講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

Transcription

1 IoT における脆弱性対策の進め方 ~ 既知の脆弱性対策のすすめ ~ 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 2015 年 11 月 18 日 Copyright 2015 独立行政法人情報処理推進機構

2 講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

3 1. 組込み機器のセキュリティの 脅威について Copyright 2015 独立行政法人情報処理推進機構 3

4 組込み機器の今昔 ~ 繋がるモノ ~ クラウド 以前の組込みシステム スタンドアロンで動作 機械的な制御 現在の組込みシステム インターネットを含めた様々なネットワークと接続して動作 クラウドの活用 ソフトウェア制御 個人情報や操作情報のような機微な情報を含めた様々な情報を扱う 自動車 モノのインターネット (Internet of Things : IoT) Copyright 2015 独立行政法人情報処理推進機構 4

5 ビッグデータの時代へ ~ 繋がってしまうモノ ~ スマートフォン 電話帳 メール 写真 動画 音楽 GPS 情報 オートロック機能 etc 自動車 車速 ハンドル舵角燃費 充電情報 自動運転機能 etc ゲーム機 各種アカウント 電子マネーコンテンツ プレイデータ etc ユーザ情報 コンテンツクレジットカード情報 録画予約機能 etc デジタルテレビ ビッグデータ 利用者情報 健康状態 各種設定情報 制御機能 etc デジタルヘルス スキャン情報 FAX 情報 ユーザ情報 データ送信機能 etc デジタル複合機 組込みシステムが繋がっていく中では 機器同士が自律的に連携するなどして 情報だけでなく 機器の操作 も行われるようになってきている その為 これまでの情報漏えいや改ざん等への対策だけでは無く 利用者の意図しない 機器の操作 を防ぐ対策も必要となる Copyright 2015 独立行政法人情報処理推進機構 5

6 組込みシステムのライフサイクル ~ ライフサイクルから見たセキュリティの脅威 ~ 製造メーカ 小売業者ユーザリサイクル業者 マネジメント 企画開発運用廃棄 企画書の漏洩 残存情報による情報漏えい 脆弱性のあるライブラリ利用 等 脆弱性を悪用した改ざんや情報漏えい 脆弱性情報の収集と対策実施が重要 本講演で説明をしている部分 Copyright 2015 独立行政法人情報処理推進機構 6

7 脆弱性情報事例 1 ~ 車両移動を制御される脆弱性 ~ Copyright 2015 独立行政法人情報処理推進機構 7

8 脆弱性情報事例 2 ~ 監視用カメラに SQL インジェクションの脆弱性 ~ Copyright 2015 独立行政法人情報処理推進機構 8

9 脆弱性情報事例 3 ~bash の脆弱性対策について (CVE 等 )~ Copyright 2015 独立行政法人情報処理推進機構 9

10 脆弱性情報事例 4 ~ オフィス機器をインターネットに接続する際の注意点 ~ Copyright 2015 独立行政法人情報処理推進機構 10

11 2. 脆弱性関連情報の収集 Copyright 2015 独立行政法人情報処理推進機構 11

12 自組織に必要な脆弱性関連情報とは ~ 脆弱性対策情報 攻撃情報 脅威 動向の観点が重要 ~ 情報種別と活用例 対象情報情報の意味合い活用例 脆弱性対策情報 脆弱性の存在 対策の有無を知る 脆弱性の深刻度の調査 対策や回避策の実施 攻撃情報 実際の攻撃の有無 攻撃コードの公開状況を知る 対策の緊急度の検討 脅威 動向 攻撃手法やセキュリティの動向を知る 自組織の対策状況の確認 Copyright 2015 独立行政法人情報処理推進機構 12

13 脆弱性関連情報の収集 ~ 外部の情報を収集し 自組織の対策に役立てる ~ 脆弱性関連情報とは? 製品ベンダー ニュースサイト 注意喚起サイト 脆弱性関連情報 DB 攻撃情報 Copyright 2015 独立行政法人情報処理推進機構 システム管理者 脆弱性対策を行う為に 対策の判断要素となる情報 13

14 製品ベンダーサイト ~ 使用している製品の脆弱性対策に ~ ネットワーク サーバ シスコ セキュリティアドバイザリ 日立 セキュリティ情報 セキュリティ シマンテック セキュリティアップデート オープンソース OpenSSL Copyright 2015 独立行政法人情報処理推進機構 14

15 ニュースサイト ~ メディアが報道した情報を効率よく収集する ~ 国内ニュースメディア CNET ニュース ITmedia エンタープライズセキュリティ ITpro セキュリティ 海外ニュースメディア ComputerWorld Security ( 米国中心 ) The Register Security ( 英国 欧州中心 ) Copyright 2015 独立行政法人情報処理推進機構 15

16 注意喚起サイト (1) ~JPCERT/CC からの注意喚起 ~ JPCERT/CC 注意喚起 官公庁系を含めて国内で広く参照されている 注意喚起の大半は マイクロソフト月例 Oracle Adobe に関する情報 Copyright 2015 独立行政法人情報処理推進機構 16

17 注意喚起サイト (2) ~ 警察庁 : 重要なセキュリティ情報 マイクロソフト Oracle Adobe 等の緊急度の高い脆弱性情報を発信 定点観測情報等から攻撃傾向などの情報を発信 不正アクセス事案などの情報も発信 Copyright 2015 独立行政法人情報処理推進機構 17

18 注意喚起サイト (3) ~IPA からの注意喚起 ~ IPA: 重要なセキュリティ情報 JVN に掲載された情報 マイクロソフト Oracle Adobe 等の緊急度の高い脆弱性情報を発信 攻撃の有無を掲載 ウェブサイト改ざん等の攻撃の傾向について発信 Copyright 2015 独立行政法人情報処理推進機構 18

19 脆弱性関連情報データベース (1) ~ 米国 : NIST が運用する元祖脆弱性対策データベース ~ NVD(National Vulnerability Database) 米国標準技術研究所 (NIST) が運営 CVE 識別番号で管理されている DB 検索機能 統計機能を備える 約 73,000 件の脆弱性対策情報を登録 (2015 年 10 月末時点 ) 情報は全て英語 Copyright 2015 独立行政法人情報処理推進機構 19

20 脆弱性関連情報データベース (2) 米国 : 元祖 CSIRT (*) が運用する脆弱性対策データベース Vulnerability Notes Database (*)Computer Security Incident Response Team カーネギーメロン大学 (CMU) ソフトウェア工学研究所 (SEI) の CERT/CC が運営 世界で最初に設置された CSIRT として収集 発見した数多くの情報を公開 DB 検索機能のほか CVE CVSS 公開日 更新日などで並び替え可能 情報は全て英語 Copyright 2015 独立行政法人情報処理推進機構 20

21 脆弱性関連情報データベース (3) ~ 国内外の脆弱性対策情報を日本語に翻訳して公開 ~ JVN (Japan Vulnerability Notes) JPCERT/CC IPA が運営 情報セキュリティ早期警戒パートナーシップ対応の 脆弱性対策情報ポータル 国内製品開発者の対応情報が掲載 海外の CERT から展開される脆弱性関連情報も掲載 Copyright 2015 独立行政法人情報処理推進機構 21

22 脆弱性関連情報データベース (4) ~ 国内外の脆弱性対策情報を日本語に翻訳して公開 ~ 脆弱性対策情報データベース JVN ipedia IPA が運営 国内ベンダーと連携をし 脆弱性対策情報を公開 海外の脆弱性 DB(NVD) の情報を日本語に翻訳して公開 DB 検索機能を備える 約 57,000 件の脆弱性対策情報を登録 (2015 年 10 月末時点 ) Copyright 2015 独立行政法人情報処理推進機構 22

23 情報収集に役立つキーワードについて知ろう Copyright 2015 独立行政法人情報処理推進機構 23

24 知っていますか?CVE, CWE, CVSS 効率的に進める為に有効なキーワード 脆弱性を一意に識別する番号 脆弱性のタイプを体系的に分類 脆弱性の深刻度を評価する数値指標 脆弱性対策情報や注意喚起等でも使用 これらのキーワードの解説資料 Copyright 2015 独立行政法人情報処理推進機構 24

25 CVE とは ~ 脆弱性に番号を割当て 一意に識別することを可能にする ~ Common Vulnerabilities and Exposures ( 共通脆弱性識別子 ) プログラム上のセキュリティ問題に一意の番号 (CVE 識別番号 ) を付与して管理 CVE 識別番号の構成 西暦 連番 CVE CVE CVE 連番は 4 桁から始まり 必要に応じて拡張 世間で公表されている脆弱性に割り当てられた識別番号 脆弱性を一意に特定することを可能とする Copyright 2015 独立行政法人情報処理推進機構 25

26 CVE とは ~ 採番方法の仕組み ~ CVE の採番方法 新規脆弱性ごとに MITRE 社 (*) に申請 または MITRE 社に認定された CNA(CVE Numbering Authority CVE 採番機関 ) から割り当てを受ける Primary CNA MITRE Corporation CVE 日本 Apple Inc. Adobe Systems Incorporated Microsoft Corp. Oracle JPCERT/CC CVE 番号群 CVE 番号群 CVE 番号群 CVE 番号群 CVE 番号群 ソフトウェアベンダや第三者調整機関など計 22 組織 (*)MITRE Corporation: 米国政府向けに技術支援や研究開発を行う非営利組織 参考 URL) Copyright 2015 独立行政法人情報処理推進機構 26

27 CWE とは ~ 脆弱性のタイプを体系立てて分類 ~ Common Weakness Enumeration ( 共通脆弱性タイプ一覧 ) 脆弱性を種別ごとに分類 CWE 番号体系 Copyright 2015 独立行政法人情報処理推進機構 27

28 CVSS とは ~ 脆弱性の深刻度を数値化 ~ Common Vulnerability Scoring System ( 共通脆弱性評価システム ) 脆弱性の深刻度を 0.0~10.0 のスコアで評価 深刻度レベルⅢ( 危険 ) レベルⅡ( 警告 ) レベルⅠ( 注意 ) CVSS 値 7.0~ ~ ~3.9 脆弱性の深刻度を表すバロメータとして CVSS が活用されている 上記は CVSSv2 の場合です CVSSv3 は上記と異なります Copyright 2015 独立行政法人情報処理推進機構 28

29 3.IPA が提供する脆弱性対策関連の サービス Copyright 2015 独立行政法人情報処理推進機構 29

30 時間とともに増えるリスク ~ 時間と共に情報システムが攻略されるリスクが増大 ~ 脆弱性は 日々公開されており そのままにすると時間と共に情報システムの安全性が低下する Copyright 2015 独立行政法人情報処理推進機構 30

31 日々公表されている脆弱性情報 ~ 公式な脆弱性だけで年間約 5,200 件を公開 ~ 四半期件数 5,000 4,000 3,000 2,000 1,000 月平均約 430 件 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの累計件数 ( 右目盛り ) 46,860 48,427 累計 56,475 件 (2015 年 9 月末 ) 51,499 53,235 54,714 56,475 70,000 60,000 50,000 40,000 30,000 20,000 10,000 累計件数 /4/25 公開開始 2Q Q Q Q Q Q 図 1-1. JVN ipedia の登録件数の四半期別推移 IPA 脆弱性対策情報データベース JVN ipedia の登録状況 [2015 年第 3 四半期 (7 月 ~9 月 )] Copyright 2015 独立行政法人情報処理推進機構 31

32 優先度をつけて対策する ~ 脆弱性の持つ危険度 緊急性を見極めよう ~ 脆弱性対策情報 ( 全件 ) 1 自組織で利用しているソフトウェア ( 対策すべき最大範囲 ) 2CVSS の深刻度が高い 3 攻撃に悪用される可能性が高い 危険度 緊急性で優先度を絞り込み 被害を防ぐ為には 危険度 緊急性の高い脆弱性を解消していくことが重要 Copyright 2015 独立行政法人情報処理推進機構 32

33 1 利用している全ソフトウェアに対策 ~ 自組織で利用しているソフトウェアの情報を収集 ~ 自組織で利用しているソフトウェア全てに対策 3 対策の実施 2 脆弱性対策情報の日々の収集 1 使用しているソフトウェアのリスト化 最もリスクを低減できる確実な方法 対策に掛かるコストを考慮しておく必要あり Copyright 2015 独立行政法人情報処理推進機構 33

34 1 利用している全ソフトウェアに対策 < 活用ツール >MyJVN 脆弱性対策情報収集ツール MyJVN 情報収集ツールを使い必要な情報のみ収集 (Adobe Flash) (Adobe Air 機能拡張版 ) 収集対象のソフトウェアを登録しておく 登録した対象ソフトウェアの脆弱性対策情報のみ表示 Copyright 2015 独立行政法人情報処理推進機構 34

35 2 深刻度の高い脆弱性に限定 ~ 深刻度の高い脆弱性に限定した収集 ~ 技術的な深刻度が高い脆弱性に限定した対策 対象 危険大危険中危険小 脆弱性と言っても 引き起される事象は様々 インターネット越しにリモートコントロールできる 危険大ローカル環境でパソコンをフリーズさせる i 危険小 深刻度が高い物に限定することで コスト削減 リスクが残る点は 認識しておく必要あり Copyright 2015 独立行政法人情報処理推進機構 35

36 2 深刻度の高い脆弱性に限定 ~ 深刻度の高い脆弱性に限定した収集 ~ JVN ipedia における深刻度の記載 CVSS に基づく 脆弱性の技術的な危険度 (CVSS 基本値 ) を記載 Copyright 2015 独立行政法人情報処理推進機構 36

37 3 攻撃が発生している脆弱性を対策 < 活用ツール > IPA 重要なセキュリティ情報 重要なセキュリティ情報 とは ( 抜粋 ) Copyright 2015 独立行政法人情報処理推進機構 37

38 3 攻撃が発生している脆弱性を対策 < 活用ツール > IPA 重要なセキュリティ情報 重要なセキュリティ情報の活用 重要なセキュリティ情報は でも確認可能 Copyright 2015 独立行政法人情報処理推進機構 38

39 3 攻撃が発生している脆弱性を対策 < 活用ツール > サイバーセキュリティ注意喚起サービス サイバーセキュリティ注意喚起サービス icat IPA が発信する 重要なセキュリティ情報 をリアルタイムに同期できます 社内のポータルサイトなどに HTML タグを埋込んでご利用ください 利用時に埋め込む HTML タグは以下 <script type="text/javascript" src="// </script> Copyright 2015 独立行政法人情報処理推進機構 39

40 最後に 脆弱性対策は日々の情報収集と迅速な対策実施が重要です 本資料で記載したIPAサービスはすべて無償で利用可能です ぜひ脆弱性対策の促進や普及啓発などにご活用ください Copyright 2015 独立行政法人情報処理推進機構 40

41 i パス は IT を利活用するすべての社会人 学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です Copyright 2015 独立行政法人情報処理推進機構 IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ