総務省サイバーセキュリティ TF 資料 資料 6-2 CCDS の取組紹介 2017 年 6 29 ( ) 般社団法 重要 活機器連携セキュリティ協議会 Connected Consumer Device Security Council (CCDS) Copyright 2017 Connecte

Transcription

1 総務省サイバーセキュリティ TF 資料 資料 6-2 CCDS の取組紹介 2017 年 6 29 ( ) 般社団法 重要 活機器連携セキュリティ協議会 Connected Consumer Device Security Council (CCDS) Copyright 2017 Connected Consumer Device Security Council Proprietary 1

2 CCDS のご紹介 名称 : 般社団法 重要 活機器連携セキュリティ協議会 英名 :Connected Consumer Device Security council (CCDS) 設 :2014 年 10 6 会 : 徳 英幸 ( 情報通信技術研究機構 (NICT) 理事 慶應義塾 学客員教授 ) 代表理事 : 荻野司 ( 京都 学特任教授 ) 専務理事 事務局 : 伊藤公祐 ( ゼロワン研究所 ) 理事 : 後藤厚宏 ( 情報セキュリティ 学院 学教授 ) 川勝敏 ( イーソル ( 株 ) 代表取締役社 ) 服部博 (( 株 ) ヴィッツ代表取締役社 ) 会員数 :143( 正会員以上 :44, 般会員 :72, 学術系 :16, 提携団体 :11) 主な事業 : 1. 活機器の各分野におけるセキュリティに関する国内外の動向調査 内外諸団体との交流 協 2. 活機器の安全と安 を両 するセキュリティ技術の開発 3. セキュリティ設計プロセスの開発や検証 法のガイドラインの開発 策定および国際標準化の推進 4. 活機器の検証環境の整備 運 管理及び検証事業 セキュリティに関する 材育成や広報 普及啓発活動等 Copyright 2017 Connected Consumer Device Security Council Proprietary 2

3 お弁当セーIoT 時代における新産業が きく進展 般 機器などあらゆるモノが繋がる モノのインターネット 電力会社 EV/HV HEMS AV 家電 医療 ヘルスケア 動 関連機器 ( ナビ AV 機器等 ) 製品 サービス HEMS ネットワーク 蓄電池 コジェネ スマートメータ 自動運転 HEMS 端末 車車間通信 太陽光発電 省エネ制御家電 照明 ITS 路側機 ITS& 自動車安全機能の連携 AV ネットワーク 4K 8K コンテンツ ネットワーク家電 ホームサーバ 車載 ECU ホームゲートウェイ 後付車載器 テレマティクス端末 データレコーダ等 New サービス ロボット介護 医療 ヘルスケアネットワーク 医療 ヘルスケア機器 持込機器 医療 ヘルスケアサーバ Convenience ウェラブル機器 ATM ル生活圏の公共エリアのネットワーク機器 サービス提供サーバ ( クラウド ) オフィスエリアのネットワーク機器 Copyright 2017 Connected Consumer Device Security Council Proprietary 3 MFP HEMS 関連企業 機器メーカ遠隔監視 制御 コンテンツ提供企業 医療機関 ヘルスケア企業 自動車メーカ 交通管制

4 IoT 活 ー > セキュリティリスクの増 サイバー空間における脅威がモノへ Copyright 2017 Connected Consumer Device Security Council Proprietary 4

5 IoT 環境で対象とするシステム Managed Unmanaged 電 インフラ スマートメータ ATM スマートホーム スマートタウン IoT/ ホームゲートウェイ HEMS 端末スマート家電スマート健康機器 fixed スマホ 電 movable 動 ロボット SIP: 重要インフラ等におけるサイバーセキュリティの確保 慶應義塾大学教授 /CCDS 会長徳田英幸氏 IoT セキュリティの課題 CCDS にて修正 (ATM スマートメータ部 ) Copyright 2017 Connected Consumer Device Security Council Proprietary 5

6 国際標準は セーフティーからセキュリティへ 自動車 医療機器 家電などの生活機器に関してはセキュリティ規格もなく 対応に遅れ < セーフティとセキュリティの国際標準の策定状況 > 機能安全 ( セーフティ ) セキュリティ 原子力プロセス産業自動車医療機器白物家電 基本 IEC 電気 電子 プログラマブル電子の機能安全 分野別 IEC61513 IEC61511 ISO IEC IEC60335 組織 ISO ISMS: 情報セキュリティマネジメントシステム 基本 策定中または未策定 策定中または未策定 分野別 IEC 汎用制御システムのセキュリティ 未策定 CSSC が制御システムを評価 検証 認証 生活機器に関するセキュリティ評価 検証 認証を行うためのガイドライン 標準規格スキームがない 沖縄県で取組を 援 産業機械類 製品 部品のセキュリティ機能 IEC62061 JIPDEC が認定した認証機関が組織のセキュリティ体制を認証 IPA で実施 ISO セキュリティ評価 認証 IPA が認定した評価機関がセキュリティ機能を評価 検証 CSSC: 技術研究組合制御システムセキュリティセンター IPA: 独立行政法人情報処理推進機構 JIPDEC 一般財団法人日本情報経済社会推進協会 Copyright 2017 Connected Consumer Device Security Council Proprietary 6

7 2013 年研究会時代の提 ~ セキュアライフ 2020~ つながる IT 社会の安心 安全の確保に向けて 1) つながる生活機器のセキュリティに目を向けよう ユーザやサービス事業者が生活機器を自由に連携させて利用するシーンを想定し セキュリティを検討する 2) ユーザを巻き込んだセキュリティ対策を考えよう ユーザのリテラシー向上 生活機器のセキュリティレベルや状態の通知 セキュリティ 119 番の設置など ユーザを巻き込んだセキュリティ対策を検討する 3) 業界横断的な検討の場を設けよう 業界横断的なセキュリティ対策を検討する場の設置 対策技術の共同開発 セキュリティ用語の統一等により 効率的 効果的にセキュリティの実現を図る必要がある 4) 世界の安心 安全に貢献しよう 各業界における共通のセキュリティ対策やガイドラインの検討を進めるとともに 国際標準及び評価検証制度の制定を進める必要がある 5) 世界に誇れるセキュアなものづくりを進めよう 標準やガイドラインを基に企画段階からセキュリティを組み込んでいくこと ソフトウェア開発工程のサプライチェーンにおいてセキュリティを考慮することが必要である Copyright 2017 Connected Consumer Device Security Council Proprietary 7

8 NISC: 経済社会の活 の向上及び持続的発展 企画 設計段階からセキュリティの確保を盛り込むセキュリティ バイ デザイン (SBD) IoT システムのセキュリティに係る総合的なガイドライン等を整備 IoT システムの特徴 ( 長いライフサイクル 処理能力の制限等 ) ハードウェア真正性の重要性等を考慮した技術開発 実証事業の実施 出典 :NISC: サイバーセキュリティ戦略 ( 案 ) より Copyright 2017 Connected Consumer Device Security Council Proprietary 8

9 CCDS が取り組む事業分野 材育成 オープンセミナーの開催 -セキュリティシンポジウム - 検証技術セミナー -CCDSガイドライン勉強会.etc ワークショップの開催 - 検証ツールハンズオン講習会 検証基盤構築 検証業務をサポートする共通基盤開発 - 組込み機器評価 検証基盤システム セキュリティ検証ツール開発 - 載 IoT-GW ATM POS 分野 テストベット検討 標準化推進 セキュリティガイドライン策定 - セキュリティガイドライン WG ( 載 IoT-GW ATM POS-SWG) IoT セキュリティ対策技術の体系化 - デバイスセキュリティ技術 SWG - ユーザビリティ WG ガイドライン国際標準化検討 動向調査 研究 普及啓発 シンポジウム セミナーの主催 調査資料 ガイドラインの公開 提携団体での講演活動 国内外のガイドライン 標準化動向 検証 法 検証ツールの調査 研究 脅威事例の収集 ハッキング技術調査 認証制度の実現に向けた調査 Copyright 2017 Connected Consumer Device Security Council Proprietary 9

10 分野別セキュリティガイドライン 分野別ガイドライン v1:2016 年 6 月リリース 同英語版 :2017 年 4 月リリース 分野別ガイドライン v2:2017 年 5 月リリース IPA つながる世界の開発指針 や IoT 推進コンソーシアム / 総務省 / 経済産業省 IoT セキュリティガイドライン を上位概念として 製品分野ごとに対策すべき脅威が異なることから 各分野ごとの視点でセキュリティの取組みを整理し 各業界にセキュリティ バイ デザインの考え方を理解しやすくする 対象分野 車載器 ATM( 金融端末 ) IoT-GW POS( 決済端末 ) ガイドラインの主な内容と改良点 対象とするシステム構成 想定されるセキュリティ上の脅威 製品ライフサイクルの各フェーズにおけるセキュリティの取組み (IPA つながる世界の開発指針 や IoT 推進コンソーシアム IoT セキュリティガイドライン との相関表 ) 脅威分析 リスク評価の方法 製品全体およびセキュリティ対策機能の第三者セキュリティ評価 別冊読本の追加 ( 実践的ケーススタディ べからず集など ) 車載器システム構成 IoT-GW: ホーム GW ケース ATM システム構成 POS システム構成 Copyright 2017 Connected Consumer Device Security Council Proprietary 10

11 IoT セキュリティガイドラインの整備状況 サイバーセキュリティ戦略 NISC セキュリティ バイ デザイン思想による IoT システム開発の提唱 つながる世界の開発指針 IoT セキュリティ 般的枠組 NISC 参照 IoT セキュリティガイドライン IoT 推進コンソ総務省経済産業省 検討協力参照提案 日本の考え方の国際展開 IoT システムの設計 構築 運用にかかる基本的な一般要求事項の明確化 IoT サービス関係者全レイヤに向けたセキュリティガイドライン 製品分野横断で活用できる安全 安心な IoT システムの開発指針 ( チェックリスト ) IoT サービス提供者 IoT 基盤 ネットワーク提供者 産業展開協力 CCDS 載器編 CCDS IoT-GW 編 CCDS ATM 編 CCDS オープン POS 編 製品分野ごとの視点での脅威やリスクポイントの具体化設計段階からのセキュリティ検討ポイントの整理 IoT システムベンダー Copyright 2017 Connected Consumer Device Security Council Proprietary 11

12 規格 標準策定状況 < セーフティとセキュリティの国際規格の策定状況 > NISC: 内閣サイバーセキュリティセンター CSSC: 技術研究組合制御システムセキュリティセンター IPA: 独立行政法人情報処理推進機構 JIPDEC 一般財団法人日本情報経済社会推進協会 JNSA: 特定非営利活動法人日本ネットワークセキュリティ協会 機能安全 ( セーフティ ) セキュリティ基本分野別組織基本分野別 原子力 IEC プロセス産業 IEC 策定中または未策定 IEC 汎用制御システムのセキュリティ CSSC が制御システムを評価 検証 認証 自動車 医療機器 IEC 電気 電子 プログラマブル電子の機能安全 ISO IEC 白物家電 IEC 産業機械類 IEC ISO ISMS: 情報セキュリティマネジメントシステム NISC 安全な IoT システムのためのセキュリティに関する一般的枠組 総務省 経済産業省 IoT 推進コンソーシアム IoT セキュリティガイドライン IPA つながる世界の開発指針 CCDS 製品分野別セキュリティガイドライン 車載分野 IoT-GW 分野 金融端末分野 決済端末分野 生活機器に関するセキュリティ評価 検証を行うためのガイドライン 標準規格 スキームがない 製品 部品のセキュリティ機能 ISO セキュリティ評価 認証 JNSA コンシューマー向け IoTセキュリティガイド Copyright 2017 Connected Consumer Device Security Council Proprietary 12

13 検証基盤構築 : IoT 機器向け脆弱性検証ツール開発 WiFi-BT ファジングツール 主な対象 : ナビなどの 載器 AI を活 した効率的検証 データ 成も研究中 載 CAN 向け静的解析ツール / 動的検証ツール 主な対象 : ボディ系 ECU ネットワークプロトコル脆弱性検証ツール 主な対象 : ホームルータなど IoT-GW 類 ファジング DoS 攻撃 パスワード解析 ATM 向け脆弱性検証ツール 主な対象 :ATM ATM のミドルウェアや USB 脆弱性検証など POS 向け脆弱性検証ツール 主な対象 : オープン ( タブレット型 )POS POS の無線ネットワーク脆弱性検証や残留個 データ検査など 検証業務基盤 クラウド型の検証業務効率化 テストシナリオやテスト結果などの作成 DB 化機能 Copyright 2017 Connected Consumer Device Security Council Proprietary 13

14 検証基盤構築 : IoT セキュリティ評価 検証ガイドライン 背景 : 開発向けの分野別セキュリティガイドラインに対し 品質評価部 向けガイドラインのニーズ CCDS 会員ゼロワン研究所の総務省 近な IoT プロジェクト での成果 スマートホーム向け脆弱性検証ガイドライン を CCDS にて 般 IoT 向けとして検討中 概要 スマートホーム分野での実例を取り れつつ IoT 機器全般を対象に 具体的なセキュリティの評価検証プロセスを掘り下げた内容 ISO/IEC/IEEE を参考に 検証 針 計画策定 検証設計 検証実 報告 フィードバック に分け プロセス毎に詳細を解説 1. はじめに 5. 検証実 1-1. IoTセキュリティの現状と脅威 5-1. セキュリティ検証の実 1-2. 検証ガイドラインにおける対象範囲 5-2. 検出されたインシデント情報の管理 法 2. セキュリティ検証プロセス インシデントレポートフロー 2-1. 製品ライフサイクルにおける検証プロセスの位置づけ セキュリティインシデントレポートの記載項 3. セキュリティ検証の 針 計画策定 セキュリティインシデントの深刻度基準について 4. 検証設計 5-3. 報告 検証完了 4-1. 製品開発ライフサイクルと関連するセキュリティ対策 検証の実施状況に関する報告 4-2. セキュリティ検証の 法 検証の完了報告 静的検証 法 6. 検証プロジェクトの総括 フィードバック 動的検証 法 7. まとめ 4-3. 検証仕様書の策定及び 検証ツールの選定 7-1. 総括 4-4. 検証 順書の策定 Appendix1 セキュリティ検証ツール 覧 4-5. 検証データの準備 Appendix2 検証仕様書の実例集 Appendix3 リスク分析 法の紹介 Copyright 2017 Connected Consumer Device Security Council Proprietary 14

15 CCDS の主な WG 活動 セキュリティガイドライン WG 分野別セキュリティガイドラインの検討 海外や国内のIoTセキュリティガイドライン情報共有 国際標準化や認証マークの在り に関する検討 国やIPA 各団体のガイドライン策定 国際標準化活動への参加 主な成果 : 分野別セキュリティガイドライン v2 v1 英語版など セキュリティ技術 WG/ デバイスセキュリティ技術 SWG IoT 機器向けセキュリティ対策技術マップの検討 主な成果 : スマートホームやコネクテッドカーの脅威と対策 法の整理 ユーザビリティ WG IoT 機器類のUI 等 デザインの観点からセキュアな設定 使い を維持する端末の在り の検討 主な成果 : セキュアな使い を促すデザインケースの事例集 Copyright 2017 Connected Consumer Device Security Council Proprietary 15

16 分野別セッキュリティガイドライン CCDS ホームページ 公開資料 コーナーで無料公開中! Copyright 2017 Connected Consumer Device Security Council Proprietary 16