What are the points you have to take care of for IoT system's security.

1. IoTのセキュリティ
CISSP-322515
大平浩貴（おおひら こうき）
© 2016 Kohki Ohhira, CISSP-322515 1

2. 自己紹介に代えて
 まぁ、おっさんでして…
人の役に立ちたい！
社会の役に立ちたい！
 セキュリティ分野で人の役に立つにはどうしよう…
大平浩貴（おおひら こうき）
いろいろアレして今に至る
持ってる情報を提供しよう
1
1
漫画家 永野のりこ さんの名言を使わせていただきました
© 2016 Kohki Ohhira, CISSP-322515 2

3. なぜ今更IoTセキュリティを書くか？
 IoT＋セキュリティなんて、ありがちな話題
 沢山のすごい人たちが既に立派なレポートを出してる
 なぜ手垢のついた話題を発表する？
 とにかくターゲットを現場に絞る
 難しい話はやめよう！もっと身近な対策を！
 簡単に思想・雰囲気・思考のきっかけを伝えるのが目標
現場の役に立ちたいから
© 2016 Kohki Ohhira, CISSP-322515 3

4. 説明の目的と形態
 難しいアーキテクチャの考え方や特殊な例は扱
わない
 高severity環境（金融・エネルギー・防衛な
ど）の要請を満たさない
 誰にでも納得できる、誰にでも使い道がある
 ポイントを7つに絞った
 できるだけ単純に
 多くの人が知ってる技術を中心に
 おまけ：ちょっとだけ実例の紹介
© 2016 Kohki Ohhira, CISSP-322515 4

5. IoTセキュリティに関する
7つの問題と対策
© 2016 Kohki Ohhira, CISSP-322515 5

6. 問題１
雑に扱われる
 従来こんな製品は特殊だった（例：要免許品）
 使いだしたらいろいろ維持しないといけない
 他のモノ・システム・サービスに悪影響を与える可能性がある
 問題があっても、普通の人は判断できない
 IoTのthingsも、従来の常識で扱われるかも
 適切に設定してもらえない
 例:インターネットバンキングには丁寧に考えたパスワードを設定する
が、電球にはいい加減なパスワードをつけてしまう
 自分が買ったモノ経由でSNSアカウントが盗まれるとか
 便りがないのは良い便り…だと思ってしまう
 Destination Unreachableランプも、ハイジャックされましたランプもな
い
© 2016 Kohki Ohhira, CISSP-322515 6

7. 対策1a
雑な扱いでも安全に利用できるように
 危うい扱いを検知して通知する
 UI・APIで食い止める
 例：パスワードが甘い場合警告する
 運用環境とのトレードオフだがアベイラビリティに着目した調節ができると良い
…パスワードのC的限界＆A的悪影響は無視できないため
 サーバへのアップロードを行うときに、端末側の情報を記録するなど
 その他の手段で確認・警告を出す
 ロギングをしっかり行う
 アノマリーな挙動検知・警告…高コンテキストな上位層だと見出しやすい
 定期的な確認処理を作りこむなど
 マネロン監視のように、巡回監視的な技術を使えたらいいな
 危うい環境でも動作するように
 電源/ネットなど→後述
© 2016 Kohki Ohhira, CISSP-322515 7

8. 対策1b
無設定で起動することへの対応
 デフォルト値は安全側にふっておく
 商品の価値を左右しない程度の機能ならOffにしたい
 機能有効化をオプトインポリシーにするなど
 使わない機能は立ち上げない・繋げないのはサーバ構築の基本
 接続する通信の選定
 IPアドレスの制限、プロトコルの制限など
 例：SNMPは初期状態で使わない
 さらに例：コミュニティ名のデフォルトはなく、 最初にSNMPを有効に
すると必ずコミュニティ名の入力を求める
 自動設定を積極的に採用する
 自動発見・簡単設定など
 ただし、危ういシチュエーションで危ない機能を自動有効化すべ
きではない
© 2016 Kohki Ohhira, CISSP-322515 8

9. 問題２
UI/APIをモノと勘違いしてしまう
 従来、電気スイッチに攻撃テストは不要だった
 激しくカチカチする奴への対策とかなかった
 IoTのインターフェースはWebが多い
 物理的UIを作るほどの機構・リソースがなく、Webベース
など、ソフト的UIを構築することが多い
 機器から利用するためのAPIはWebベースで構築されること
が多い
 Webのセキュリティ的特徴
 Webは攻撃が非常に多い
 人気なのでエクスプロイトを探る価値が高い
 セキュリティ上の問題を作りこみやすい
 Web技術は日々成長する…つまり、攻撃も日々成長する
© 2016 Kohki Ohhira, CISSP-322515 9

10. 対策２
UI/APIもWebサーバとして検証対象にする
 品質保証（QA: Quality Assurance）の一つ
 ファジングをしっかりしよう
 自分たちの行うファジングが、WebベースAPIに対応できてい
るかどうか…の部分からしっかり確認する
 場合によってはペネトレーションテストの技術を使うことも
 新しい情報を導入する
 新たな注意喚起・エクスプロイト・インシデントなど
の情報をしっかりキャッチして活用する
 外部からのニュースの導入だけでなく、モノづくりら
しく、内部でフィードバックを回してノウハウの蓄積
と活用もしっかり
© 2016 Kohki Ohhira, CISSP-322515 10

11. 問題３
非安全なネットワークを使ってしまう
 メーカーがモノの品質保証をしっかりしても…
 メーカはモノの外側の、お客様のネットワークまでコント
ロールできない
 お客様がモノを危ういネットワーク上に設置してしまうか
も
 汎用民生品では全てに対応できない
 1000円で売られるIoTデバイスにウィルスチェッカを入れ
るのは難しいことが多い
 攻撃は日に日に高度化し、顕在化した脆弱性は日に日に増
える
 アンマネージドなローカルネットも攻撃を誘因する
 だめだめ運用Wi-Fiなど
© 2016 Kohki Ohhira, CISSP-322515 11

12. 対処３
制限の伝達・システムの更新・通信の遮断
 お客様に制限を納得していただく
 「Internetには危険がいっぱい、外に出さない方がいいですよ」
 ネット原理的には「お客様の理解を得にくい！」と思うでしょう
 でも「鍵付きであっても高級車は危うい場所に置かない」という「運用
ポリシー」は既にある
 お客様とのコミュニケーションの良さが大切
 増え続ける脆弱性への対策
 対策1：システムを更新する
 ソフト更新手段をモノに作りこむ＆ソフト更新体制を用意する
 かなり強力な「銀の弾丸」…コストを許容できるなら積極採用したい
 対策2：接続をフィルタリング可能に作っておく
 最悪、危うい通信を閉鎖することで対応
 情報収集・新フィルタ設定作成・警報発報・伝達・対応の体制は必要
© 2016 Kohki Ohhira, CISSP-322515 12

13. 問題４
プライバシコントロールを考慮しない
 IoTではデータ収集サーバなどが必要
 クラウドを使うことも多い
 国境の向こうにも安価なクラウドが存在する
 リージョン間を仮想接続してデータを流すだけ…では済ま
ない
 プライバシを守る法令が各国にある
 今、プライバシ関連法制が急激に変化している最中
 日本の改正個人情報保護法・欧州データ保護規則など
 米国は個別立法に頼ることが多く、これはこれで難しい
 欧⇒日、欧⇔米、日⇒米、などなど
© 2016 Kohki Ohhira, CISSP-322515 13

14. 対処４
法的に規制される情報の扱いに配慮する
 クラウドのリージョンに注意
 法規は国家連携・単一国・地域で設定される
 ボーダートランスグレッション：国境を超えるときにこそ意識する
 法律は社会からの要請で日に日に変化する
 ICTと同じで、常にアンテナを張り巡らせる必要がある
 プライバシは超重要だがone of themである
 危険情報・違法情報の取り扱いという視点がよい
 専門家（弁護士の先生など）に相談するのは立派なリスクコ
ントロール
 人に依頼することを軽々しく損失と扱うべきでない
 「専門職に依頼」は高severity業務では基本中の基本
 例：かかりつけ医は専門医への付託を日々行って、人の命やその質を救い続
けている
© 2016 Kohki Ohhira, CISSP-322515 14

15. 問題５
物理セキュリティを確保しにくい
 モノはお客様の手許にある
 SaaSなどと違い、お客様のコントロール下に置かれる
 物理セキュリティ的に厳しい場所
 電源、HEVAC、破壊対策などの管理が厳しい
 ユーザ自身がシステムに対する攻撃者になるこ
とも
 おやくそくの「足ひっかけ＆掃除でコンセント抜き」
 デバイスの中にあるクレデンシャルを、破壊して取り
出してしまうなど
 デバイスそのものを盗んでしまうなど
© 2016 Kohki Ohhira, CISSP-322515 15

16. 対策５
耐タンパ性向上/クレデンシャルを持たない
 物理環境への考慮
 気温・衝撃・電源サージなど
 電池や液晶など、環境に脆弱で危うい部品に注意
 IoTデバイスのUIが「しょぼい」理由は安くするためだけではない
 耐タンパ性が重要
 セキュリティ要求を満たすために耐タンパ性の高い設計にする
 分解できない / 分解したら使えなくなる …など
 直接攻撃されても大丈夫にする
 セキュリティ関連情報を保存しない
 ユーザを特定する情報は耐タンパ性の高いデバイスやクラウドに入れる
など
 デバイスやデータのトレーサビリティを確保する
© 2016 Kohki Ohhira, CISSP-322515 16

17. 問題６
汎用デバイス特有の問題がある
 既存携帯デバイスはIoTのPoCにとてもありがたい
 例：低価格Android スマホ（数千円～1万円台）
搭載機能：「3G/LTE、Wi-Fi、BT、高解像度カラー液晶、
タッチデジタイザ、USB、SD、マイク、スピーカ、カメ
ラ、一時/二次記憶、Li-ion電源、アプリ開発/配布/実行環
境、仮想ボタン、文字入力」
 これほどのデバイス・インフラソフトを内作するにはとん
でもないコストがかかる
 既存デバイスを活用することで開発が加速
 特にPoCの低コスト化短納期化はありがたい
 だからこその問題もある
© 2016 Kohki Ohhira, CISSP-322515 17

18. 問題と対策６
使用に際しては総合的な判断が必要
 汎用品はコントロールしにくい
 コンシューマ向けデバイスは半年ほどで消えるものも多い
 同一型番であっても内部が更新されていることがある
 インフラソフトの更新も波乱含み
 アップデートはメーカーに一任されるものが多い
 セキュリティホールだらけなのに更新してもらえない
 逆にデバイス採用者としてはインフラを更新してほしくないケースもある
 エンドユーザにとってうれしいデバイスは盗難の対象にもなる
 対策
 製品更新に合わせた運用を考えたうえで採用する
 元々の仕様範囲を超えないように「控えめな使い方をする」
 盗難対策も実装して周知する
 利用ノウハウ蓄積には時間がかかることも踏まえる
© 2016 Kohki Ohhira, CISSP-322515 18

19. 問題７
デバイスの限界がサーバに制限を与える
 数・時間のスケール
 １万台のデバイスは、単品テストの１万倍のデータフローを生む
 毎分1回のアクセスは43200回/月のアクセスと同値
 1万台のデバイスが毎分1回通信すると
 10000×43200=4億3200万回のアクセスが毎月生じる
 デバイスの計算力が上限になる
 クラウドのおかげでサーバは安価かつ容易に強化できる
 デバイスはそれができない
 小規模なデバイスでSSLが使えない、長い鍵が使えない
 データの前処理ができない
 処理していないセンサーの生データは大きくなってしまう
 例：人が1秒話すデータ量は？
16bit depthのCD音質で88200byte、文字データなら数byte、その差はおよそ1万倍
© 2016 Kohki Ohhira, CISSP-322515 19

20. 対策７
エッジコンピューティングを軽視しない
 エッジにコストをかけることも大切
 センサーノードはnが大きいのでどうしてもコストを削減
したくなる
 センサーノードも1個の立派なインターネットノード
 エッジを安価にすると、通信仕様に支障をきたす
 例１：安全にできない
 例２：エッジ網なのに内部バス並みのデータ量になることも
 エッジの性能を高めるとメリットも大きい
 エッジが高性能多機能だと、何かと良いことがある
 例：データ量削減・プライバシ確保のデータ加工・端末防衛強
化・ファームウェアアップデート可能・UIの高度化・アンマ
ネージドネットワーク対応の高度化・新たな数のメリット享受
（ビッグデータ化など）
© 2016 Kohki Ohhira, CISSP-322515 20

21. まとめ
 こんなことも配慮しましょう
1. 雑に扱われるかも
2. UI/APIに最先端のWeb攻撃が来るかも
3. 危ういネットワークに接続されるかも
4. プライバシなど法的に危ういデータが混ざるかも
5. 物理攻撃されるかも
6. エッジに汎用デバイスを採用するかも
7. エッジの性能が必要になるかも
 まぁ、ユースケース次第なのですけどね
 だから顧客視点が大切
© 2016 Kohki Ohhira, CISSP-322515 21

22. IoT実製品の様子
© 2016 Kohki Ohhira, CISSP-322515 22

23. 実例１
Hue
 コーニンクレッカフィリップス
エヌヴェ製
 現在販売・配布されているもの
 電球・スイッチ・ブリッジ
 スマホアプリ・API仕様
ZigBee
Hue
ブリッジ
電球
スイッチ
制御
ホスト
LAN
© 2016 Kohki Ohhira, CISSP-322515 23

24. 実例１
Hue
 制御対象・センシング対象はZigBeeで接続
 ブリッジはIPホスト機能、WebAPIを持ってお
り、制御ホストとやりとりする
 API仕様書はユーザ登録することで入手できる
 基本的な認証はPB認証
 プッシュボタンを押した後、規定時間以内に特定のAPIを叩く
と、そのユーザの専用クレデンシャルが応答される
 以降はそのクレデンシャルを送りながらAPIを叩く
ZigBee
Hue
ブリッジ
電球
スイッチ
制御
ホスト
LAN
© 2016 Kohki Ohhira, CISSP-322515 24

25. 実例２
Insecamサイト
 URL
 http://www.insecam.org/
 http://www.insecam.org/en/bycountry/JP/
 何のサイト？
 パスワードを設定されずに使われているWebカメラ集
 皆に見てほしいカメラ…ばかりではなさそう
 運用上の問題を指摘するサイト
 デフォルト動作 / 危険なネットワークに接続される
© 2016 Kohki Ohhira, CISSP-322515 25

26. まとめ
 先人は貴重
 先人の発言に耳を傾ける/成功している事例を大切に
 リバースエンジニアリングは許されなくとも、既発品のポ
リシーを見出して、参考にはできる
 そして先人と協業できればなおうれしい
 この文書の対象は実装・運用面
 大切なのだけど、これだけではまずい
 セキュリティは上位のポリシーも大切
 ポリシーを考えるなら、そのための情報を入手すべき
 たくさんの有能な組織がたくさんのレポートを出してくれ
ている
© 2016 Kohki Ohhira, CISSP-322515 26

27. 参考情報
IPA/JNSA
 IPA
 IoTセキュリティ
 https://www.ipa.go.jp/security/iot/
 https://www.ipa.go.jp/files/000052459.pdf
 後続の情報（OWASP、OTA、GSMAなどの情報）も丁寧に紹介
してくれている
 JNSA
 コンシューマ向けIoTセキュリティガイド
 http://www.jnsa.org/result/iot/
© 2016 Kohki Ohhira, CISSP-322515 27

28. 参考情報
OWASP
 OWASP
 https://www.owasp.org/index.php/OWASP_Internet_
of_Things_Project
 Interneto of Things Top Ten – owasp 原文と日本語解
説
 https://www.owasp.org/images/7/71/Internet_of_Things_T
op_Ten_2014-OWASP.pdf
 https://devcentral.f5.com/articles/iot-top-10
© 2016 Kohki Ohhira, CISSP-322515 28

29. 参考情報
Online Trust Alliance / GSMA
 OTA
 https://otalliance.org/initiatives/internet-things
 GSMA
 http://www.gsma.com/connectedliving/future-iot-
networks/
 各組織みんな、セキュリティ以外の情報もたく
さん扱っていてとても面白いよ！
© 2016 Kohki Ohhira, CISSP-322515 29