IoT製品の設計にセーフティ＆セキュリティの観点を！ - IPA · 2020-01-17 ·...

© 2016 IPA Software Reliability Enhancement Center

ET/IoT2016 ブースプレゼン

2016年11月16日、17日

独立行政法人情報処理推進機構（ＩＰＡ）

技術本部ソフトウェア高信頼化センター（ＳＥＣ）

遠山真、西尾桂子

IoT製品の設計にセーフティ＆セキュリティの観点を！～今押さえておくべきIoT時代の17の指針～

2© 2016 IPA Software Reliability Enhancement Center

目次

つながる世界とリスク

つながる世界の開発指針

開発指針が提案する「セーフティとセキュリティの整合性」

開発指針の展開


つながる世界とリスク


つながる世界（ＩｏＴ）とは

様々な「モノ」がつながって新たな価値を創出していく世界

出典：一般社団法人重要生活機器連携セキュリティ協議会「セキュアライフ2020」中の図に加筆

サービス提供サーバ（クラウド）

自動車メーカ・交通管制

テレマティクス端末、データレコーダ等

ITS＆自動車安全機能の連携 Newサービス

後付車載器

車車間通信持込機器

ITS路側機

自動運転

車載 ECU

機器メーカ遠隔監視・制御

Convenienceお弁当セール

生活圏の公共エリアのネットワーク機器

ATM

農地や工場

HEMS関連企業

コンテンツ提供企業

医療機関・ヘルスケア企業

AVネットワーク

医療・ヘルスケアネットワーク

蓄電池・コジェネ

HEMSネットワーク

電力会社

省エネ制御家電・照明

EV/HV

太陽光発電

HEMS端末

医療・ヘルスケア機器

ウェラブル機器

医療・ヘルスケアサーバ

ロボット介護４K・８Kコンテンツ

ホームサーバ

ネットワーク家電

スマートメータ

ホームゲートウェイ


System of Systems としてのＩｏＴ

モノがつながってIoTを構成 → IoTとIoTがつながってIoTを構成

ただつながるだけでなく、新しい価値を創造

IoTIoT

1.単独でも有用

4.つながることで新しい目的や機能を実現

3.完成形ではなく継続的に進化

2.つながっても独立に管理可能

5.地理的に分散し情報を交換

IoT

IoT IoT

IoT(System)がつながったIoT(Systems)=System of Systems

IoT

モノがつながったIoT(System)

中継ノード

サーバ

モノ


身近なＩｏＴ（例）

スマートフォンと家電、ヘルスケアの連携

• 外出先からエアコン、照明、コンセントなどをＯＮ／ＯＦＦ

• 体重計、電動歯ブラシなどと連動してヘルスケア

• トイレと連動し、好みの操作やトイレ日記の記録が可能

自動車と家電の連携

自動車に家電等との連動が可能なデバイスを搭載

• 「車内から家電に指示、米フォードがアマゾンの音声認識機能搭載」

• http://jp.reuters.com/article/ford-motor-amazon-com-idJPKCN1232HA

• アマゾンのAlexaは会話で照明（Philips製Hue）やコンセント(Belkin製WeMo)を操作できるデバイスEchoの音声認識機能（クラウド利用）

• https://weekly.ascii.jp/elem/000/000/350/350944/


音声による家電のコントロール

音声認識機能がユーザと会話し、家電をコントロール

クラウド

暗くなってきたわね

冷えてきたしでは、明かりと

ヒーターをつけましょう

音声認識機能


自動車の中から家電のコントロールが可能に？

このようなシチュエーションが可能になる？

ヒーター消したかしら？

まだ点いているのでOFFにしますね


つながる世界のリスク

とはいえ、ＩｏＴの世界にもリスクが存在！

遠隔から自動車を不正操作複合機の蓄積データが参照可能

モバイル網

車載器車載ネットワーク

攻撃者

走行関連機能

攻撃

プリンター複合機

ルータ

大学など

ファイアウォールなし

パスワード設定なし／初期パスワードのまま

インターネット

漏えい


つながる世界の開発指針


つながる世界の開発指針検討WG

役割委員氏名所属先名

主査高田広章名古屋大学

副主査後藤厚宏情報セキュリティ大学院大学

委員飯島雅人株式会社ミサワホーム総合研究所

委員緒方日佐男日立オムロンターミナルソリューションズ株式会社

委員荻野司一般社団法人重要生活機器連携セキュリティ協議会

委員奥原雅之富士通株式会社

委員梶本一夫パナソニック株式会社

委員木村利明一般財団法人機械振興協会技術研究所

委員高橋裕一株式会社日立製作所情報・通信システム社

委員長谷川勝敏一般社団法人組込みイノベーション協議会

委員早川浩史株式会社デンソー

委員松並勝一般社団法人日本スマートフォンセキュリティ協会委員三上清一株式会社JVCケンウッド

産業界や学会の有識者で構成 IoT製品・システムの開発時に考慮すべき、リスクや対策を検討

つながる世界の開発指針検討WG委員一覧


ＩｏＴのリスク対策の前提

ＩｏＴの構造（アーキテクチャ）は日々変化

新しいつながりや移動先でのつながりなど、日々変化

ＩｏＴのアーキテクチャに依存しない守り方が必要

ある日のIoT

構成変化

次の日のIoT

工事中


ＩｏＴコンポーネントへの着目

ＩｏＴを構成する機器やシステム＝「IoTコンポーネント」に着目

単体でもつながっても安全安心なIoTコンポーネントを目指す

Ｄ社スマホＣ社家電

安全安心

Ｅ社自動車

安全安心

Ｂ社システム

怪しい

Ａ社システム

安全安心

安全安心

防御

防御


ＩｏＴコンポーネントの守るべきもの

「IoTコンポーネント」をＩｏＴ機能と本来機能等に整理

「守るべきもの」を洗い出し

情報

個人情報、決済情報、センサーデータなど

IoT機能(通信､連携､集約等)

IoTアプリ、通信機能、セキュリティ対策のための

機能など

要求に応じて利用可能であること

本来機能(サーバ､GW､モノ等の機能)

機器やシステム本来の機能、セーフティ対策のための

機能など

その他

自動販売機内の商品、ATM内の現金、本体や部品など


本来機能(サーバ､GW､モノ等の機能)

情報

IoT機能(通信､連携､集約等)

その他

②保守用I/F

③非正規I/F

①通常使用I/F保守要員の立場を利用した設定変更や機能の不正利用、誤った設定変更など故障や欠陥による異常

データ発信、出荷前に感染したウイルスによる不正サーバアクセスなど

ウイルス、不正アクセス、DoS攻撃、他のIoTコンポーネントからの異常データなど

センサーの不正交換、IoT機器の誤操作など

④内包リスク

⑤物理的接触

露出した回路への結線によるIoTソフトウェア分析、誤ったUSBデバイス接続など

ＩｏＴコンポーネントへ脅威の想定

ＩｏＴコンポーネントへの脅威を想定


「つながる世界の開発指針」の策定

「つながる世界の開発指針」の内容

目次：第一章つながる世界と開発指針の目的第二章開発指針の対象第三章つながる世界のリスク想定第四章つながる世界の開発指針（17指針）第五章今後必要となる対策技術例

※各指針毎にポイント・解説・対策例を記載

http://www.ipa.go.jp/sec/reports/20160511_2.html

IoT機器/システムの開発者が安全・安心の確保のために最低限検討して欲しい事項を、開発ライフサイクルに沿って17の指針として整理。

大項目指針

方針

つながる世界の安全安心に企業として取り組む

指針1 安全安心の基本方針を策定する

指針2 安全安心のための体制・人材を見直す

指針3 内部不正やミスに備える

分析

つながる世界のリスクを認識する

指針4 守るべきものを特定する

指針5 つながることによるリスクを想定する

指針6 つながりで波及するリスクを想定する

指針7 物理的なリスクを認識する

設計

守るべきものを守る設計を考える

指針8 個々でも全体でも守れる設計をする

指針9 つながる相手に迷惑をかけない設計をする

指針10 安全安心を実現する設計の整合性をとる

指針11 不特定の相手とつなげられても安全安心を確保できる設計をする

指針12 安全安心を実現する設計の検証・評価を行う

保守

市場に出た後も守る設計を考える

指針13 自身がどのような状態かを把握し、記録する機能を設ける

指針14 時間が経っても安全安心を維持する機能を設ける

運用

関係者と一緒に守る

指針15 出荷後もIoTリスクを把握し、情報発信する

指針16 出荷後の関係事業者に守ってもらいたいことを伝える

指針17 つながることによるリスクを一般利用者に知ってもらう


開発指針が提案する「セーフティとセキュリティの整合性」


指針10 安全安心を実現する設計の整合性をとる

セキュリティ上の脅威がセーフティを阻害するハザード要因に

誤設定など

事故

引き金

機器やシステム

欠陥、故障など

脆弱性攻撃侵害

セキュリティ上の脅威

ハザード

ハザード要因

脅威もハザード要因に

出典：SESAMOプロジェクト「SECURITY AND SAFETY MODELLING FOR EMBEDDED SYSTEMS」を基に作成


セーフティのためのセキュリティ

そのためには、セーフティとセキュリティの設計の整合が必要

安全に関わる本来機能を守る例）ハンドルやアクセルの不正操作を防止する

安全のためのセーフティ機能を守る例）自動ブレーキ機能のソフトウェアの改ざんを防止する

セキュリティ機能が安全に影響を与えないよう考慮する例）セキュリティ機能の負荷による処理全体の遅延を防ぐ


セーフティとセキュリティの設計の整合性

現状、セーフティ及びセキュリティの担当者間の連携は不十分

まずは設計のすりあわせから

それには設計の見える化が有効

脅威

セキュリティ設計

ハザード

セーフティ設計

設計のすりあわせ


開発指針の展開


IoTセキュリティのガイドラインとしての展開

サイバーセキュリティ基本法（平成２６年１１月１２日）改正：H28.4.22※サイバーセキュリティに関する基本的な計画を定める

サイバーセキュリティ戦略（H27.9.4）内閣サイバーセキュリティセンター(NISC)※IoTシステムのセキュリティに係る総合的なガイドラインや基準の整備を行う

具体化

安全なIoTシステムのためのセキュリティに関する一般的枠組（H28.8.26）内閣サイバーセキュリティセンター(NISC)※IoTセキュリティの基本原則、取組方針

具体化 IoTセキュリティガイドライン

（H28.7.5）IoT推進コンソ（経産省、総務省）※NW構築・サービスを含むガイドライン

つながる世界の開発指針（H28.3.24）情報処理推進機構（IPA）※IoT機器・システム開発の要件

製品分野別セキュリティガイドライン（H28.6.8）重要生活機器連携セキュリティ協議会（CCDS）

※車載器、IoT-GW、ATM、POS分野のセキュリティガイドライン

具体化：産業分野のガイドライン

サイバーセキュリティマネジメントシステム日本情報経済社会推進協会(JIPDEC)

ネットワークセキュリティの要件

IoT開発におけるセキュリティ設計の手引き（H28.5.12）情報処理推進機構（IPA)

※セキュリティ設計（脅威分析・対策検討・脆弱性への対応）

具体化：セキュリティ設計の手引


利用時の品質の検討と開発指針への反映

利用者のことを考えたつもりの設計から利用時の品質が高い設計へ

利用時品質検討WGの検討成果を開発指針に反映

利用時の品質の失敗事例

日本で売れてる製品を米国で販売したら返品の山！

新規分野のため利用状況の把握・分析ができない！

想定外の利用環境で不具合が発生！

企業の開発者

こんなはずでは！

企業の開発者

しっかり考えたぞ


事例）国の文化の違いで返品が急増した

概要

製品の初回起動時に、時計合わせなど各種設定を促す画面を表示する仕様が日本においては何の問題も無く受け入れられていたが、北米仕向け製品にも本仕様を採用したところ、評判が悪く返品率が大きく上昇した。

原因（推定）

北米の利用者の多くは初期設定画面をスキップ、製品起動の度にまた設定画面が表示され、煩わしいと感じた。

北米では返品が容易な商慣習のため、返品が急増した。


事例）想定外の利用環境で不具合が発生した

概要

北海道の複合機ユーザ企業にて、一定割合で印刷が白紙になる不具合が発生。寒冷地用の防寒処置がされていないために、誤動作した模様。

原因

使用温度範囲の表示はあったものの、オフィスのエアコンを想定して冬季用の防寒処置は導入せず。夜間の無人オフィスにて大量印刷を実施するような利用状況があった模様。


ＩｏＴ高信頼化検討WG

クラウド

車両の操作指示（エンジン始動/停止

ドア施錠/解錠燃料残量表示）

携帯通信網

家／音声認識装置車／音声操作システム

家の操作指示（照明点灯/消灯サーモスタット

ON/OFF）

クラウドベースの音声認識サービス

家の操作指示（車庫の扉開/閉

玄関の照明点灯/消灯Fホームセキュリティ

ON/OFF）

住居者の操作で制御

音声認識装置の指示で制御

乗車者の操作で制御

音声操作システムの指示で制御

つながるユースケースを想定

脅威分析

対策のための機能検討＝

高信頼機能

実装方法も含めて

とりまとめ

ユースケース例

着眼点

WG成果物

開発指針の内容の適用を推進するために、実装を支援できるような高信頼化機能を策定

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&ved=0ahUKEwjcxanfofzOAhVGj5QKHRotBaEQjRwIBw&url=http://www.civillink.net/esozai/house.html&psig=AFQjCNHWhVB3Pujw8qnbUw0_oPqX0ATv5w&ust=1473303599815973

http://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&ved=0ahUKEwjcxanfofzOAhVGj5QKHRotBaEQjRwIBw&url=http://www.civillink.net/esozai/house.html&psig=AFQjCNHWhVB3Pujw8qnbUw0_oPqX0ATv5w&ust=1473303599815973


ご清聴ありがとうございました

IoT製品の設計にセーフティ＆セキュリティの観点を！ - IPA · 2020-01-17 ·...

Documents

Transcript of IoT製品の設計にセーフティ＆セキュリティの観点を！ - IPA · 2020-01-17 ·...