IoT関連サービスのリスクを評価する～クラウドとIoTの危険な関係～ Evaluating Risks on Cloud Services for IoT Dangerous relationship between Cloud and IoT Internet of Things 再定義 Re-Definition of Internet of Things • M2Mと何が違う？ Difference between M2M and IoT • モノ＝デバイスがインターネット上のサービスと結びつく前提 ‘Things = Devices’ tightly connected with services on the Internet. • モノ＝デバイス本来の機能、目的を越えた用途、サービスをインターネット上の利用者、サービスと連携して実現できる Expanding generic functionality and/or purpose of ‘Things’ with those services and users on the Internet. • まさにモノをインターネットの中に取り込むということ Involving things to the Internet, in addition to people, businesses. 様々なデバイスと人やサービス、ビジネス、国の間の垣根を取り払うこと Jumps over boundaries between various devices , people, businesses and countries. ＩｏＴにおけるリスク Risks on ‘Internet of Things’ • モノ＝デバイス単体固有のリスク Risks on specific single device. • たとえばファームウエアやアプリの脆弱性を攻撃され、デバイスが乗っ取られるとか i.e) Device hijacking by attacking vulnerability in application or firmware. • 複数のモノ＋サービス全体のシステムとしてのリスク Risks on the system including huge number of devices and related services. • たとえば、サービスサイトが侵入を受け、多数のデバイスの制御をすべて奪われるとか i.e) Stealing control of huge number of devices at once by hijacking service site. 多くの場合後者のほうがクリティカルになりがち・・・ Generally, Risks on the system may be much more critical than single device. 我々がサービスにフォーカスする理由 Reasons why we are focusing to services for IoT. • サービスへの侵害がより危険であるから It usually causes much more critical impact on IoT system. • デバイスセキュリティは既に多くの分野で議論が進められている一方、サービスに関する議論はまだまだ少ない There already have been so many discussions on device security, but a few on services. • 多くのサービスがクラウドから提供されるため、ＣＳＡとして最適なテーマであるから It is suitable theme for CSA, because almost of those services are provided from the Cloud today. システムリスクの大きさを決める要素 Factors of IoT System Risk • デバイスの特性（用途、機能） Characteristics of device. （Purpose, Features …） • デバイス単体の制御を失うことで発生する事態の重さ • たとえば、人の命が危険にさらされる・・など Criticality of impact when control of single device is lost. i.e) Dangers for life etc. • サービスの特性（用途、機能） Characteristics of service. （Purpose, Features …） • サービスそのものが持つ情報、機能の制御を失うことで発生する事態の重さ • たとえば、多くの個人情報が盗まれるなど Criticality of impact when control of features or information in service are lost. i.e) Loss of privacy data. etc. • デバイスの数 Number of devices. • 多数のデバイスの制御を失うことで発生する事態の重さ • たとえば、社会的不安の発生など Criticality of impact when control of huge number of devices are lost. i.e) Social unrest etc. 評価尺度の例＊参考であり十分にレビューされたものではありません This is just for example and not yet well reviewed. デバイス、サービス特性から生じる事態の影響度（Impact of compromised device or service）レベル Level 尺度 Gauge 1 ほとんど影響なし Almost no impact 2 軽微な影響（不便、困った） Small impact (inconvenience etc.) 3 対処が必要な影響（非常に気になる） Need mitigation (heavy disturbance etc.) 4 大きな影響（直接的被害、損害） Large impact (causes direct damage or loss) 5 重大もしくは破壊的影響 Huge impact or disaster デバイスの数による影響度（Impact of number）レベル Level 尺度 Gauge 1 100デバイス未満 < 10 devices 2 1000デバイス未満 < 1000 devices 3 10000デバイス未満 < 10000 devices 4 100000デバイス未満 < 100000 devices 5 100000デバイス以上 >= 100000 devices リスク特性比較例グラフタイトル医療機器 Example of risk factor visualization. （ＭｅｄｉｃａｌＤｅｖｉｃｅ）自動車（運転）（Ａｕｔｏｍｉｔｉｖｅ：Ｄｒｉｖｉｎｇ）自動車（情報）（ＣａｒＩｎｆｏｔａｉｎｍｅｎｔ）テレビ（ＳｍａｒｔＴＶ）スマートメーター（Ｓｍａｒｔｍｅｔｅｒ）フィットネス機器（Ｆｉｔｎｅｓｓｄｅｖｉｃｅ）デバイス特性（Ｄｅｖｃｅ） 5 4.5 4 3.5 3 2.5 2 1.5 1 0.5 0 デバイス数（Ｎｕｍｂｅｒ）サービス特性（Ｓｅｒｖｉｃｅ）＊注：厳密な評価結果ではありません： Those scores are just for example, not well considered. ＩｏＴサービスへの脅威特性 Characteristics of Threat on IoT Service Providers. • 目的（Objective of Threat Actors） • 多くのデバイスをコントロールすることで出来る何か Something which will be possible when they get control of huge number of devices. • サービスを狙う理由（Reason for targeting services） • 目的に即して効率がいいから Much effective for their purpose. • リソースを一つのターゲットに集中できる＝より高度かつ執拗な攻撃を行える Can concentrate resources on single target and conduct much more advanced and persistent attack. • 考えられる攻撃実行者（Possible Actors） • • • • ハクティビスト（Hacktivists）犯罪組織（Organized Crime）テロリスト（Terrorists）軍、国家が支援するグループ（Military or State sponsored groups）一般のサイトでは考えられないような高度な攻撃を受ける可能性を考慮すべき Service providers should consider possibility of unusual advanced and persistent attack. 結論（Conclusion） • 多数のデバイスの制御を奪うには、それらの管理サービスへの攻撃が有効 Attacking management service is much effective to get control of huge number of devices. • こうした攻撃は、一般のWebサイト等では考えられないような高度なものになる可能性がある It can be unusually advanced and persistent attack. • サービス事業者はリスク評価を正しく行い、それに応じたセキュリティ対策を講じるべきである IoT Service Providers should conduct risk assessment from those perspectives and deploy appropriate security measures. CSA ジャパン IoT クラウドサービスWGでは、こうしたリスク評価のためのフレームワーク作りを今年のテーマとしています。 CSA Japan Chapter’s IoT Cloud Service WG is working to make framework and guidance of such risk assessment this year. ご清聴ありがとうございましたＴｈａｎｋｙｏｕ！二木真明 CISSP, CISA アルテア・セキュリティ・コンサルティング代表一般社団法人日本クラウドセキュリティアライアンス代表理事 IoT クラウドサービスWG リーダー Masaaki Futagi CISSP, CISA President, Altair Security Consulting Executive Director, CSA Japan Chapter Inc. Chair, IoT Cloud Service Working Group.