スライド 1

Size: px

Start display at page:

Download "スライド 1"

ひでたつふじがわ
5 years ago
Views:

1 IoT 時代の品質保証 ~ つながる世界の中で品質保証はどうなっていけばいいのか ~ ソフトウェア品質保証部長の会 IoT 時代の品質保証グループ東芝デジタルソリューションズ内海俊行エプソンアヴァシス株式会社江口達夫リコー ITソリューションズ里富豊 NECソリューションイノベータ株式会社杉野晴江 (50 音順 )

2 アブストラクト IoT 時代の品質保証について何から手をつければよいのかお困りではありませんか? 特に困っているメンバで集まりこのテーマで検討を進めて参りましたその結果として IoT 時代での現在の日本の状況と晒されているリスクが分かってきましたその内容や我々が感じた危機感を皆様にも感じていただきたく品質保証として解決すべき課題とその取り組み方法を提言致しますこの発表を期に時代にあった品質保証で安心安全な日本を一緒に目指しましょう 2

3 アジェンダ 1. そもそも IoT 時代って? 2. IoT 時代の困りごと 2-1. 利用者側は? 2-2. 価値提供する側は? 3.IoT 時代の品質保証 3-1. 今日から始めよう 3-2. 導かれる課題 4. まとめ 3

4 1. そもそも IoT 時代って? モノが Internet につながり自らが世界を観察特定理解するようになるさらにモノとモノが Internet を通じてつながる System of Systems と言ってしまうことは易しいが 4

5 2. IoT 時代の困りごとつながる世界の到来引用 : つながる世界の開発指針 ~ 安全安心な IoT の実現に向けて開発者に認識してほしい重要ポイント ~ 独立行政法人情報処理推進機構技術本部ソフトウェア高信頼化センター (1) 想定しないつながりが発生する (4) 問題が発生してもユーザーにはわかりにくい (2) 管理されていないモノもつながるつながりの把握やリスクの発見機器やシステムの管理が難しい (3) 身体や財産への危害がつながりにより波及する 5

6 実例! 2. IoT 時代の困りごと 2017 年 2 月ネットワークに接続されている 15 万台の複数各社のプリンタがハッキングされ一斉に意図せぬ文書が印刷された目的はファイアウォールなどのセキュリティ対策をせずにプリンタをオンラインで公開する危険性を指摘するため出典 : ギズモードジャパン 2/17( 金 ) 21:10 配信 IoT セキュリティにもっと関心持って! 6

7 2. IoT 時代の困りごとつながるリスク例想定例対策例悪意ある者がつなげてしまう悪意のある者が防犯カメラが乗っ取られ閲覧される家電製品を狙ったサイバー攻撃サイバー攻撃を検知する機能搭載サイバー攻撃を受けやすい脆弱プログラムが見つかればネット経由でソフト更新利用者が PW を設定しないと使えない仕様サイバー保険 ( ) に入る ( ) サイバー攻撃で IoT 機器の制御ができなくなり工場の生産が止まってしまった場合に逃した利益や情報漏えいなどで生じた損害を補償出展 : 2017/1/26 日本経済新聞サイバー攻撃保険拡充 2017/1/25 日本経済新聞サーバー攻撃家電標的より 7

8 2. IoT 時代の困りごと指紋顔眼球も複製可能! 3 メートル離れて撮影した写真からでも指紋読み取り可能出展 : 国立情報学研究所 SNS への実名電話番号登録写真投稿等により悪意のある第三者の攻撃対象となってしまう 8

9 2-1. 利用者は? 安心安全快適さを損なわれたくない満足感動がほしい変化をのぞまない慣れ変わらないことの価値セキュリティ対策として本人認証行為が増える等手間が増えるのは嫌等々 9

10 2-1. 利用者は? リスクはあるけどリスクをわかっていながらも目をつぶっているリスクを意識的に意識しないようにしているリスクだったことを忘れている価値がリスクを凌駕している ( リスク < 価値 ) 例 :SNS= 人同士のつながりに価値を見出しているリスクが Safety まで脅かす可能性に気が付いていない ( もしくは無視している ) 10

11 2-2. 価値提供する側は? リスク < 価値に甘えてませんか? 利用者の自己責任ということにして 11

12 12 経産省 IPA が注意喚起すれば当事者の意思に関わらず義務になる!? ウェブにおける商品受注システム ( 受注金額 :890 万円 ) 年 04 月 : サーバへの不正アクセス顧客クレジットカードの不正利用が発覚年 10 月 : 委任契約の債務不履行があったとして顧客への謝罪や売上減少等約 1 億 900 百万円の損害賠償請求訴訟を提起年 01 月 : 東京地方裁判所が被告に2,262 万円の支払を命じる判決対応しませんという意志表示をしないと認めたということになってしまう - 特別な指示をしなくても, 既知の脆弱性に対し, 当時の技術水準に応じた対策がなされたプログラムが提供されることを通常期待するはず価値提供する側は? 実例 ) システムベンダーはどこまで責任を負うのか IPA から対策を行うよう注意喚起がされている契約書の記載がなくてもプロとしての知見ありながらコメントしなかったとして SI ベンダとしてのプロの注意義務を広く捉える傾向があるただ基準はないため自分達で考えていくしかない出展 : システムベンダのセキュリティ対策義務より ~ 東京地裁平成 26 年 1 月 23 日判決 ( 平 23( ワ )32060 号 ) を素材として~ スクワイヤ外国法共同事業法律事務所弁護士武田勝弘

13 2-2. 価値提供する側は? サイバーセキュリティも気にしないと出展元タイトル経産省サイバーセキュリティ経営ガイドライン (Ver1.0) 経産省ソフトウェア等脆弱性関連情報取扱基準 ( 改正 ) IoT 推進コンソーシアム総務省 / 経産省 IPA IPA IPA IPA IoTセキュリティガイドラインVer1.0 サイバーセキュリティ経営ガイドライン解説書 (Ver1.0) 情報セキュリティ早期警戒パートバーシップガイドラインソフトウェア製品開発者による脆弱性対策情報の公表マニュアルつながる世界の開発指針 JPCERT/CC 高度サイバー攻撃 (APT) への備えと対応 etc 13

14 3.IoT 時代の品質保証様々な武器があることを知り活用しよう! 14

15 3-1. 今日から始めよう全従業員につながることによるリスクを知ってもらうリスク検討に有用な様々な手段を知ってもらう社内に推進体制を作って検討を始めよう経営者層への対応理解教育プロセス改善引合受注要件定義設計製造運用 15

16 3-2. 導かれる課題セキュリティ投資へのリターンは見え難く経営者がリーダシップを取らなければ積極的には話がでない課題 1: 経営層のリスク理解度向上さまざまなルールや認証ができたらそれに対応するではなく現在社会で発生しているリスクを正しく認識しそれに対して後手にならないように手を打っていくことが大切そこは売上や利益とは別の次元品質保証のメンバーは経営層の理解を助け正しい方向へ導く 16

17 3-2 導かれる課題経営層のリスク理解度向上に向けて出展独立行政法人情報処理推進機構技術本部ソフトウェア高信頼化センター P 開発指針の目的と使い方 (1)開発指針の目的開発者だけでは対応が難しい事項については参照可能な内容となっている経営者や保守者に P つながる世界の安全安心に企業として取り組むつながる世界の安全安心は機器やシステムの開発企業にとっては存続にかかわる課題であるため開発者のみならず経営者もリスクを認識する必要がある P.33 [指針１]安全安心の基本方針を策定する P.35 [指針２]安全安心のための体制人材を見直す Copyright (C) 2017 SQiPソフトウェア品質保証部長の会 All Rights Reserved 17

リスク管理体制の構築 3 リスクの把握目標と対応計画策定 4PDCA サイクルの実施と対策の開示 5

実施方法が具体的に解説されている出展 : 独立行政法人情報処理推進機構技術本部セキュリティセンター

18 3-2. 導かれる課題サイバーセキュリティの確保は経営者が果たすべき責任の一つサイバーセキュリティ経営ガイドライン 3 原則 1. 経営者のリーダーシップが重要 2. 自社以外 ( ビジネスパートナー等 ) にも配慮 3. 平時からのコミュニケーション情報共有重要 10 項目 1 サイバーセキュリティ対応方針の策定 2 リスク管理体制の構築 3 リスクの把握目標と対応計画策定 4PDCA サイクルの実施と対策の開示 5 系列企業ビジネスパートナー 6 予算の確保人材配置育成 7IT システム管理外部委託先 8 情報収集共有 9 定期的な演習の実施 10 被害発覚後の開示体制整備サイバーセキュリティ経営ガイドライン解説書ガイドラインの内容を補足し実施方法が具体的に解説されている出展 : 独立行政法人情報処理推進機構技術本部セキュリティセンター出展 : 経済産業省 18

19 3-2. 導かれる課題今後出てくるであろう脆弱性への対応方針をお客様と合意課題 2: 契約時の責任範囲明確化システム化計画フェーズ( 受注前 ) での契約方針策定開発指針はつまるところしくみや注意点すなわちプロセス課題 3: プロセスを変えていく業務分析フェーズでのリスク対策範囲の明確化上流設計フェーズでのセキュリティ脅威分析対策方針の決定下流設計フェーズでの対策方針の具体化テスト計画策定実装フェーズでのソースコード解析運用段階での注意喚起インシデント発生時の対応など 19

ではなくセキュリティとすれば IoT 製品やサービスにも適用できると考えられる出展 : IoT 時代のセーフティ & セキュリティ by

20 3-2. 導かれる課題脆弱性を生まない設計を実現する課題 4: Security by Design セキュリティバイデザインの定義 (NISC) 情報セキュリティを企画設計段階から確保するための方策企画要件定義設計実装検証評価保守運用情報セキュリティではなくセキュリティとすれば IoT 製品やサービスにも適用できると考えられる出展 : IoT 時代のセーフティ & セキュリティ by デザイン ~ アシュアランスケースとコモンクライテリア (ISO/IEC15408) によるセキュリティの品質保証を考える~ 情報セキュリティ大学院大学金子朋子 20

21 3-2. 導かれる課題もうひとつ大切なことはプロセスに込める心そして提供側も利用側も社会のリスクを気にすることすなわち意識技術人課題 5: 提供側と利用側の意識変革 ( 品質へのこだわり ) プロセス自身のためのこだわり自社のためのこだわりエンドユーザ社会のためのこだわりお客様企業のためのこだわり 21

22 22 4. まとめ IoT 時代の品質保証 1 経営層のリスク理解度向上 5 提供側と利用側の意識変革 4Security by Design 3 開発プロセスを変えていく 2 契約時の責任範囲明確化

23 最後に IoT 時代の品質保証 23

24 ご清聴ありがとうございました 24

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E > 身近な情報利活用による生活環境の事例をベースにネットワークがなかった時代の生活環境と比較させながら IT により生活が豊かに変化したことについて解説します 1. 身近な情報利活用の事例スライド上部の事例を紹介します学生が利用している情報サービスについて問いかけます IT によって実現していることについて説明します 2. ネットワークがなかった時代スライド上部の事例を活用し過去の事例を紹介します