- PDF Free Download

Size: px

Start display at page:

Download ""

かずただひろなが
5 years ago
Views:

1 総務省情報通信審議会情報通信技術分科会 IP ネットワーク設備委員会 ( 第 37 回 ) プレゼン資料資料 37-5 弊社 IoT 製品ユースケースご紹介及びそのインターネット接続形態とセキュリティ対策の整理 2018 年 3 月 30 日日本電気株式会社 IoT 基盤開発本部ソフトウェアアドバンストテクノロジスト ( サイバーセキュリテイ ) 桑田雅彦 1

3 目次 NECグループのIoT 製品の例 IoT 製品のユースケースの例 IoT 製品のインターネット接続形態セキュリティ対策の必要なIoT 機器 ( 公衆電気通信サービス保護の観点から ) IoT 機器にかかわるセキュリティ対策の整理 ( 同上 )

4 NEC グループの IoT 製品の例

5 NECグループのIoT製品の例 Wi-Fi ホームルータ Aterm シリーズ POS端末 TWINPOS シリーズデジタルサイネージ PanelDirector IoTデータ収集基盤エッジゲートウェイ耐環境極省電センサデバイス難設置IoTアクセス端末 5

IoTデータ収集基盤エッジゲートウェイネットワークに繋げられなかった機器や各種センサのデータを収集

現場の機器や各種センサからデータを収集しクラウド連携が可能エッジソフトウェアにより現場の安全なIoT化を支援効率化

の削減 HACCP対応を簡略化商品情報遠隔から設備の稼働状況把握や閾値設定環境に応じた運用形態冷蔵庫故障や閉め忘れ

Connectivity Engine)に対応アプリケーション実装環境 SDKによるアプリケーション開発支援環境を提供

デバイスの管理耐環境性動作環境温度 -5 55 /湿度 10 90%)に対応ファンレス筐体

6 IoTデータ収集基盤エッジゲートウェイネットワークに繋げられなかった機器や各種センサのデータを収集クラウド連携で現場の機器の稼働状況見える化など新たなサービスを創出導入によるメリット今までネットワークに接続できなかった現場の機器や各種センサからデータを収集しクラウド連携が可能エッジソフトウェアにより現場の安全なIoT化を支援効率化活用イメージ外食業現場設備冷蔵庫空調倉庫の状況を見える化温湿度の記録作業を自動化することで測定漏れや手間人件費の削減 HACCP対応を簡略化商品情報遠隔から設備の稼働状況把握や閾値設定環境に応じた運用形態冷蔵庫故障や閉め忘れによる食材廃棄リスクを軽減オンプレミスクラウド連携などの運用に柔軟に対応上位接続支援ソフト(CONNEXIVE IoT Connectivity Engine)に対応アプリケーション実装環境 SDKによるアプリケーション開発支援環境を提供サーバやクラウドを介さない処理を実装可能セキュリティ(Device Security機能) ホワイトリスト方式による通信デバイスの管理耐環境性動作環境温度 /湿度 10 90%)に対応ファンレス筐体コネクタ耐サージ性強化により幅広い設備センサに適用可能長期供給保守対応出荷開始後3年間供給 2020年8月末まで供給予定 5年間の長期保守最大2025年8月末まで保守可能無線対応(オプション) 既存環境に影響を与えず通信可能(3G/LTE/無線LAN/920MHz) 6 製造業工作機械や業務用機器の設備や振動センサ等のデータ収集見える化無線接続 3G/LTE/ 無線LAN/920MHz により既存設備に影響なくアドオン可能メンテナンスを迅速に指示故障の検知

7 耐環境極省電センサデバイス難設置IoTアクセス端末屋外や電源の無い場所など設置環境を選ばずに遠隔モニタリングを実現する通信機能付きセンサデバイス端末導入によるメリット各種モジュールセンサを選択組み合わせることでシステム要件環境条件にあった機能を実現グローバルスタンダードであるArduino用シールドを搭載でき検証開発期間を短縮防水防塵電池駆動に対応することで屋外水周り電源のない場所などの設備でもネットワーク接続が可能商品情報 7 活用イメージスタートセット

8 IoT 製品のユースケースの例

9 デジタルサイネージのユースケース交通機関(空港駅バス停港) 発着や乗り継ぎ案内のリアルタイム表示施設案内や観光案内の表示商業施設館内利用案内でエンターティメントを空間演出催事のご案内を発信し集客 9 自治体教育機関施設利用者への情報通知防災情報や観光情報の表示医療機関診察や会計時の番号表示診察時間のご案内や医療情報のお知らせ店舗ホテル季節ごとの商品プロモーションやお客様が求める情報を表示し催事のご案内利用者様の満足度を向上タイムセールなどのレストラン情報やイベントの告知スポット情報発信

10 エッジゲートウェイのユースケース店舗や工場などの設備稼働/環境管理カメラ映像監視業務の効率化活用イメージ活用イメージ A店 B店 C店アラート動きを検知エッジゲートウェイエッジゲートウェイ NEC Cloud IaaS 各店舗の温湿度データを自動収集格納 (HACCP対応) アラート C店の冷蔵庫の温度が上がっている C店に確認の電話を入れないと! エッジゲートウェイエッジゲートウェイ NEC Cloud IaaS セキュリティ機能によりカメラ画像の流出防止 A 情報付加画像データに動き検知の情報を付加して送信 C B リアルタイム監視リモート監視動き検知の情報があるためすべての時間の確認が不要管理者本部管理者導入によるメリット冷蔵庫冷凍庫の閉め忘れ等による食材廃棄や食中毒のリスクを軽減温湿度の記録作業を自動化することで測定漏れや手間(人件費)を削減し HACCP 対応を簡略化 HACCPとは安全で衛生的な食品を製造するための管理規定の一つ継続的な監視記録として温度時間管理が必要 10 導入メリット遠隔から各ビルマンションのリアルタイムな監視が可能既存建物にも導入可能映像用レコーダが不要なため設置場所の確保や定期メンテナンスも無し映像の時間特定ができるので確認が効率的設置から運用までトータルコスト削減エッジ活用による回線負荷軽減

11 難設置IoTアクセス端末のユースケース 11

12 IoT 製品のインターネット接続形態

13 IoT製品の代表的なインターネット接続形態 Back-end Computing Layer Networking Layer Edge Computing Layer 3G/LTE/5G 3G/LTE/5G Wi-Fi Device Networking Layer Device Computing Layer 13 LPWA 920MHz Bluetooth

14 セキュリティ対策の必要な IoT 機器 ( 公衆電気通信サービス保護の観点から )

15 セキュリティ対策の必要なIoT機器公衆電気通信サービス保護の観点から少なくとも以下の条件に当てはまるIoT機器はセキュリティ対策が必要何らかの経路でインターネットに接続され有線/無線を問わず間接的非定常的に接続されるものを含むマイコンなどのCPUを搭載しデータ通信処理が実行可能なIoT機器公衆無線通信サービスに影響を及ぼしうる無線通信機能/インタフェースをもつIoT機器 15

16 IoT 機器にかかわるセキュリティ対策の整理 ( 公衆電気通信サービス保護の観点から )

17 IoTにかかわる最近の主なセキュリティ問題 IoTシステムならではの脆弱性を突きマルウェアを感染させ機器の不正制御や乗っ取った機器を踏み台にした大規模DDoS 攻撃を実行社会的に影響度の大きい被害が発生 DDoS サービス妨害マルウェア Mirai ルータやWebカメラ等エッジ/デバイス機器の管理者用の初期設定ID/パスワードを不正利用機器を乗っ取り大規模DDoS攻撃の踏み台にマルウェア Stuxnet イランの原子発電所(ウラン濃縮施設)の制御システムの端末に USBメモリ等の接続を介して感染遠心分離機を不正に制御異常状態を引き起こし機器を破壊 17 マルウェア BASHLITE Webカメラやビデオレコーダ等エッジ/デバイス機器の OSコマンドの脆弱性を突き機器を乗っ取り大規模DDoS攻撃の踏み台にマルウェア BlackEnergy 電制御システムの端末に標的型攻撃メールを介して感染電制御のための通信を切断大規模停電が発生

実社会の基盤をなす他の環境へ広範かつ多大な影響を及ぼす事態に公衆電気通信サービス他環境へのDoS攻撃機密データを搾取

18 IoT機器の主なセキュリティ問題による影響拡大の段階的過程 IoT機器の脆弱性を突かれたとえば初期設定ID/パスワードを不正利用された問題から端を発し IoT機器を乗っ取られることで IoT機器自体の被害に留まらず実社会の基盤をなす他の環境へ広範かつ多大な影響を及ぼす事態に公衆電気通信サービス他環境へのDoS攻撃機密データを搾取マルウェア(Mirai) 攻撃脆弱性バックドア設置初期設定の ID/パスワード IoT機器を乗っ取り Edge Device 不正制御により誤動作 18 ボット化

19 IoT機器が想定すべきセキュリティ脅威の整理脅威整理のポイント [入口] ①通信経路(データ送受信用リモート管理/保守用)を介した不正アクセス(そのための脆弱性悪用盗聴改ざん) ②不正デバイス接続(同上) [内部] ③脆弱性悪用(プログラム/設定) ④盗聴改ざん ⑤マルウェア感染 [出口] ⑥踏み台通信/サービス妨害(公衆電気通信/クラウドサービスへのDoS攻撃等) 出口脅威(高優先) 内部脅威(高優先) IoT機器に配信する FW/アプリの改ざんセンサデータ等リモート管理/保守 (SSH等) 入口脅威(高優先) 通常ルート (HTTPS等) IoT機器に対する不正制御データ送信 ①通信の盗聴改ざん ①通信の脆弱性悪用 ⑥DoS攻撃 ①不正アクセス SIM不正使用 ⑥通信妨害 IoT機器(エッジ/デバイス) ⑥踏み台 OS/FW/アプリ/設定等の更新電源ケーブル断制御データ等 ③脆弱性悪用(プログラム/設定) ④盗聴 ④改ざん OS FW 通信設定アプリポリシ設定通信妨害 920MHz 無線 19 アカウント設定デバイス情報 ②不正接続 Wi-Fi BT/BLE ログデータ ⑤マルウェア感染 ②不正接続 USB

20 IoT機器に必要な基本的セキュリティ対策の整理対策整理のポイント保護/管理の基本(1) 脆弱性を塞ぐ(それを維持する)ことが最も肝要不要停止/削除強固な設定必要最小限の設定プログラム更新検疫強制設定保護/管理の基本(2) 暗号化鍵管理主体認証メッセージ認証改ざん検知保護/管理の基本(3) アクセス制御必要最小限のアクセス権設定運用の基本状況可視化迅速な異常検知対処(遮断影響の極小化) リモート管理/保守 (SSH等) 通常ルート (HTTPS等) 不要サービス停止主体認証メッセージ認証強固なID/PW設定 ⑥踏み台 OS FW アプリ通信設定ポリシ設定 920MHz 無線状況可視化異常検知アクセス制御遮断制御データ等 ④盗聴 ④改ざん通信妨害 20 鍵管理検疫強制設定変更データの暗号化改ざん検知鍵管理主体認証アクセス制御必要最小限のアクセス権設定 ①通信の盗聴改ざん ⑥通信妨害 OS/FW/アプリの更新 OS/FW/アプリ/設定等の更新強固なポリシ設定 ③脆弱性悪用(プログラム/設定) 不要アカウント削除対策要素通信の暗号化改ざん検知 ⑥DoS攻撃 IoT機器(エッジ/デバイス) クラウド側の対策 IoT機器に対する不正制御データ送信 ①通信の脆弱性悪用 ①不正アクセス主体認証アクセス制御 IoT機器に配信する FW/アプリの改ざんセンサデータ等アカウント設定デバイス情報 ②不正接続 Wi-Fi BT/BLE ログデータ不要インタフェース停止状況可視化異常検知アクセス制御遮断 ⑤マルウェア感染アクセス制御異常検知 ②不正接続 USB

21 IoT機器に必要な基本的セキュリティ対策一覧 1. 強固な管理用ID/パスワード設定 2. 不要なアカウントの停止/削除 3. 不要なインタフェース/サービスの停止 4. 強固なセキュリティポリシ設定 5. OS/ファームウェア/アプリ等ソフトウェアの脆弱性対策(更新) 6. リモートからのOS/ファームウェア/アプリ/設定等更新の保護 7. OS/ファームウェア/アプリ等ソフトウェア改ざん検知/防止 8. 通信/格納データの暗号化 9. 鍵管理 10. 主体認証メッセージ認証データ改ざん検知/防止 11. IoT機器の特定認証 12. ホワイトリスト型アクセス制御必要最小限のアクセス権設定 13. 状況可視化異常検知 14. 隔離遮断 15. 検疫強制設定変更 21

IoT機器セキュリティ対策の役割分担及び実施フェーズ(案) エンドユーザに対策を期待するのは実効的に難しく IoT機器 IoTシステム/サービス及び公衆電気通信サービスの提供者が役割分担して対策を実施するのが現実解 Security by Design は重要だが既に利用されている未対策のIoT機器が今後も長期的に継続利用されるため利用開始後の対策整備

22 IoT機器セキュリティ対策の役割分担及び実施フェーズ(案) エンドユーザに対策を期待するのは実効的に難しく IoT機器 IoTシステム/サービス及び公衆電気通信サービスの提供者が役割分担して対策を実施するのが現実解 Security by Design は重要だが既に利用されている未対策のIoT機器が今後も長期的に継続利用されるため利用開始後の対策整備適用も重要ライフサイクルフェーズ製品/システム/ サービスのアクタ設計開発時利用/運用開始時利用/運用中 IoT機器提供者対策1-15 対策5,6 対策5,6 IoTシステム提供者対策1-15 IoTサービス提供者対策1-15 公衆電気通信サービス提供者対策13-15 エンドユーザ 22 対策1-5,9,12 対策1,5 対策13-15 対策13-15 対策5

延命セキュリティ製品製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

延命セキュリティ製品製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC 延命セキュリティ二つの対策方法対策 1 ホワイトリスト型概要 : 動作させてもよいアプリケーションのみ許可しそれ以外の全ての動作をブロックすることで不正な動作を防止します特長 : 特定用途やスタンドアロンの PC の延命に効果的ですリストに登録されたアプリケーションのみ許可アプリケーション起動制御不許可アプリケーションは防止対策 2 仮想パッチ型概要 : OS アプリケーションの脆弱性を狙った通信をブロックし