Suche senden
Hochladen
IoT Security
•
1 gefällt mir
•
545 views
Kohki Ohhira
Folgen
What are the points you have to take care of for IoT system's security.
Weniger lesen
Mehr lesen
Internet
Melden
Teilen
Melden
Teilen
1 von 29
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
Tatsuya (達也) Katsuhara (勝原)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
Tatsuya (達也) Katsuhara (勝原)
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Network
Ryuki Yoshimatsu
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP Nagoya
IoTセキュリティガイドラインの検討
IoTセキュリティガイドラインの検討
Toshihiko Yamakami
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
オラクルエンジニア通信
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
Tomohiro Nakashima
Empfohlen
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
Tatsuya (達也) Katsuhara (勝原)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
とあるセキュリティ会社のIoTセキュリティチームの日常(ErrataはDescription参照)
Tatsuya (達也) Katsuhara (勝原)
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Network
Ryuki Yoshimatsu
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP Nagoya
IoTセキュリティガイドラインの検討
IoTセキュリティガイドラインの検討
Toshihiko Yamakami
IoTセキュリティの課題
IoTセキュリティの課題
Trainocate Japan, Ltd.
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
オラクルエンジニア通信
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
Tomohiro Nakashima
「IoTのセキュリティを考える~OWASP IoT Top10~」
「IoTのセキュリティを考える~OWASP IoT Top10~」
OWASP Kansai
2019 0316 io_t_secjp_slideshare
2019 0316 io_t_secjp_slideshare
Shinichiro Kawano
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
Trainocate Japan, Ltd.
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
Tomohiro Nakashima
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
Masanori KAMAYAMA
IoTセキュリティ概観 (供養)
IoTセキュリティ概観 (供養)
trmr
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
Trainocate Japan, Ltd.
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
trmr
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよ
shuna roo
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
Masanori KAMAYAMA
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115
Kazuhisa Sakamoto
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
CrowdStrike Falconと効果的に楽に付き合っていくために
CrowdStrike Falconと効果的に楽に付き合っていくために
Eiji Hoshimoto
IoT系標準化の動き(メモ、2016年) (in Japanese)
IoT系標準化の動き(メモ、2016年) (in Japanese)
Toshihiko Yamakami
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
Masanori KAMAYAMA
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
Sen Ueno
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
Tomohiro Nakashima
2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshare
Shinichiro Kawano
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
Masanori KAMAYAMA
V6prog OSC2013Hokkaido
V6prog OSC2013Hokkaido
Kohki Ohhira
バグハンターの哀しみ
バグハンターの哀しみ
Masato Kinugawa
Weitere ähnliche Inhalte
Was ist angesagt?
「IoTのセキュリティを考える~OWASP IoT Top10~」
「IoTのセキュリティを考える~OWASP IoT Top10~」
OWASP Kansai
2019 0316 io_t_secjp_slideshare
2019 0316 io_t_secjp_slideshare
Shinichiro Kawano
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
Trainocate Japan, Ltd.
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
Tomohiro Nakashima
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
Masanori KAMAYAMA
IoTセキュリティ概観 (供養)
IoTセキュリティ概観 (供養)
trmr
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
Trainocate Japan, Ltd.
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
trmr
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよ
shuna roo
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
Masanori KAMAYAMA
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115
Kazuhisa Sakamoto
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
CrowdStrike Falconと効果的に楽に付き合っていくために
CrowdStrike Falconと効果的に楽に付き合っていくために
Eiji Hoshimoto
IoT系標準化の動き(メモ、2016年) (in Japanese)
IoT系標準化の動き(メモ、2016年) (in Japanese)
Toshihiko Yamakami
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
Masanori KAMAYAMA
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
Sen Ueno
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
Tomohiro Nakashima
2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshare
Shinichiro Kawano
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
Masanori KAMAYAMA
Was ist angesagt?
(20)
「IoTのセキュリティを考える~OWASP IoT Top10~」
「IoTのセキュリティを考える~OWASP IoT Top10~」
2019 0316 io_t_secjp_slideshare
2019 0316 io_t_secjp_slideshare
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
IoTセキュリティ概観 (供養)
IoTセキュリティ概観 (供養)
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
[G-Tech2015]将来も通用するセキュリティエンジニアのスキルとは - 株式会社ラック[講演資料]
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよ
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
CrowdStrike Falconと効果的に楽に付き合っていくために
CrowdStrike Falconと効果的に楽に付き合っていくために
IoT系標準化の動き(メモ、2016年) (in Japanese)
IoT系標準化の動き(メモ、2016年) (in Japanese)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshare
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
Andere mochten auch
V6prog OSC2013Hokkaido
V6prog OSC2013Hokkaido
Kohki Ohhira
バグハンターの哀しみ
バグハンターの哀しみ
Masato Kinugawa
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
SecurityCamp2015「CVE-2015-4483解説」
SecurityCamp2015「CVE-2015-4483解説」
Masato Kinugawa
バイオメトリクス認証Hacks(AVtokyo2008 After Party: KA – E – DA - MA(Biometrics Authenti...
バイオメトリクス認証Hacks(AVtokyo2008 After Party: KA – E – DA - MA(Biometrics Authenti...
Tomohiro Hanada
JavaScript難読化読経
JavaScript難読化読経
Yosuke HASEGAWA
Andere mochten auch
(6)
V6prog OSC2013Hokkaido
V6prog OSC2013Hokkaido
バグハンターの哀しみ
バグハンターの哀しみ
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「CVE-2015-4483解説」
SecurityCamp2015「CVE-2015-4483解説」
バイオメトリクス認証Hacks(AVtokyo2008 After Party: KA – E – DA - MA(Biometrics Authenti...
バイオメトリクス認証Hacks(AVtokyo2008 After Party: KA – E – DA - MA(Biometrics Authenti...
JavaScript難読化読経
JavaScript難読化読経
Ähnlich wie IoT Security
02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)
Study Group by SciencePark Corp.
Node RED で実現する製造業の DX
Node RED で実現する製造業の DX
雅治 新澤
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
IoTビジネス共創ラボ
IoTの概要・IoT界隈の動向
IoTの概要・IoT界隈の動向
NISHIMOTO Keisuke
Innovation Egg presen_160130
Innovation Egg presen_160130
知礼 八子
How can we resolve problems.
How can we resolve problems.
Kiyoshi Ogawa
八子クラウド座談会事前配布 20191214
八子クラウド座談会事前配布 20191214
知礼 八子
D11 一つのデータベースでは、夢を現実に変えられない -Human Dreams. Make IT Real- by Taichi Ishikawa
D11 一つのデータベースでは、夢を現実に変えられない -Human Dreams. Make IT Real- by Taichi Ishikawa
Insight Technology, Inc.
投資会社から見た人工知能(Ai)の事業化トレンド
投資会社から見た人工知能(Ai)の事業化トレンド
Osaka University
どこでも安全に使えるIoTを目指して ~さくらインターネットのIoTへの取り組み~
どこでも安全に使えるIoTを目指して ~さくらインターネットのIoTへの取り組み~
法林浩之
第31回八子クラウド座談会事前配布 20190928
第31回八子クラウド座談会事前配布 20190928
知礼 八子
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
シスコシステムズ合同会社
大切なビジネスデータはownCloudに簡単バックアップ
大切なビジネスデータはownCloudに簡単バックアップ
Yuki Takahashi
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
SKYDISCのIoTを支えるテクノロジー
SKYDISCのIoTを支えるテクノロジー
Yuji Otani
Web3時代のデジタルアイデンティティ (高橋健太 |株式会社日立製作所 研究開発グループ)
Web3時代のデジタルアイデンティティ (高橋健太 |株式会社日立製作所 研究開発グループ)
blockchainexe
組込み(IoT)機器開発者目線の情報セキュリティについて
組込み(IoT)機器開発者目線の情報セキュリティについて
Tetsuo Furuichi
Security & Privacy for Startups
Security & Privacy for Startups
OpenID Foundation Japan
第77回MBL研究会 "多様なIoTデータストリームをクラウドレスで分散処理するミドルウェアの設計"
第77回MBL研究会 "多様なIoTデータストリームをクラウドレスで分散処理するミドルウェアの設計"
Ubi NAIST
第8回八子クラウドin関西(討議メモ付き)
第8回八子クラウドin関西(討議メモ付き)
知礼 八子
Ähnlich wie IoT Security
(20)
02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)
Node RED で実現する製造業の DX
Node RED で実現する製造業の DX
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
Microsoft in Action! - COVID19への取り組み、これから皆様とできること。
IoTの概要・IoT界隈の動向
IoTの概要・IoT界隈の動向
Innovation Egg presen_160130
Innovation Egg presen_160130
How can we resolve problems.
How can we resolve problems.
八子クラウド座談会事前配布 20191214
八子クラウド座談会事前配布 20191214
D11 一つのデータベースでは、夢を現実に変えられない -Human Dreams. Make IT Real- by Taichi Ishikawa
D11 一つのデータベースでは、夢を現実に変えられない -Human Dreams. Make IT Real- by Taichi Ishikawa
投資会社から見た人工知能(Ai)の事業化トレンド
投資会社から見た人工知能(Ai)の事業化トレンド
どこでも安全に使えるIoTを目指して ~さくらインターネットのIoTへの取り組み~
どこでも安全に使えるIoTを目指して ~さくらインターネットのIoTへの取り組み~
第31回八子クラウド座談会事前配布 20190928
第31回八子クラウド座談会事前配布 20190928
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
【Interop Tokyo 2016】 初心者でもわかるCisco SDNの概要
大切なビジネスデータはownCloudに簡単バックアップ
大切なビジネスデータはownCloudに簡単バックアップ
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
SKYDISCのIoTを支えるテクノロジー
SKYDISCのIoTを支えるテクノロジー
Web3時代のデジタルアイデンティティ (高橋健太 |株式会社日立製作所 研究開発グループ)
Web3時代のデジタルアイデンティティ (高橋健太 |株式会社日立製作所 研究開発グループ)
組込み(IoT)機器開発者目線の情報セキュリティについて
組込み(IoT)機器開発者目線の情報セキュリティについて
Security & Privacy for Startups
Security & Privacy for Startups
第77回MBL研究会 "多様なIoTデータストリームをクラウドレスで分散処理するミドルウェアの設計"
第77回MBL研究会 "多様なIoTデータストリームをクラウドレスで分散処理するミドルウェアの設計"
第8回八子クラウドin関西(討議メモ付き)
第8回八子クラウドin関西(討議メモ付き)
IoT Security
1.
IoTのセキュリティ CISSP-322515 大平浩貴(おおひら こうき) © 2016
Kohki Ohhira, CISSP-322515 1
2.
自己紹介に代えて まぁ、おっさんでして… 人の役に立ちたい! 社会の役に立ちたい! セキュリティ分野で人の役に立つにはどうしよう… 大平浩貴(おおひら
こうき) いろいろアレして今に至る 持ってる情報を提供しよう 1 1 漫画家 永野のりこ さんの名言を使わせていただきました © 2016 Kohki Ohhira, CISSP-322515 2
3.
なぜ今更IoTセキュリティを書くか? IoT+セキュリティなんて、ありがちな話題 沢山のすごい人たちが既に立派なレポートを出してる
なぜ手垢のついた話題を発表する? とにかくターゲットを現場に絞る 難しい話はやめよう!もっと身近な対策を! 簡単に思想・雰囲気・思考のきっかけを伝えるのが目標 現場の役に立ちたいから © 2016 Kohki Ohhira, CISSP-322515 3
4.
説明の目的と形態 難しいアーキテクチャの考え方や特殊な例は扱 わない 高severity環境(金融・エネルギー・防衛な ど)の要請を満たさない
誰にでも納得できる、誰にでも使い道がある ポイントを7つに絞った できるだけ単純に 多くの人が知ってる技術を中心に おまけ:ちょっとだけ実例の紹介 © 2016 Kohki Ohhira, CISSP-322515 4
5.
IoTセキュリティに関する 7つの問題と対策 © 2016 Kohki
Ohhira, CISSP-322515 5
6.
問題1 雑に扱われる 従来こんな製品は特殊だった(例:要免許品) 使いだしたらいろいろ維持しないといけない
他のモノ・システム・サービスに悪影響を与える可能性がある 問題があっても、普通の人は判断できない IoTのthingsも、従来の常識で扱われるかも 適切に設定してもらえない 例:インターネットバンキングには丁寧に考えたパスワードを設定する が、電球にはいい加減なパスワードをつけてしまう 自分が買ったモノ経由でSNSアカウントが盗まれるとか 便りがないのは良い便り…だと思ってしまう Destination Unreachableランプも、ハイジャックされましたランプもな い © 2016 Kohki Ohhira, CISSP-322515 6
7.
対策1a 雑な扱いでも安全に利用できるように 危うい扱いを検知して通知する UI・APIで食い止める
例:パスワードが甘い場合警告する 運用環境とのトレードオフだがアベイラビリティに着目した調節ができると良い …パスワードのC的限界&A的悪影響は無視できないため サーバへのアップロードを行うときに、端末側の情報を記録するなど その他の手段で確認・警告を出す ロギングをしっかり行う アノマリーな挙動検知・警告…高コンテキストな上位層だと見出しやすい 定期的な確認処理を作りこむなど マネロン監視のように、巡回監視的な技術を使えたらいいな 危うい環境でも動作するように 電源/ネットなど→後述 © 2016 Kohki Ohhira, CISSP-322515 7
8.
対策1b 無設定で起動することへの対応 デフォルト値は安全側にふっておく 商品の価値を左右しない程度の機能ならOffにしたい
機能有効化をオプトインポリシーにするなど 使わない機能は立ち上げない・繋げないのはサーバ構築の基本 接続する通信の選定 IPアドレスの制限、プロトコルの制限など 例:SNMPは初期状態で使わない さらに例:コミュニティ名のデフォルトはなく、 最初にSNMPを有効に すると必ずコミュニティ名の入力を求める 自動設定を積極的に採用する 自動発見・簡単設定など ただし、危ういシチュエーションで危ない機能を自動有効化すべ きではない © 2016 Kohki Ohhira, CISSP-322515 8
9.
問題2 UI/APIをモノと勘違いしてしまう 従来、電気スイッチに攻撃テストは不要だった 激しくカチカチする奴への対策とかなかった
IoTのインターフェースはWebが多い 物理的UIを作るほどの機構・リソースがなく、Webベース など、ソフト的UIを構築することが多い 機器から利用するためのAPIはWebベースで構築されること が多い Webのセキュリティ的特徴 Webは攻撃が非常に多い 人気なのでエクスプロイトを探る価値が高い セキュリティ上の問題を作りこみやすい Web技術は日々成長する…つまり、攻撃も日々成長する © 2016 Kohki Ohhira, CISSP-322515 9
10.
対策2 UI/APIもWebサーバとして検証対象にする 品質保証(QA: Quality
Assurance)の一つ ファジングをしっかりしよう 自分たちの行うファジングが、WebベースAPIに対応できてい るかどうか…の部分からしっかり確認する 場合によってはペネトレーションテストの技術を使うことも 新しい情報を導入する 新たな注意喚起・エクスプロイト・インシデントなど の情報をしっかりキャッチして活用する 外部からのニュースの導入だけでなく、モノづくりら しく、内部でフィードバックを回してノウハウの蓄積 と活用もしっかり © 2016 Kohki Ohhira, CISSP-322515 10
11.
問題3 非安全なネットワークを使ってしまう メーカーがモノの品質保証をしっかりしても… メーカはモノの外側の、お客様のネットワークまでコント ロールできない
お客様がモノを危ういネットワーク上に設置してしまうか も 汎用民生品では全てに対応できない 1000円で売られるIoTデバイスにウィルスチェッカを入れ るのは難しいことが多い 攻撃は日に日に高度化し、顕在化した脆弱性は日に日に増 える アンマネージドなローカルネットも攻撃を誘因する だめだめ運用Wi-Fiなど © 2016 Kohki Ohhira, CISSP-322515 11
12.
対処3 制限の伝達・システムの更新・通信の遮断 お客様に制限を納得していただく 「Internetには危険がいっぱい、外に出さない方がいいですよ」
ネット原理的には「お客様の理解を得にくい!」と思うでしょう でも「鍵付きであっても高級車は危うい場所に置かない」という「運用 ポリシー」は既にある お客様とのコミュニケーションの良さが大切 増え続ける脆弱性への対策 対策1:システムを更新する ソフト更新手段をモノに作りこむ&ソフト更新体制を用意する かなり強力な「銀の弾丸」…コストを許容できるなら積極採用したい 対策2:接続をフィルタリング可能に作っておく 最悪、危うい通信を閉鎖することで対応 情報収集・新フィルタ設定作成・警報発報・伝達・対応の体制は必要 © 2016 Kohki Ohhira, CISSP-322515 12
13.
問題4 プライバシコントロールを考慮しない IoTではデータ収集サーバなどが必要 クラウドを使うことも多い
国境の向こうにも安価なクラウドが存在する リージョン間を仮想接続してデータを流すだけ…では済ま ない プライバシを守る法令が各国にある 今、プライバシ関連法制が急激に変化している最中 日本の改正個人情報保護法・欧州データ保護規則など 米国は個別立法に頼ることが多く、これはこれで難しい 欧⇒日、欧⇔米、日⇒米、などなど © 2016 Kohki Ohhira, CISSP-322515 13
14.
対処4 法的に規制される情報の扱いに配慮する クラウドのリージョンに注意 法規は国家連携・単一国・地域で設定される
ボーダートランスグレッション:国境を超えるときにこそ意識する 法律は社会からの要請で日に日に変化する ICTと同じで、常にアンテナを張り巡らせる必要がある プライバシは超重要だがone of themである 危険情報・違法情報の取り扱いという視点がよい 専門家(弁護士の先生など)に相談するのは立派なリスクコ ントロール 人に依頼することを軽々しく損失と扱うべきでない 「専門職に依頼」は高severity業務では基本中の基本 例:かかりつけ医は専門医への付託を日々行って、人の命やその質を救い続 けている © 2016 Kohki Ohhira, CISSP-322515 14
15.
問題5 物理セキュリティを確保しにくい モノはお客様の手許にある SaaSなどと違い、お客様のコントロール下に置かれる
物理セキュリティ的に厳しい場所 電源、HEVAC、破壊対策などの管理が厳しい ユーザ自身がシステムに対する攻撃者になるこ とも おやくそくの「足ひっかけ&掃除でコンセント抜き」 デバイスの中にあるクレデンシャルを、破壊して取り 出してしまうなど デバイスそのものを盗んでしまうなど © 2016 Kohki Ohhira, CISSP-322515 15
16.
対策5 耐タンパ性向上/クレデンシャルを持たない 物理環境への考慮 気温・衝撃・電源サージなど
電池や液晶など、環境に脆弱で危うい部品に注意 IoTデバイスのUIが「しょぼい」理由は安くするためだけではない 耐タンパ性が重要 セキュリティ要求を満たすために耐タンパ性の高い設計にする 分解できない / 分解したら使えなくなる …など 直接攻撃されても大丈夫にする セキュリティ関連情報を保存しない ユーザを特定する情報は耐タンパ性の高いデバイスやクラウドに入れる など デバイスやデータのトレーサビリティを確保する © 2016 Kohki Ohhira, CISSP-322515 16
17.
問題6 汎用デバイス特有の問題がある 既存携帯デバイスはIoTのPoCにとてもありがたい 例:低価格Android
スマホ(数千円~1万円台) 搭載機能:「3G/LTE、Wi-Fi、BT、高解像度カラー液晶、 タッチデジタイザ、USB、SD、マイク、スピーカ、カメ ラ、一時/二次記憶、Li-ion電源、アプリ開発/配布/実行環 境、仮想ボタン、文字入力」 これほどのデバイス・インフラソフトを内作するにはとん でもないコストがかかる 既存デバイスを活用することで開発が加速 特にPoCの低コスト化短納期化はありがたい だからこその問題もある © 2016 Kohki Ohhira, CISSP-322515 17
18.
問題と対策6 使用に際しては総合的な判断が必要 汎用品はコントロールしにくい コンシューマ向けデバイスは半年ほどで消えるものも多い
同一型番であっても内部が更新されていることがある インフラソフトの更新も波乱含み アップデートはメーカーに一任されるものが多い セキュリティホールだらけなのに更新してもらえない 逆にデバイス採用者としてはインフラを更新してほしくないケースもある エンドユーザにとってうれしいデバイスは盗難の対象にもなる 対策 製品更新に合わせた運用を考えたうえで採用する 元々の仕様範囲を超えないように「控えめな使い方をする」 盗難対策も実装して周知する 利用ノウハウ蓄積には時間がかかることも踏まえる © 2016 Kohki Ohhira, CISSP-322515 18
19.
問題7 デバイスの限界がサーバに制限を与える 数・時間のスケール 1万台のデバイスは、単品テストの1万倍のデータフローを生む
毎分1回のアクセスは43200回/月のアクセスと同値 1万台のデバイスが毎分1回通信すると 10000×43200=4億3200万回のアクセスが毎月生じる デバイスの計算力が上限になる クラウドのおかげでサーバは安価かつ容易に強化できる デバイスはそれができない 小規模なデバイスでSSLが使えない、長い鍵が使えない データの前処理ができない 処理していないセンサーの生データは大きくなってしまう 例:人が1秒話すデータ量は? 16bit depthのCD音質で88200byte、文字データなら数byte、その差はおよそ1万倍 © 2016 Kohki Ohhira, CISSP-322515 19
20.
対策7 エッジコンピューティングを軽視しない エッジにコストをかけることも大切 センサーノードはnが大きいのでどうしてもコストを削減 したくなる
センサーノードも1個の立派なインターネットノード エッジを安価にすると、通信仕様に支障をきたす 例1:安全にできない 例2:エッジ網なのに内部バス並みのデータ量になることも エッジの性能を高めるとメリットも大きい エッジが高性能多機能だと、何かと良いことがある 例:データ量削減・プライバシ確保のデータ加工・端末防衛強 化・ファームウェアアップデート可能・UIの高度化・アンマ ネージドネットワーク対応の高度化・新たな数のメリット享受 (ビッグデータ化など) © 2016 Kohki Ohhira, CISSP-322515 20
21.
まとめ こんなことも配慮しましょう 1. 雑に扱われるかも 2.
UI/APIに最先端のWeb攻撃が来るかも 3. 危ういネットワークに接続されるかも 4. プライバシなど法的に危ういデータが混ざるかも 5. 物理攻撃されるかも 6. エッジに汎用デバイスを採用するかも 7. エッジの性能が必要になるかも まぁ、ユースケース次第なのですけどね だから顧客視点が大切 © 2016 Kohki Ohhira, CISSP-322515 21
22.
IoT実製品の様子 © 2016 Kohki
Ohhira, CISSP-322515 22
23.
実例1 Hue コーニンクレッカフィリップス エヌヴェ製 現在販売・配布されているもの
電球・スイッチ・ブリッジ スマホアプリ・API仕様 ZigBee Hue ブリッジ 電球 スイッチ 制御 ホスト LAN © 2016 Kohki Ohhira, CISSP-322515 23
24.
実例1 Hue 制御対象・センシング対象はZigBeeで接続 ブリッジはIPホスト機能、WebAPIを持ってお り、制御ホストとやりとりする
API仕様書はユーザ登録することで入手できる 基本的な認証はPB認証 プッシュボタンを押した後、規定時間以内に特定のAPIを叩く と、そのユーザの専用クレデンシャルが応答される 以降はそのクレデンシャルを送りながらAPIを叩く ZigBee Hue ブリッジ 電球 スイッチ 制御 ホスト LAN © 2016 Kohki Ohhira, CISSP-322515 24
25.
実例2 Insecamサイト URL http://www.insecam.org/
http://www.insecam.org/en/bycountry/JP/ 何のサイト? パスワードを設定されずに使われているWebカメラ集 皆に見てほしいカメラ…ばかりではなさそう 運用上の問題を指摘するサイト デフォルト動作 / 危険なネットワークに接続される © 2016 Kohki Ohhira, CISSP-322515 25
26.
まとめ 先人は貴重 先人の発言に耳を傾ける/成功している事例を大切に
リバースエンジニアリングは許されなくとも、既発品のポ リシーを見出して、参考にはできる そして先人と協業できればなおうれしい この文書の対象は実装・運用面 大切なのだけど、これだけではまずい セキュリティは上位のポリシーも大切 ポリシーを考えるなら、そのための情報を入手すべき たくさんの有能な組織がたくさんのレポートを出してくれ ている © 2016 Kohki Ohhira, CISSP-322515 26
27.
参考情報 IPA/JNSA IPA IoTセキュリティ
https://www.ipa.go.jp/security/iot/ https://www.ipa.go.jp/files/000052459.pdf 後続の情報(OWASP、OTA、GSMAなどの情報)も丁寧に紹介 してくれている JNSA コンシューマ向けIoTセキュリティガイド http://www.jnsa.org/result/iot/ © 2016 Kohki Ohhira, CISSP-322515 27
28.
参考情報 OWASP OWASP https://www.owasp.org/index.php/OWASP_Internet_ of_Things_Project
Interneto of Things Top Ten – owasp 原文と日本語解 説 https://www.owasp.org/images/7/71/Internet_of_Things_T op_Ten_2014-OWASP.pdf https://devcentral.f5.com/articles/iot-top-10 © 2016 Kohki Ohhira, CISSP-322515 28
29.
参考情報 Online Trust Alliance
/ GSMA OTA https://otalliance.org/initiatives/internet-things GSMA http://www.gsma.com/connectedliving/future-iot- networks/ 各組織みんな、セキュリティ以外の情報もたく さん扱っていてとても面白いよ! © 2016 Kohki Ohhira, CISSP-322515 29
Jetzt herunterladen