情報セキュリティセンター) わが国の情報セキュリティ研究開発戦略(改訂版)の概要 サイバーセキュリティ戦略 (2013年6月策定) において示された、 サイバー攻撃の検知・防御能力の向上 制御システム、ICチップなど社会システム等を保護するためのセキュリティ技術の確立 ビッグデータ(パーソナルデータ等)利活用等の新サービスのための技術開発 等を推進 する観点から、「情報セキュリティ研究開発戦略」を改定 産業活性化につながる新サービス等におけるセキュリティ研究開発の中で、情報セキュリテ ィ技術が求められる分野として、新たに一般利用者向けの生活機器が加えられた。 …また、様々なメーカーから提供される、自動車、HEMSや家電等の生活機器につ いても、ネットワーク接続が進みつつあるが、生活機器は、連携対象が多種多様で あることや、操作する者が一般消費者であるという特性があることから、この分野に おいて、分野横断的な情報セキュリティ技術の研究開発や国際標準化等の対応につ いても検討していく。 ポイント 生活機器分野での対応の重要性 Security By Designから日本製品の品質を高信頼化にステップアップさせる方針 Copyright (C) 2014 内閣官房情報セキュリティセンター (http://www.nisc.go.jp/) Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 3 3 生活機器分野のセキュリティ標準の欠如 機能安全(セーフティ) 基本 分野別 原子力 IEC61513 プロセス産業 IEC61511 自動車 医療機器 IEC 61508 (電気・電子 ・プログラマ ブル電子の 機能安全) ISO 26262 IEC 60601 白物家電 IEC60335 産業機械類 IEC62061 製品・部品の セキュリティ機能 セキュリティ 組織 分野別 IEC 62443 (汎用制御 システムの セキュリティ) ISO 27001 (ISMS:情報 セキュリティ マネジメント システム) JIPDECが認定した 認証機関が組織の セキュリティ体制を認証 策定中 または 未策定 ISO 15408 (セキュリティ 評価・認証) CSSCが制御シ ステムを評価・ 検証・認証 生活機器に関する セキュリティ評価・検証・認証 を行うスキームが不十分 IPAが認定した評価機 関がセキュリティ機能 を評価・検証 CSSC:技術研究組合制御システムセキュリティセンター、IPA:独立行政法人情報処理推進機構、JIPDEC一般財団法人日本情報経済社会推進協会 Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 4 HDDレコーダーの踏み台化(2004) 分 類 攻撃実例 分野 HDDレコーダ 時期 2004/10 国名 日本 情報源 発見者のブログ投稿 (2013/9/12) http://nlogn.ath.cx/archives/000288.html インターネットウォッチ(2013/10/06) http://internet.watch.impress.co.jp/cda/news/2004/10/06/4882.html 脅威 セキュリティ設定が無効になっていたHDDレコーダが攻撃の踏み台にされる 概 要 ・情報家電に対する初期の攻撃事例。 ・本機器は、PCからの予約受付のための Webサーバ機能、テレビ番組表取得の ための外部サーバアクセス機能を有して いたため、踏み台として利用された模様。 ・ ID・パスワードによるアクセス制御は、 装備されていたものの出荷時には無効 となっていた。 ・あるブログライターが、自分のブログに 国内から大量のコメントスパムが届いて いることを不審に思い、分析し、発見。 テレビ番組表 番組表 Webサーバ ブログ サーバ コメント スパム 番組表 取得 乗っ取り PC ルータ HDDレコーダ PCによる予約・設定 (Web上の情報を基に作成) 遠隔イモビライザーの不正利用(2010) 分 類 攻撃実例 分野 情報源 WIRED記事(2010/03/11) 脅威 自動車 時期 2010/03 国名 米国 http://www.wired.com/threatlevel/2010/03/hacker-bricks-cars/ 遠隔イモビライザーの管理サーバへの不正ログインにより、自動車のエンジンがかか らない、ホーンが鳴らされる等の被害が発生 概要 ・ローンで販売された自動車の支払いが滞った際に エンジンのイグニッションを無効にしたり、ホーンを 鳴らして督促するサービスが悪用され、自動車を 利用できなくなったり、真夜中にホーンが鳴らされた。 ・販売会社には電話が殺到し、当初原因も分からず、 解除も走行もできなかったため、バッテリーを外して レッカーで工場に移動するしかなかったとのこと。 ・逮捕された犯人は、前の月に販売会社に人員整理 された元従業員で、他の従業員のID/パスワードで 不正ログインしていた。 自動車販売会社向け 管理サービス用サーバ 不正ログイン 元従業員 ローンの支払いが滞ると エンジンをかからなく したり、ホーンを鳴らし、 支払いを促すサービス 優良な顧客の 自動車を攻撃 (Web上の情報を基に作成) 外部から車載LANへの侵入実験(2010) 分 類 攻撃研究 分野 自動車 時期 2010/06 国名 米国 ワシントン大学Kohno氏ら論文 http://www.autosec.org/pubs/cars-usenixsec2011.pdf 情報源 デモビデオ 脅威 http://www.youtube.com/watch?v=bHfOziIwXic 遠隔から車載ネットワークに進入する方法を研究発表、デモも実施 概要 ・3G携帯電話(自動車との通信 はBluetooth経由)、CDによる メディアプレーヤーのアップ デートなどを含め広範囲の侵入 経路を検証。 ・遠隔操作によるドア解錠、テレ マティクスユニットの乗っ取りに よる特定の自動車内の音声・ ビデオ・位置等の記録データの 入手についてデモを実施。 遠隔からの攻撃のイメージ 3G携帯電話 通信モジュール (事前)音声による (事前)音声による ソフトウェアモデム ソフトウェアモデム 1. 1. 脆弱性経由で 脆弱性経由で クライアント実行 クライアント実行 6.任意の 6.任意の CANメッセージ送信 CANメッセージ送信 遠隔からの攻撃 2. ソフトウェアモデムに 認証なしで接続 5. 5. 遠隔操作用 遠隔操作用 クライアント クライアント (IRC) (IRC) 3G携帯電話 通信モジュール 音声による 音声による ソフトウェアモデム ソフトウェアモデム 車載LANへの 車載LANへの ゲートウェイ認証 ゲートウェイ認証 3. 脆弱性により認証迂回 コマンド解析処理 コマンド解析処理 4. 脆弱性によりソフト実行 テレマティクス 車載機 7. 7. 指示された 指示された CANメッセージ送信 CANメッセージ送信 8.CAN メッセージ ECU 9. ドアロック解除 エンジンスタートなど モデム用音声データで 一括実行可能 2011 年度自動車の情報セキュリティ動向に関する調査より 心臓ペースメーカーを不正操作(2013) 分 類 攻撃研究 分野 情報源 米国議会の調査部門である米会計検査院(GAO)のレポート(2012) http://www.gao.gov/assets/650/647767.pdf 19~20P 上記を受けた米国食品医薬品局(FDA)のアナウンス(2013) http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm356423.htm 脅威 医療機器 時期 2013/08 国名 米国 無線通信で遠隔から埋込み型医療機器を不正に操作できる 概要 ・埋込み型医療機器の電池寿命は5~10年と長く、 利用中に設定変更を行うための無線通信機能が 内蔵されているが、保護が不充分。 ・米会計検査院(GAO)は、ペースメーカーやイン シュリンポンプを遠隔から不正に設定変更する研 究(2008~2011年)を基に米国食品医薬品局 (FDA)に検討を促した。 ・FDAは上記を受け、リスクを医療機器メーカに警 告。 無線で設定変更可能な 埋込み型医療機を攻撃 (Web上の情報を基に作成) アイロンの中のハッキングチップ(2013) 分 類 攻撃実例 分野 家電 時期 2013/10 国名 ロシア 英国BBCサイト(ロシアのTV番組ロシア24での放映内容より) 情報源 脅威 概要 http://www.bbc.co.uk/news/blogs-news-from-elsewhere-24707337 (国内記事 http://gigazine.net/news/20131029-spam-chips-hidden-in-iron/) 認証設定されていない無線LANアクセスポイントに接続し、同LAN上のPCにウイルス を撒き散らす 無線LAN (認証あり) ・中国製のアイロンの中に、近隣200m 以内の無線LANにアクセスし、同 LAN上のPCにウイルスを撒き散らす チップが埋め込まれていることが 発見された。 ・同様のものがモバイルフォンや車載 カメラでも見つかった模様。 ・出荷を停止したが、既に小売店に 出荷されたものもあるとのこと。 無線LAN (認証なし) 鍵のない無線 LANがあるから 使っちゃおう ①200m以内の認証のない無線LANに アクセスし、ウイルスをまき散らす (記事の情報を基に作成) ②無線LAN上 のPCに感染 複合機蓄積データの意図せぬ公開(2013) 分 類 脅威実例 分野 情報源 読売新聞サイト(2013/11/06) 脅威 複合機(MFP) 時期 2013/11 国名 日本 http://www.yomiuri.co.jp/net/news0/national/20131106-OYT1T01518.htm ファイアウォールやログイン認証の設定が行われていない複合機の蓄積データがイン ターネットから参照できてしまう 概 要 ファイアウォールあり B大学 インターネット 初期設定を 変更せず設置 C大学 容易に閲覧可能 初期設定からID、 パスワードを変更 ・複数の大学の複合機の蓄積データ がインターネットから参照できる状態 になっていた。ファイアウォールがなく 初期設定からID・パスワードを変更 していない場合、外部から容易に アクセスが可能であった。 ・蓄積データには、試験答案や住民票、 免許証などの個人情報が含まれて いたとのこと。 ・組込み機器検索サイトを参照すると、 このような事例は多数ある 模様。 http://shodanhq.com/ A大学 (読売新聞サイトより) Black Hat2014プログラムより ハッカー集団会議でも、組込みシステムを対象としたテー マが増加し注目される Cellular Exploitation(携帯網の制御プロトコルの探索) Survey of Remote Automotive Attack surfaces(自動車の遠隔攻 撃界面の調査) My Google Glass Sees your Password(Googleグラスによるパス ワードハッキング) Researching Android Device Security with the help of a Droid Army(ドロイドを活用したAndroidデバイスセキュリティの研究) Home Insecurity: No Alarms, False Alarms(ホームセキュリティは 安心できない、無線センサー信号の盗聴) Stealing data from point-of-sale devices(POSデータの盗聴) Hacking mobile providers‘ control code(モバイルキャリアの制御 信号の解読) 組込みデバイス会談(これから組込みはどこに向かうか) BAD USB(USBメモリスティックなりすまし) などなど Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 11 「BAD USB」 USBのハッキング「BAD USB」(BlackHat2014より) USBのファームウェアに検出不能な状態でマルウェアを送り込め る致命的な脆弱性が報告された - ファームウェアを改変すれば、例えばUSBメモリに マルウェアをこっそり送り込んだり、USBストレージの データを改竄したり、USBキーボードを無断で操作が可能 設計上の問題で、修正は不可能。対策には新設計が必要。 Black Hatの発表者はハッキングコードは公開しなかった が、DurbyConの発表者はコードを公開した上で、悪用法 としてUSBメモリを装ったデバイスでユーザーのUSBキー ボードをハックして好きにキーを入力するデモを実施。 ⇒個社でのセキュリティ対応は大変 Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 12 ユビテックでの組込みセキュリティの取り組み これまで IPAの組込みシステム・自動車セキュリティガイド策定や中部経産局の セキュリティガイド策定を通じた組込みセキュリティ普及支援してきた -中部地域中小企業向け- 組込みシステムのセキュリティ対策 取組みガイド IPA公開: 情報家電 カーナビ 携帯電話 連携時に潜む 脅威と対策 複数の組込み 機器の組合せ セキュリティ IPA公開: 情報家電 セキュリティ 対策チェッ クリスト 自動車と 情報家電 中部経産局 公開: 組込み セキュリティ 取組みガイド IPA公開: 自動車 セキュリティ 取組みガイド 自動車、家電、医療、その他の機器を守る セーフティ&セキュリティ 平成26年3月 経済産業省中部経済産業局 2013年 中部経済局 中小組込み企業向け セキュリティ取組みガイド 自動車の 情報セキュリティ、ガイドライン 2009/2010/2011 民間)自動車Sec調査 組込み機器、 セキュリティ マップ 2006-07年 SIP関連プロトコル 脆弱性:電話/TV会議 MFP(コピープリンタ複合 機)の脆弱性調査 IPA公開:約200件のMFP脅威・脆弱性リスト 重要生活機器 連携セキュリティ CCDSSG公開:2020年に向けた提言 「セキュアライフ2020」 Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 13 組込みシステム セキュリティ by デザイン支援サービス 組込みシステム製品の提供におけるすべてのフェーズ にセキュリティのビルトイン支援するサービス 対象部門 商品企画 1)セキュリティリサーチサービス ・脅威/攻撃事例調査 ・対策技術/法規制/標準など動向調査 その他)プロモーション 支援サービス 2)セキュリティ対策導入支援サービス 設計・開発 評価 (品質保証) サポート ・セキュリティポリシー設定支援 ・セキュリティ要件定義支援 ・セキュリティ対策設計支援 3)セキュリティ第三者検証サービス ・組込みシステムセキュリティ検証 ・Androidユーザビリティ/脆弱性検証 ・Webサービスユーザビリティ/脆弱性検証 ・新たに発見された脆弱性検証(経年評価) Copyright 2014 (C)Ubiteq, Inc. Proprietary 4)トレーニングサービス ・セキュリティ事例知識 技術動向知識の習得 ・セキュリティ対策技術 分析・評価手法の習得 など 14 組込みシステム セキュリティ by デザイン支援サービス 1) テクニカルリサーチサービス 企画部門 ■製品にまつわるセキュリティ動向など情報を整理したいお客様へ。 ITシステムの情報セキュリティ動向から、開発される製品業界の動向、他業界の組込みシ ステムにおけるセキュリティの動向など、製品開発に向けて状況を把握するための情報整理 をご支援いたします。 ・国内外セキュリティ動向調査 -セキュリティ脅威事例調査 -攻撃手法調査 -セキュリティ対策技術調査 -業界におけるセキュリティの取組み、国際標準化動向調査 -法規制動向調査 -有識者ヒアリング・アンケート調査、など ・調査結果をうけたセキュリティ提案 -調査結果より開発される製品のセキュリティ対策すべきポイントの提案 Copyright 2014 (C)Ubiteq, Inc. Proprietary 15 組込みシステム セキュリティ by デザイン支援サービス 2) セキュリティ対策導入支援サービス 企画部門 開発部門 ■製品の信頼性向上と短期に対策を実現したいお客様へ。 ネットワーク連携機能による高機能化が進む組込みシステムのセキュリティ対策は不可欠で す。ただ、これまでの組込みシステムは安全性が重視され、セキュリティ対策の検討は殆どさ れてきていませんでした。設計時から製品が運用・廃棄に至るライフサイクル全体で必要と なる取組みをご支援いたします。 ・脅威分析・セキュリティポリシー設定 -製品の利用シーンと外部連携機能に基づく脅威の洗い出し -脅威ごとの脅威レベルの数値化 -製品に対するセキュリティポリシーの設定、など ・セキュリティ対策技術導入支援 -セキュリティポリシーに照らし、脅威に向けた対策技術の絞り込み -対策技術の組込みシステムへの適用可否の見極め -既知の脆弱性・未知の脆弱性に対する評価項目・評価手法の洗い出し -製品運用中のセキュリティインシデントに備えた仕組みと体制、など Copyright 2014 (C)Ubiteq, Inc. Proprietary 16 組込みシステム セキュリティ by デザイン支援サービス 3) セキュリティ第三者評価・検証サービス 評価部門 サポート部門 ■テスト業務をアウトソースして、製品の品質向上と経費削減を実現したいお客様へ。 提案やお見積もり、テストマネジメント等のフロント業務は経験豊富な東京スタッフが行いま すので、意思疎通や納期、アウトプットの品質に不安はございません。 ・組込みシステムセキュリティ検証 -製品の外部連携機能における脆弱性ブラックボックス検証(市場不具合流出対策) -製品の設計情報に基づくセキュリティホワイトボックス検証 -新たに発見された脆弱性検証(経年評価) 組込みシステムと連携するアプリ・Webサービストータル評価 ・Androidユーザビリティ/脆弱性検証 -組込みシステム連携利用シーンに基づく第3者検証(市場不具合流出対策) -満足度を向上させるユーザビリティ(使いやすさ)/UX評価 -脆弱性からアプリを守る「Androidアプリ脆弱性検証」 -スマートフォン(アプリ)と組込みシステムの相互接続性の検証 ・Webサービスユーザビリティ/脆弱性検証 -連携利用シーンに基づく第3者検証(市場不具合流出対策) -満足度を向上させるユーザビリティ(使いやすさ)/UX評価 -Webアプリとサーバシステムに対するセキュリティ検証 Copyright 2014 (C)Ubiteq, Inc. Proprietary 17 組込みシステム セキュリティ by デザイン支援サービス 4) セキュリティ技術トレーニングサービス 全部門 ■製品開発においてセキュリティに関する知識を短期に習得したいお客様へ。 情報セキュリティ全般の動向や最新の脅威事例、開発される製品業界の動向、他業界の 組込みシステムにおけるセキュリティ動向など基礎知識となる情報提供、および製品開発に 必要となる脅威分析手法から対策技術の仕組みの解説、導入した対策技術の評価手法 の習得をご支援いたします。 ・主な研修内容 -セキュリティ脅威事例と攻撃手法 -機能安全とセキュリティの類似点・相違点 -セキュリティの国際標準と標準化動向 -法規制動向 -設計プロセスにおけるセキュリティ対策 -脅威分析手法 -セキュアコーディング手法 -脆弱性評価手法と実践、など ・トレーニング提供形態 -オンライン(Webinar)形式(基礎編) -公開セミナー形式(基礎編、中級・実践編) -プライベートセミナー形式(内容はご相談に応じて編集可能) Copyright 2014 (C)Ubiteq, Inc. Proprietary 18 その他 プロモーション支援サービス 企画部門 ■製品に適用する技術仕様を標準として普及させたいお客様へ。 自社の技術を業界標準として普及させるため、業界の仲間作りや国・行政機関などとの調 整を行うためにコンソーシアム等の団体を構成し、標準化の普及に向けてご支援いたします。 ・主な実績 - enNetforum(通信系企業の新サービス創造のコラボレーション環境の構築) -IPv6・センサーネットワーキングコンソーシアム(家電系企業のビル・ホームにおけるM2M実用化) -WiMAX Japan Project(日本におけるWiMAX技術によるサービス普及) -重要生活機器連携セキュリティ研究会(業界を超えた生活機器連携時のセキュリティ課題の発信) Copyright 2014 (C)Ubiteq, Inc. Proprietary 19 重要生活機器連携セキュリティ研究会立ち上げ 重要生活機器とは? 車載器、在宅ヘルスケア機器、スマート家電、HEMSなど利 用者個人の生命や健康、財産のリスクに直結するネット型組 込みシステム機器類 連携セキュリティとは? スマホや携帯網を通じてクラウドサービスと連携し、繋がる形 で高機能化する組込みシステム自体の機能安全や脆弱性に よる機能悪用という脅威に対するセキュリティ Safety 故障・不具合 や操作ミス からの防御 Security 悪意のある & 攻撃者から の防御 が対策急務! Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 20 有志で集まり課題検討-メンバー(2014年9月時点) 会長 慶應義塾大学環境情報学部教授 兼 大学院政策・メディア研究科委員長 徳田 英幸 幹事 名古屋大学 高田 広章教授、横浜国立大学 松本 勉教授、一般社団法人IIOT 南郷 辰洋副理事、一般社団法人スキルマネージメント協会 田丸 喜一郎理事、株式会社 ユビテック 荻野 司代表取締役社長 会員(大学): 情報セキュリティ大学院大学 後藤 厚宏情報セキュリティ研究科長 、大久保 隆夫教授、 佐藤 直教授、名古屋大学 高倉 弘喜教授、広島市立大学 井上 博之准教授 会員(以下企業・団体に属する技術者、コンサルタントなど): イーソル株式会社、イータス株式会社、株式会社エイチアイ、インターネットITS協議会、 株式会社ヴィッツ、オムロンソフトウェア株式会社、ガイオ・テクノロジー株式会社、株式 会社カスペルスキー、キャッツ株式会社、国際公共政策研究センター、ソシオメディア 株式会社、ソニーデジタルネットワークアプリケーションズ株式会社、株式会社デンソー、 株式会社東芝、東芝ソリューション株式会社、株式会社豊通エレクトロニクス、トレンド マイクロ株式会社、日本電気株式会社、パナソニックアドバンストテクノロジー株式会社、 株式会社日立製作所、株式会社U‘eyes Design、株式会社ユビテック(研究会事務局) オブザーバー:独立行政法人情報処理推進機構(IPA)、他 2014 copyright (c) CCDSSG, Proprietary 21 現状の脅威が「つながる」世界でさらに拡大、深刻化すると想定される。 HEMSネットワーク AV家電ネットワーク 医療・ヘルスケアネットワーク 電力会社 太陽光 発電 スマート メータ 省エネ制御 家電・照明 蓄電池・ コジェネ 医療・ヘルスケア機器 EV/HV ウェラブル 機器 HEMS 端末 ゲートウェイ 2014 copyright (c) CCDSSG, Proprietary 22 2020年までに解決すべき課題の整理 想定される脅威に対して検討すべき課題を以下に示す。 1) 業界領域 業界におけるセキュリティ検討の場が未整備 業界における連携セキュリティ対策が未検討 業界のセキュリティ標準、評価検証制度が未整備 2) 企業領域 機器メーカ サービス提供者 通信事業者 セキュリティの責任分界が不明確 セキュリティ開発 技術が不十分 出荷後のセキュリ ティ対応が不十分 セキュリティ運用 体制が不十分 モバイルデバイス と生活機器連携 におけるセキュリ ティ対策が不十分 3) ユーザ領域 何がつながっているか分からない つなげると何が起こるかが分からない セキュリティリテラシーや意識が不十分 脅威に対する過剰な反応も セキュリティ対策のコスト意識が低い 4)業界横断的領域 5)行政領域 業界横断的なセキュ リティ連携が未整備 法制度による規制や 罰則が不十分 連携時のセキュリティ レベル評価スキーム がない セキュリティ技術開発 の支援策が不十分 業界間での脆弱性 やインシデント情報 の共有の仕組みが 未整備 家庭や中小企業の セキュリティ導入 支援策が不十分 業界間における セキュリティ対策の格 差を解消する仕組み がない 想定される脅威の 周知が不十分 2014 copyright (c) CCDSSG, Proprietary 23 2020年に向けた取り組みのイメージ 現状の脅威 サーバやPCへの攻撃 生活機器がネットワーク連携 することで脅威が拡大 今からセキュリティ対策を開始することが必要 2020年の脅威 業界団体 ・業界共通対策の検討、 セキュリティ標準・認証 スキーム策定等 検討成果 の提供 企業 重要生活機器連携 セキュリティ研究会 (CCDSSG) ・セキュアな開発・運用 体制、人材育成等 業界連携 業界横断 製品提供・サポート ユーザ 啓発・支援 行政 ・業界横断的な検討の 場の設置、機器間の 信頼性確認基盤検討等 ・セキュリティリテラシー・ 意識の向上 ・ユーザへの共通的な セキュリティ情報提供 ・セキュリティ技術開発、 人材育成等の支援、 ・ユーザの意識啓発、 セキュリティ119番等 2014 copyright (c) CCDSSG, Proprietary 24 セキュアライフ「2020」提言ポイント 1)つながる生活機器のセキュリティに目を向けよう ユーザやサービス事業者が生活機器を自由に連携させて利用するシーンを想定し、セキュ リティを検討する。 2)ユーザを巻き込んだセキュリティ対策を考えよう ユーザのリテラシー向上、生活機器のセキュリティレベルや状態の通知、セキュリティ119番 の設置など、ユーザを巻き込んだセキュリティ対策を検討する。 3)業界横断的な検討の場を設けよう 業界横断的なセキュリティ対策を検討する場の設置、対策技術の共同開発、セキュリティ 用語の統一等により、効率的・効果的にセキュリティの実現を図る必要がある。 4)世界の安心・安全に貢献しよう 各業界における共通のセキュリティ対策やガイドラインの検討を進めるとともに、国際標準 及び評価検証制度の制定を進める必要がある。 5)世界に誇れるセキュアなものづくりを進めよう 標準やガイドラインを基に企画段階からセキュリティを組み込んでいくこと、ソフトウェア開 発工程のサプライチェーンにおいてセキュリティを考慮することが必要である。 2014 copyright (c) CCDSSG, Proprietary 25 研究会から一般社団法人へ 一般社団法人 重要生活機器 連携セキュリティ協議会 Connected Consumer Device Security Council 会長:慶應大学 徳田教授 CCDS創設の目的: 消費者が日常生活で利用する機器の中で、予期せぬ動作が発生すると利用者の身 体や生命および財産に影響を及ぼす可能性があるもの(以下、「重要生活機器」)をネ ットワーク接続したり他の機器と連携しても安全・安心に利用できる環境を実現する 各分野・業界の企業・団体からセキュリティに関する取組みの参照先となって、セキュリ ティ意識の向上を図る 一般社団化の狙い: 特定の企業や分野・業界に偏らず、総務省や経産省などの公的プロジェクトにも中立 的に携われるような体制とするため ⇒重要生活機器におけるセキュリティ事業の創生をめざす Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 26 重要生活機器におけるセキュリティ事業の創生 一般民生機器など あらゆるモノが繋がる “モノのインターネット” HEMS、AV家電、医療・ヘルスケア、自動車関連機器(ナビ、AV機器等)製品・サービス AVネットワーク HEMSネットワーク 医療・ヘルスケアネットワーク 電力会社 太陽光 発電 スマート メータ 省エネ制御 家電・照明 蓄電池・ コジェネ 医療・ヘルスケア機器 EV/HV ウェラブル 機器 HEMS 端末 ホームゲートウェイ Copyright 2014 Connected Consumer Device Security Council Proprietary 27 重要生活機器に対して取り組むべき事業ポイント • 新規事業創造と強い産業の育成に向けて – 重要生活機器連携セキュリティ研究会でまとめた提言「セキュアライ フ2020」に掲げる、「世界の安心・安全に貢献しよう」、「世界に 誇れるセキュアなものづくりを進めよう」の基に、製品サービス提供 側の環境整備として以下の4点の事業を相互に連携させ、同時並行的 に推進する 1. 生活機器セキュリティ認証 • 生活機器のセキュア開発・検証ガイドライン策定と国際標準化の検討 • セキュア開発・検証ガイドライン準拠認定スキームの検討 • 消費者の安全・安心を担保する一定のセキュリティ要件のあり方の検討 (製品分野別) 2. セキュリティ技術開発 • 生活機器との連携におけるセキュリティ攻撃・防御・検知技術開発 • 攻撃技術・対策技術効果を実証するテストベッドの構築、など 3. セキュリティ人材育成 • 上記を通じたセキュリティ人材育成 4. 検証事業促進 • 開発標準やセキュリティ標準に沿った評価ツール・検証環境の開発支援 Copyright 2014 Connected Consumer Device Security Council Proprietary 28 重要生活機器連携セキュリティ協議会(CCDS) 中期的な実施内容(案): 事業 内容 参加資格 ファンド 1.車載器、情報家電、ヘルス ケア機器、ATM、MFP等 の分野別ガイドライン 生活機器セキュア開 2.個別分野の検討より、組込 分野別版・共通版ガイド 公的調査予 発ガイドライン策定 みシステム共通(基礎) 策定に積極的貢献の意思 算を活用 と標準化の検討 ガイドライン のある会員 3.セキュア開発ガイドライン 準拠認定スキームと国際 標準化 公的事業育 セキュリティ技術 組込みシステムに対するセキュ 学術会員、幹事会員、正 成助成プロ 研究推進 リティ技術(攻撃技術・対策技 会員より研究テーマを公 グラムや企 セキュリティ技術者 業からの委 術・検知技術)の研究推進 募 育成 託を活用 生活機器セキュリティ技術評 学術会員、幹事会員、正 公的な実証 セキュリティ実証 価・セキュアフレームワークな 会員より実証環境開発提 実験予算を テストベッド構築 どの実証テストベッドの構築推 活用 案を公募 進 組込みシステムに対する 公的な事業 組込みシステムに対するセキュ 育成助成プ セキュリティ評価 セキュリティ評価ツー リティ評価ツール・検証環境に ・検証事業育成 ル・検証環境開発テーマ ログラムを 必要な機能の開発支援 活用 の公募 Copyright 2014 Connected Consumer Device Security Council Proprietary 29 セキュア開発ガイドライン策定イメージ • 検討するガイドラインのタイプ セキュア開発ガイドライン 共通 分野別 車載器通信 プローブ リモート アクセス・制御 組込み全般の 共通(基礎的) 事項を整理 自動車 共通 サイバー領域 含めた統合的な 内容を検討 自動運転版 ・・・など 組込み システム 領域 ウェアラブル通信 健康データ リモート アクセス・制御 リモート アクセス・制御 HEMS連携 ヘルスケア機器 共通 組込みシステム 共通(基礎) 連携サービス 共通 情報家電 共通 オフィス機器(MFP等) 公共空間の機器(ATM,等) サイバー システム 領域 まず個別アプリから 具体的に検討 分野毎の 共通事項を整理 Copyright 2014 Connected Consumer Device Security Council Proprietary 30 組織体制 社員総会 会長:慶應義塾大学 徳田英幸教授 理事会 幹事会員・正会員 総会で選任 会員種別 幹事会員 正会員 学術会員 一般会員 賛助会員 事務局 幹事会員・理事 幹事会 幹事会員・正会員 事業推進WG 全員 全員 技術委員会 全員 自動車連携 セキュリティWG (オープン) 標準化推進委員会 全員 モバイル連携 セキュリティWG (オープン) 車載プローブ ヘルス機器 SecガイドWG SecガイドWG …Sec ガイド WG ※クローズドのWGも設置可能。 Copyright 2014 Connected Consumer Device Security Council Proprietary 31 組織間連携プロジェクト化のイメージ セキュリティR&D戦略 NISC METI経産省 MIC総務省 情報Sec 対策室 国際通信規格 AIST NICT 組込みシステム Safety/Security研究 Cyber-Sec 自動車課 各組込み 製品分野 情報Sec 政策室 サイバー空間 生活機器連携セキュリティ技術開発 テストベッド活用 国際標準化 ガイド IPA ITS Japan JEITA 組込みシステムSecurity 検討の場 調査検討・取組みガイド セキュリティキャンプ IIC JASA 一般社団化 JARI プローブデータ活用 セキュリティ検討 一般社団法人 重要生活機器 連携セキュリティ協議会 IT利活用セキュリティ総合戦略推進部会(山本前大臣主催) 「IT利活用セキュリティにおける総合的かつ戦略的な政策推進に係る提言 http://www.nisc.go.jp/active/kihon/pdf/ituse20140728.pdf ■IOT関連セキュリティ政策の重要性 ■サイバーセキュリティ特区の創設 Copyright 2014 Connected Consumer Device Security Council Proprietary 32 まとめ1 1. 組込みシステムセキュリティ取組みの背景 NISCの研究開発戦略 ⇒新たな日本品質「セキュリティbyデザイン」 組込みシステムのセキュリティ標準の欠如 ⇒国際標準化 組込みシステムへのハッキングトレンド ⇒個社でのセキュリティ対策検討は難しい 2. ユビテックでの組込みセキュリティ IPAとの組込みセキュリティ調査の実績 ⇒ユビテック セキュリティ by デザイン支援サービス - 脅威分析や対策方針策定など具体的な進め方のTTと実施 支援 第三者評価による対策機能のダブルチェック支援 Copyright 2014 (C)Ubiteq, Inc. Proprietary and Confidential 33 まとめ2 3. 重要生活機器連携セキュリティ協議会の立ち上げ – – – – – 重要生活機器とは、連携セキュリティとは 研究会での課題の明確化と提言発信 日本の各製品分野のセキュリティ底上げに貢献 セキュア開発ガイドやセキュリティ技術開発支援 国レベルの生活機器向けセキュリティテストベッド構築 を目指す 一緒にセキュリティを考えましょう! Copyright 2014 Connected Consumer Device Security Council Proprietary 34
© Copyright 2024 ExpyDoc
