IoT時代の連携するシステムのセキュリティと対策方法€¦ ·...

IoT時代の連携するシステムのセキュリティと対策方法

2015年8月6日

株式会社ユビテックユビキタス研究所

ユビテック事業紹介

カーソリューション

センサー事業

省エネ事業 •センサ & ネット & サーバ

• IoT、M2M、SasS型アプリ、クラウド運用

•モノ作り (民生品から産業機器) 金融系の品質

•センサ & ネット & サーバ •車情報、車載器、アダプタ、ネット、クラウドサーバ

• IT利用による遠隔・多拠点・監視 •分析からアセスメント、アドバイシングへ

•ビッグデータ事業化へ

セキュリティ調査、検証、コンサルティングサービス

• IoT、クラウド、SaaS型アプリケーションにおける脆弱性検証とセキュリティ対策のコンサルティング

•ネット接続に伴う脆弱性の調査、検証、コンサル

Copyright 2015 (C) Ubiteq, Inc. Proprietary and Confidential 2

IoT: Internet of Things M2M: Machine to Machine, SaaS: Software as a Service

ユビキタス研究所の事業内容

セキュリティ by デザイン支援サービス


商品企画

設計・開発

評価（品質保証）

サポート

セキュリティリサーチ

セキュリティ対策導入支援

セキュリティ第三者検証

対象部門

セキュリティトレーニング

プロモーション支援

組込みシステム製品の提供におけるすべてのフェーズでセキュリティのビルトインを支援

セールス

主なサービス事例


１セキュリティ対策支援サービス例 4 セキュリティ技術調査サービス例

２評価・検証サービス例

３トレーニングサービス例

■自動車系企業様内容：1)ユースケース実現に必要な技術抽出 2)脅威分析と対策技術の効果評価、コスト評価成果：報告書(約100頁)、定期会議での解説期間：約6ヶ月

■情報処理推進機構（IPA）内容：1)自動車セキュリティ調査・対策マップ策定 2)情報家電セキュリティ調査・セキュリティマップ策定 3)複合機セキュリティ調査・脆弱性リスト策定成果：報告書(約150頁)、概要資料、有識者委員会期間：約8ヶ月

■自動車系技術業界団体様内容：1)海外セキュリティ動向調査 2)対策技術・評価技術調査、技術一覧作成成果：報告書(約200頁)、月次報告、報告会での解説期間：約6ヶ月

■端末メーカ系企業様内容：Android OS VerUp後動作検証、3機種成果：報告書、結果報告レビュー期間：約２週間 ■情報サービス系企業様内容：Webサービスの機能検証と脆弱性評価成果：報告書期間：約3週間

■経済産業省中部経済局内容：組込みセキュリティ取組みガイド作成、セミナー開催アンケート調査成果：報告書(約30頁)、取組みガイド、有識者委員会期間：約8ヶ月

■自動車系企業様内容：脆弱性評価技術・ツールのプライベートセミナー成果：企業様の技術者に対するセミナー実施期間：実施１日

■自動車系企業様内容：車載システムの脅威分析と対策技術選定成果：企業様の技術者と共同で評価・レビューを実施期間：約3ヶ月

IOTとサービス

IoT: Internet of Things

モノのインターネット


１）ウェラブル・デバイス

スマートフォンや他のデバイス、ロボット、人と連携

Apple Watch 光学センサーによる

脈拍と血中酸素濃度計測、非接触充電

Nike Fuelband 3軸加速度センサによる活動量計測

Google Glass 加速度センサ、動画撮影等

http://wwwapplecom/jp/watch/technology/ http://storenikecom/jp/ja jp/pd/nike-fuelband-se/pid-865331/pgid-865332

http://wwwbuildinsidernet/mobile/googleglass/01 http://www.sony.jp/msc/enjoy/products/feature/20130905/

HMD製品(上)FPVゴーグル FPV=一人称視点でゲーム https://youtu.be/H19z1X3V4UQ

HMD製品(下) ソニー 3Dヘッドマウントイメージプロセッサユニット

複数視点のカメラを切替、別の計測情報の統合表示チームで動画像を同時表示

3D型は奥行もわかる

http://wwwapplecom/jp/watch/technology/

http://storenikecom/jp/ja_jp/pd/nike-fuelband-se/pid-865331/pgid-865332

http://wwwbuildinsidernet/mobile/googleglass/01

http://www.sony.jp/msc/enjoy/products/feature/20130905/

２）ウェラブル医療機器（無線利用）

海外では、無線を利用した装着用医療機器が普及している。

国内でも利用されてはいるが、周波数帯の関係で、輸入利用できない製品も多い。

スマートフォン連携の研究も行われている。

http://eetimesjp/ee/articles/1307/05/news057html

http://enwikipediaorg/wiki/Minimed_Paradigm

心臓ペースメーカー（体内埋込型のため、

設定変更を無線で行う）血糖値計＋インシュリンポンプ（血糖値測定装置とインシュリンポンプが無線で連携、国内では

電波法の関係で認可されていない）

血糖値計＋インシュリンポンプ＋スマートフォン連携の研究

３）ヘルスケア機器（無線利用）

オムロン「ウェルネスリンク対応機器」 21機種2014年10月現在

婦人用体温計自動血圧計

10秒で計測

顔につけて歩行姿勢を

診断

誰が載ったか認識、 Wi-Fi対応

ジョギングの内容を記録

枕元に置いて計測

睡眠計・ねむり計

歩行姿勢・活動量計

腕時計型あり

体重体組成計

http://www.wellnesslink.jp/p/product/



4)IoT連携サービスの例


http://mythings.yahoo.co.jp/ http://www.idcf.jp/ Yahoo myThings

2015年7月27日発表

クラウド、アプリ、家電などを連携させる事業者向けの

プラットフォーム

http://www.idcf.jp/

http://www.idcf.jp/

http://www.idcf.jp/

http://www.idcf.jp/

http://www.idcf.jp/

http://www.idcf.jp/

つながるIoTとスマートなサービス

「スマートフォン」、「ウェラブル機器」

小型デバイスに多種センサー、通信・ネットワーク、表示装置を統合

「スマート分析」

IoTで収集した多量の情報から予測: 購買、稼働、故障

「スマート認識」

音声認識、顔認識、空間認識

「スマート農業」

環境計測と自動化制御

「スマート製造」、「Industry 4.0」

3Dプリント、3D成形、製造ロボット

「スマートマネー」

電子マネー: 独立した信用を交換するBitCoin

仮想化クレジットカード: Apple Wallet

「スマートATM」

スマートフォンで現金引き出しを予約

「スマートカーシェア」

スマートフォンで自動車の利用権を貸出

「オープントランク」

スマートフォンで自動車のトランクへのアクセスを許可


「IoTサービス」のセキュリティ上の背景と特徴

普及に伴う変化: 既存の方法は「セキュアでない」

カードや鍵は表示がなく、結果がわかりにくい

スキャナが挿入されて、磁気情報が読みだされることがある

磁気情報と鍵の形状はコピーしやすい

暗証番号入力が熱的・光学的に読み取られていることがある

IoTサービスのセキュリティ上の特徴

多種、高精度で付加価値が高いセンサー情報

デバイス間で、信用がある情報を交換

連携のため情報はサードパーティ間の間でも交換

サードパーティ間を流通するため、匿名性も配慮が必要

社会的な応用にも展開し、さらに役割が重くなっている

ソフトウェアと情報で統合・実現されている


社会的な応用例: スマートごみ箱

ゴミ容器内のセンサーでゴミ量に応じて収集頻度を最適化

ゴミ箱には太陽電池を搭載、オプションでゴミ圧縮機能も搭載

テロ対策のため爆発物対応する容器も(右下)

スマートゴミ箱の例「BigBelly Solar」 http://www.nsw-cloud.jp/cloud/service/m2m/bigbellysolar/

※図は資料に基づきユビテック作成

ゴミの量を計測し、クラウドに送信

ごみ量大

まだ少ない

次のゴミ収集は...

ごみ量大ゴミ箱ネットワークがスマホを追跡：ロンドン, 2013 http://wired.jp/2013/08/12/recycling-bins-are-watching-you/

[関連情報] テロ対策のため設置されていたロンドン市内12ヵ所のゴミ箱で、スマートフォン50万台以上の MACアドレスが記録されていた


http://www.nsw-cloud.jp/cloud/service/m2m/bigbellysolar/




http://matome.naver.jp/odai/2137644981862408601

http://wired.jp/2013/08/12/recycling-bins-are-watching-you/










社会的な応用例: 運転実績で自動車保険料を割引自動車保険会社はテレマティクス機器を使って記録した運転実績に応じた自

動車保険料を割引くサービスを提供中

監視機器を装着し30日間後から「カスタマイズされた」料金を適用

バイク、家にも展開中

あいおいニッセイ同和損害保険PAYD, http://g-book.com/pc/service menu/security/detail.asp?id=082 PROGRESSIVE損害保険（米国）Snapshot , http://www.progressive.com/auto/snapshot/ KDDI総研R&A, 注目高まるConnected Carと、走行状況に応じた自動車保険, 2013-11, https://www.kddi-ri.jp/download/report/RA2013016

自動車保険会社計測情報

テレマティクス機器により運転状況を記録

実績値

保険料設定 Progressive 損害保険だけで 100万台以上導入

“Snapshot”, Xirgo製

クラウド

レポート

UBI: Usage Based Insurance PAYD: Pay as You Drive PHYD: Pay How You Drive

テレマティクス車載機

GPS 3G

[関連情報]携帯GPS､｢事前通告なしで捜査利用｣の課題, 2015 http://toyokeizai.net/articles/-/67988


http://g-book.com/pc/service_menu/security/detail.asp?id=082



http://www.progressive.com/auto/snapshot/

https://www.kddi-ri.jp/download/report/RA2013016

http://toyokeizai.net/articles/-/67988

脅威


走行中に自動車を遠隔操作 (研究)

車載のインフォテイメントシステムを経由して自動車を遠隔操作 WIRED http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ ※動画あり

(日本語) http://www.itmedia.co.jp/enterprise/articles/1507/22/news060.html

研究者: Charlie MillerとChris Valasek、2013年にPCから車載LAN経由で自動車を操作する発表

クライスラー(FCA)のコネクテッドカーシステム「Uconnect」の脆弱性を攻撃エンタメシステムのチップセットのファームウェアを更新

エアコン、ワイパー、ブレーキ、変速、ステアリングに干渉

バック中にはハンドル操作も奪取

ファームウェアの更新なしでも、ネットワーク内の他の

自動車の情報を取得可能

FCAは140万台のリコールで対応修正ソフトをUSBメモリで提供し、

オーナーまたは整備工場で更新

詳細はBlack Hat USA 2015(2015年８月)で発表予定

別件: 米国NHTSAは、FCAの車両火災などの対応の遅れから制裁金1.5億ドルを課し、監視人を送り込むことを決定 http://japanese.engadget.com/2015/07/27/140-1-500/

FCA: フィアットクライスラーオートモーティブ

Copyright 2015 (C) Ubiteq, Inc. Proprietary and Confidential

画像.ブレーキ不能で溝に(出典:WIRED)

15

http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

http://www.itmedia.co.jp/enterprise/articles/1507/22/news060.html

http://japanese.engadget.com/2015/07/27/140-1-500/






Uconnectの脆弱性


SprintのSIM 契約

京セラ製スマホ

テザリング

研究者がSprintの通信網をスキャンして取得した情報: ・車体識別番号(VIN) ・メーカー/モデル・IPアドレス・位置情報・スピード(動画から) 複数回スキャンの結果から、脆弱性を含む車体数を約47万台と推計

Uconnect 通信機器



研究者機材・環境問題と見られる脆弱性

・任意の端末に認証なしで車両状態を応答してしまう・Uconnect車載機の一部ソフトを書き換え可能

米国の通信事業者 “Sprint”の3Gネットワーク内を

スキャン(走査)

遠隔操作の手順


IPアドレス


Uconnect 車載機

自動車本体

チップセットのファームウェア

ボディ系CAN

駆動系CAN

[記事から推測できる攻撃手順]

1. Uconnectの通信の脆弱性を利用し、IPアドレスを指定してUconnectにアクセス

2. チップセットのファームウェアに攻撃コードを注入（Uconnectシステムではない）

3. 攻撃用パソコンからチップセットに対してコマンドを送信

4. チップセットからCAN-BUSに遠隔操作のためのCAN命令を送信

SprintのSIM 契約

京セラ製スマホ

テザリング

研究者機材・環境

米国の通信事業者 “Sprint”の3Gネットワーク

インターネット上の脅威

人がだまされる

(偽の電話にだまされて、詐欺師に現金を渡す)

見た目ソックリな偽サイトにパスワード等を入力させられる

正しそうな添付ファイルを実行してしまう

有名サイトに注入されたマルウエアをダウンロードしてしまう

機械またはサービス事業者がだまされる

ファイルやサイトからウイルス感染させられる

他のサイトで漏えいしたパスワードで不正にログインされる

マルウェアが実行する、偽の取引を処理させられる

書きかえられたコンテンツにより、他サイトを攻撃させられる


IoTと、その脅威

IoT: Internet of Things

安く高性能なコンピューターが、何とでもつながる

多様な無線通信方式、豊かな表現、多彩な機能

インターネットとクラウドで連携し、実生活・実社会と連動

IoTの脅威とはコンピュータ・ネットワーク・アプリケーションの総合的な脅威


海外を含めたセキュリティ上の脅威の状況

ゲートウェイ機器

IP電話(交換機)パスワード悪用で海外通話

家庭用ルータ―のパスワード悪用で日本国内サービスに中継

パソコン

Windowsのソフトウエア自動更新機能を強制停止

Webの暗号通信、SSL/TLSに介入してコンテンツを解読・書き換え

POSレジ

POSレジ(Windows)へのウイルス感染

設備工事業者のパソコンからセンターへ

ATM

ATM自体の盗難、カード読み取り、暗証番号入力の盗撮

不正なソフトウェアを実行させて現金引き出し

自動車

遠隔制御、スマートキーの書換え、無線妨害で盗難

走行履歴の漏えい、走行距離計の改ざん


IoTサービスの「物理と仮想」の融合


物理空間の認識

広範囲な情報化・仮想化による融合

金銭・権利等の信用の仮想化

物理仮想

物理空間の制御

制御情報

計測情報

信用がある情報

ソフトウェアがさらに重要に Windows、iOS、Linux用アプリ、FPGA用ファームウェアを含む

製造・流通の仮想化

製造情報流通情報

IoTサービスの垂直的な階層別構成


ネットワーク

クラウド

ゲートウェイ

端末

アプリ

メッセージ/コンテンツ

Web通信(HTTP)や無線による接続と中継

常時サービスを提供するサーバーと情報の蓄積・分析

無線と有線のメディア変換、速度変換、接続と情報の一時集約、平均化など

センサーやアクチュエータ、入出力表示など末端に配置される機器

機器の動作や情報収集・交換を制御するために実行するソフトウェア

他の機器やサービス、利用者と交換する命令や情報。

a b

IoTサービスの垂直的な階層別対策の方向性


ネットワーク

クラウド

ゲートウェイ

端末

アプリ

メッセージ/コンテンツ

a b マイコン、仮想化、有線/無線など多種多様な

実装、製品がありコントロールしにくい

アプリケーションでコントロールしやすい

部分 E2E

IoTサービスの水平方向の連携モデル

自動車ヘルスケア

家電 HEMS


IoTサービスにおける脅威の想定

想定される状況（その１）いま何がつながっているか、これから何がつながるか、分からない

想定される脅威（例）子供が脆弱性のある中古家電を持ち込み、家庭にウイルス感染

- 何が起きたのか、何が原因か、ユーザには分からない

解決すべき課題個々の生活機器のセキュリティ機能の強化、中小企業への支援

連携セキュリティ技術・フレームワークの開発

連携時の攻撃被害に対する責任分界の取り決め

ユーザへの「つなげるリスク」の教育など

生活機器Ａ

生活機器Ｃ

生活機器Ｄ

生活機器Ｂ

脆弱性

持ち込み



想定される状況（その２）異なる分野のネットワークが意図せず、つながる

想定される脅威（例）他分野の生活機器の思わぬ動作がサービスに影響

解決すべき課題各分野（業界）におけるセキュリティ検討、セキュリティ標準の策定

分野ネットワーク間のセキュリティ連携策の検討

各分野（業界）間のセキュリティ対応の格差の是正など

HEMS 端末

生活機器Ｂ

HEMSネットワークエンターテインメントネットワーク

ＨＥＭＳサービス事業者

生活機器Ａ

節電指示コンテンツ伝送中

電源停止要請

？



想定される状況（その３）いたる所で生活機器とモバイルデバイスが接続

想定される脅威（例）モバイルデバイスがウイルスなどの脅威の運び役に

解決すべき課題通信業界におけるモバイルデバイスのセキュリティ強化

生活機器とモバイルデバイスの連携セキュリティの検討

生活機器やモバイルデバイスへの攻撃に対する規制や罰則の強化など

ウェラブル機器

ヘルスケア機器自動車

ゲーム機



想定される状況（その４）多くの生活機器がサーバと通信

想定される脅威（例）攻撃による通信停止、情報漏えい・改ざんなど

解決すべき課題攻撃による通信停止や情報漏えい・改ざんなどへの対応検討

ユーザへの生活機器のネットワーク接続のリスクの周知など

データを改ざん

サービス提供サーバ（クラウド）

医療・ヘルスケア端末？

測定データを改ざんし、診断や健康アドバイスを妨げる

測定データ改ざんデータ

攻撃者



想定される状況（その５）生活機器を遠隔から監視、操作するサービスが増加

想定される脅威（例）遠隔サーバの乗っ取りによる生活機器の攻撃、遠隔操作と手元操作の対

立など

解決すべき課題サーバが乗っ取られた場合の生活機器の保護

遠隔操作と手元操作の対立時の適切な対応

ユーザへの生活機器のネットワーク接続のリスクの周知など

遠隔監視サービス会社

ルータ

攻撃者

遠隔操作

操作の対立

生活機器

インターネット

家庭用蓄電池

不正アクセスし、誤動作させる

誤動作がなくてもユーザの操作ミスで対立する場合も

手元操作

ユーザ


課題解決のための検討事項

検討事項

ユーザに対する

3.

2.

3

検討事項

企業における

3.

2.

2

検討事項

業界における

3.

2.

1

機器メーカサービス提供者通信事業者

3.2.4 業界横断的な検討事項

3.2.5 行政における検討事項

セキュリティ人材育成



セキュアな製品開発

セキュアな運用体制

セキュアなモバイルデバイス

連携時のセキュリティレベルの評価スキーム

の検討

インシデント予防／早期発見・早期対策の仕組みの検討

業界横断的な連携セキュリティの場

の設置

業界共通・横断的な連携セキュリティ技術

の開発

開発現場のセキュリティ技術者の育成支援

生活機器連携サービスに求められる

法制度整備の検討

業界共通・横断的な生活機器連携セキュリティ技術の開発支援

高度セキュリティ人材、開発現場のセキュリティ技術者の育成支援

中小企業やユーザにおけるセキュリティ対策の導入支援

連携機器間の信頼性の確認基盤技術

の検討

ユーザの緊急相談窓口の設置

業界におけるセキュリティ検討の場の設置

業界共通の連携セキュリティ対策の検討

業界セキュリティ標準の策定及び認証制度の制定

ユーザとのセキュリティ対応負担のコンセンサス

ユーザに対するセキュリティ情報・レベルの表示

ユーザのセキュリティリテラシー向上策の検討

U/Iを通じたセキュリティ意識向上手法の検討


対策


10大脅威の教訓から見た組込み機器対策

ソフトウェアの脆弱性 (よわみ) 脆弱性が少ない開発、脆弱性を探して減らす、被害を軽減する工夫

ウイルス感染確認済みのソフトウェア以外はインストールさせない

所定外のソフトウェアが実行されていることを検知する

パスワード窃取文字列のパスワードは盗まれる前提で別の保護を併用する

設定不備利用当初から継続してセキュアになるような設定を検討する

誘導（罠にはめる）上司・顧客になりすました依頼の裏付け確認、複数チェックをする仕組み


情報セキュリティ 10 大脅威 2015～被害に遭わないために実施すべき対策は？～, IPA, 2015年3月 http://www.ipa.go.jp/security/vuln/10threats2015.html

→さまざまな脅威に共通的に対応できる開発プロセスが必要

http://www.ipa.go.jp/security/vuln/10threats2015.html




セキュリティ開発プロセスの標準化活動の例

重要な産業分野政府調達 (ISO/IEC 15408/Common Criteria)

航空 (EUROCAE)、鉄道、制御システム(Achilles、EDSA, IEC 62443)

自動車分野 JSAE, 自動車の情報セキュリティの分析ガイド

SAE, J3061: Cybersecurity Guidebook for Cyber-Physical Automotive Systems document

ISO/IEC JTC1, TC22 SC32: Road Vehicle and Security(起案中)

参考日本でも「新たなサイバーセキュリティ戦略」の一つとして、政府機関向けの

ペネトレーションテスト(侵入試験)を2015年から実施する方針 http://www.nisc.go.jp/active/kihon/pdf/cybersecurity-senryaku-gaiyo.pdf

http://www.nisc.go.jp/conference/cs/dai01/pdf/01shiryou05.pdf


http://www.nisc.go.jp/active/kihon/pdf/cybersecurity-senryaku-gaiyo.pdf








開発プロセスから見た対策の枠組み


要求分析妥当性検証

システム / アーキテクチャ設計

→ハードウェア設計・開発・検証

→ソフトウェア設計・開発・検証

統合テスト

既存の開発プロセスの概要

構想・要件

開発・運用プロセスから見た対策の枠組み


要求分析妥当性検証

→ハードウェア設計・開発・検証 →ソフトウェア設計・開発・検証

統合テスト

ビジネス関係者構想

利用手順

外部仕様・API

脅威分析とセキュリティ設計

運用・監視

HW要求、SW要求、セキュリティ要求

システム / アーキテクチャ設計

内部脅威分析と設計脆弱性低減

新たな脅威 ... 他分野、他社の脅威事例既存の脅威

セキュリティ実装の検証単体の脆弱性評価

外部の脆弱性評価

第三者評価

インシデント対応

セキュリティ評価、被害への対応

* ユビテックまとめ

脅威分析の問題と対応

問題脅威分析はセーフティ分析よりも範囲が広い

- ソフトウェアの漏えい、改ざんなど損失を受ける脅威

- 製品のソフトウェアが書き換えられて乗っ取られる脅威

- 履歴情報によるプライバシー関連への脅威、など

現状の対応セーフティ分析とは別に、脅威分析を実施

- 担当者もセキュリティ上、攻撃者の視点を育成

外部仕様から内部仕様へと段階的に分析

- 脅威分析が洗練されるまでは、一度に詳細の分析は行わない

想定を支援するための「脅威分類」を準備

- 従来からある分類に、新しい事例を反映した脅威


対策技術

基本的な信用の提供暗号化等セキュリティ区画の分離: TrustZone, HSM

ソフトウェアの保護: 書き込み時の認証、コード検証

正しいソフトを検証しながら実行: セキュアブート

不正ソフトの実行を検出: 侵入検知

セキュリティレベル・品質の説明責任: アシュアランスケース

PKI(公開鍵暗号インフラ)の活用オープンなシステムで信用の提供、保証

交換する属性情報、コンテンツ自体の保護

脆弱性評価自動化による脆弱性検査の省力化

第三者サービスによる評価


今後の課題

正しさ

正しい状態をよりミクロに検証、不正状態を機械的に検出

侵入後

侵入検知、不正動作検出後の原因分離と自律的な復旧

レベル

セキュリティの程度・レベルを分野別に醸成

情報共有

異業種、異組織間で脅威・侵入・対策の情報共有


生活機器の連携セキュリティへの取組み

CCDSの活動から


CCDSの背景及び目的

ネットワーク接続したり他の機器と連携させたりしても安全・安心に利用できる環境を実現するため、重要生活機器のセキュリティ技術に関する調査研究、ガイドラインの策定や標準化の検討、及び普及啓発を行う

ＡＶ・家電アプリ

その他生活機器アプリエネルギー・

ＨＥＭＳアプリ

ＩＴＳ・自動車アプリ医療・ヘルスケア

アプリ

IoTサービスの相互連携により、脅威が伝搬する危険性

サーバ連携

機器連携侵入

ウイルス感染


分野間・組織間連携のイメージ

MIC総務省 METI経産省

NICT Cyber-Sec

NISC

IPA AIST

サイバー空間

テストベッド活用

国際通信規格

情報Sec 対策室

情報Sec 政策室

自動車課

JARI

IIC

プローブデータ活用セキュリティ検討

組込みシステム Safety/Security研究

組込みシステムSecurity 調査検討・取組みガイドセキュリティキャンプ

セキュリティR&D戦略

検討の場生活機器連携セキュリティ技術開発

国際標準化

ガイド

般社団法人要生活機器携セキュリティ協議会

JASA

ITS Japan

JEITA

各組込み製品分野

ＩＴ利活用セキュリティ総合戦略推進部会（山本前大臣主催）「ＩＴ利活用セキュリティにおける総合的かつ戦略的な政策推進に係る提言 http://www.nisc.go.jp/active/kihon/pdf/ituse20140728.pdf

■ＩＯＴ関連セキュリティ政策の重要性 ■サイバーセキュリティ特区の創設

一般社団化

機能安全とセキュリティの標準化動向

IoT向け生活機器で未整備のセキュリティ標準

原子力

自動車

医療機器

機能安全（セーフティ）

セキュリティ

IEC 61508 「電気・電子・プログラマブル電子の機能安全」

IEC 62443 「汎用制御システムのセキュリティ」

IEC61513

ISO 26262

IEC 60601

プロセス産業 IEC61511

白物家電 IEC60335

産業機械類 IEC62061

基本分野別

未策定

組織分野別

ISO 27001 「ISMS：情報セキュリティマネジメントシステム」

製品・部品のセキュリティ機能

ISO 15408 「セキュリティ評価・認証」

生活機器に関するセキュリティ評価・検証・認証

を行うためのガイドライン・標準規格

スキームがない

CSSCが制御システムを評価・認証(EDSA認証)

IPAが認定した認証機関がセキュリティ機能を評価・認証

JIPDECが認定した認証機関が組織の

セキュリティ体制を認証 CSSC:技術研究組合制御システムセキュリティセンター IPA：独立行政法人情報処理推進機構 JIPDEC一般財団法人日本情報経済社会推進協会

基本

策定中または未策定

策定中または未策定

沖縄県で取組を支援

IPA で実施


分野で異なる安心・安全レベル

安心・安全安

心・安全

Ａ分野機器

Ｃ分野機器

Ｂ分野機器

①分野毎に、必要とされる安心・安全レベルが異なる

安心・安全

必要なレベル

実際のレベル

必要なレベル

実際のレベル

必要なレベル

実際のレベル

連携連携

②連携時には低いレベルに合わせざるを得ない

必要な安心・安全レベル

実際の安心・安全レベル


CCDS 組織体制

社員総会

理事会

幹事会

事務局

生活機器セキュリティガイドラインWG

事業推進WG

会員種別幹事会員正会員学術会員一般会員賛助会員

会長：徳田英幸慶應義塾大学教授

代表理事：荻野司京都大学特任教授理事：後藤（情報セキュリティ大学院大学教授）長谷川（eSol社長）服部（ヴィッツ取締役）

車載器 Sub ＷＧ (JVCK)

金融ATM Sub ＷＧ (HOTS)

決済端末 Sub ＷＧ (OSK)

ホームネットSub ＷＧ (日立)

セキュリティ技術WG

個別技術ＷＧ

（設置可能）

※クローズドなＷＧも設置可能。

ユーザビリティ WG

2015年度

総会員数３９（2015/3末）


外部団体との連携関係

IoTセキュリティガイドライン策定

IoT脆弱性検証基盤構築

・開発プロセスガイドライン：Security by Design ・検証ガイドライン－＞国際標準化に向けて安心、安全なサービス・製品開発を目指す！

・脆弱性検証ツール（業種毎）・脆弱性検証シナリオの策定セキュリティの観点を組み入れた脆弱性基盤を構築！

参照資料、お問い合わせ先


東京都品川区西五反田1-18-9 五反田NTビル6F TEL：03-5487-5567 FAX：03-5487-5561 メールアドレス [email protected] ホームページ http://www.ubiteq.co.jp

組込み製品のセキュリティ評価、テスト、調査 →ユビテックユビキタス研究所

https://www.ccds.or.jp/

mailto:[email protected]



http://www.ubiteq.co.jp/

https://www.ccds.or.jp/

IoT時代の連携するシステムのセキュリティと対策方法€¦ ·...

Documents

Transcript of IoT時代の連携するシステムのセキュリティと対策方法€¦ ·...

IoT時代の連携するシステムの セキュリティと対策方法€¦ ·...

Documents

Transcript of IoT時代の連携するシステムの セキュリティと対策方法€¦ ·...

IoT時代の連携するシステムのセキュリティと対策方法€¦ ·...

Transcript of IoT時代の連携するシステムのセキュリティと対策方法€¦ ·...