講演者自己紹介 中野学 ( なかのまなぶ ) 所属 : 製品セキュリティセンター製品セキュリティグローバル戦略室 略歴 : 2006 年横浜国立大学博士課程修了 ( 情報学博士 ) 2006 年 ~2016 年 : ( 独 ) 情報処理推進機構においてセキュリティ調査 普及啓発活動に従事 担当は家電

Similar documents
平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

組織内CSIRTの役割とその範囲

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

これだけは知ってほしいVoIPセキュリティの基礎

ICT-ISACにおけるIoTセキュリティの取組について

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

PowerPoint プレゼンテーション

SOCの役割と人材のスキル

ログを活用したActive Directoryに対する攻撃の検知と対策

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

情報セキュリティ白書 2016 今そこにある脅威 : 意識を高め実践的な取り組みを 2015 年度に情報セキュリティの分野で起きた注目すべき 10 の出来事を分かりやすく解説 2016 年 7 月 15 日発売 国内外における情報セキュリティインシデントの状況や事例 攻撃の手口や脆弱性の動向 企業や


日本企業のCSIRT実例紹介

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

2010年2月3日

スマートサーブセキュリティ機能についてサービスアダプターの配下に接続された機器は スマートサーブ が提供する安全な通信 (VPN 通信 : 注 2) セキュリティセンター ( 注 3) セキュリティセンター にて ネットワークに

Microsoft PowerPoint - A7_松岡(プレゼン用)jnsa-総会-IoTWG-2015.pptx

サイバー攻撃の現状

— intra-martで運用する場合のセキュリティの考え方    

講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

PowerPoint プレゼンテーション

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

バイオメトリクス認証とセキュリティ評価

記 1. 適用対象本通知は 製造販売業者等が GPSP 省令第 2 条第 3 項に規定する DB 事業者が提供する同条第 2 項に規定する医療情報データベースを用いて同条第 1 項第 2 号に規定する製造販売後データベース調査を実施し 医薬品の再審査等の申請資料を作成する場合に適用する GPSP 省

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

PowerPoint プレゼンテーション

Microsoft PowerPoint - IncidentResponce

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術 制度 人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

目次 取組み概要 取組みの背景 取組みの成果物 適用事例の特徴 適用分析の特徴 適用事例の分析結果から見えたこと JISAによる調査結果 どうやって 実践のヒント をみつけるか 書籍発行について紹介 今後に向けて 2

<4D F736F F D F193B994AD955C D9E82DD835C EC091D492B28DB8816A2E646F63>

Microsoft PowerPoint - [印刷用] _r1.1.pptx

Microsoft PowerPoint - HNWG8_03_HN-WG.A_アーキテクチャおよび技術課題(9.18版).ppt

サポートWeb第3版 発行.pmd

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している Ver. Ver. I

Microsoft PowerPoint - 03 【別紙1】実施計画案概要v5 - コピー.pptx

スライド 1

SHODANを悪用した攻撃に備えて-制御システム編-


PowerPoint プレゼンテーション

2 目次 1. 実証事業の全体概要 1.1 Androidスマートフォンへの利用者証明機能ダウンロード ( 仕組み ) 1.2 iosスマートフォンへの利用者証明機能ダウンロード ( 仕組み ) 1.3 システム検証と安全性対策検討 2. 利用者証明機能ダウンロードに関するシステム検証 2.1 An

Microsoft PowerPoint - 【セット】IPA.pptx

i コンピテンシ ディクショナリ を 活用した品質エンジニアの育成 その 2 独立行政法人情報処理推進機構 HRD イニシアティブセンター 奥村有紀子

目次 2 1. 実施内容 スケジュール ご依頼事項 加盟店様への影響 購入者様への影響 07 6.TLS1.2 未満使用停止の背景 08 7.FAQ 09

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

2006年3月28日

PowerPoint Presentation

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

Microsoft Word - 01_LS研IT白書原稿_2012年度_統合版__ _v1 2.doc

ACTIVEプロジェクトの取り組み

中小企業向け サイバーセキュリティ対策の極意

マルウェアレポート 2017年9月度版

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

2015 TRON Symposium セッション 組込み機器のための機能安全対応 TRON Safe Kernel TRON Safe Kernel の紹介 2015/12/10 株式会社日立超 LSIシステムズ製品ソリューション設計部トロンフォーラム TRON Safe Kernel WG 幹事

SQLインジェクション・ワームに関する現状と推奨する対策案

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日 川口洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム

PowerPoint プレゼンテーション

制御システムセキュリティアセスメントサービス

日立の「NX NetMonitor」と米国ファイア・アイの「FireEye NX」を連携させた標的型サイバー攻撃対策ソリューションを提供開始

目次 1 調査の目的等 情報セキュリティ現状調査概要 情報セキュリティ現状調査の目的 情報セキュリティ現状調査の範囲 情報セキュリティ現状調査の方法 調査のスケジュール 調査結果要

Web-EDI 機能運用開始までの流れ Ver.1.03 平成 28 年 2 月 公益財団法人日本産業廃棄物処理振興センター情報処理センター

<4D F736F F F696E74202D202895CA8E86816A89638BC694E996A78AC7979D8EC091D492B28DB88A E >

PowerPoint プレゼンテーション

SiteLock操作マニュアル

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

スライド 1

J_ _Global_Consumer_Confidence_2Q_2010.doc

OP2

metis ami サービス仕様書

不具合情報受付管理 DB 不具合情報対応情報要因 履歴登録 設備情報 不具合情報 対応情報 不具合 ( 履歴 ) 情報 機器仕様 納入情報 機器部品情報 関連資料 機器情報 交換部品情報 交換履歴 交換部品情報 保有部材管理 DB 保有部材管理 不具合情報 不具合先情報 不具合復旧情報 受付情報 対

Microsoft PowerPoint 高専フォーラム_改訂0.6版.pptx

セキュリティ委員会活動報告

Microsoft PowerPoint - IW2009H1_nri_sakurai.pptx

Start SaaS で実現するプロジェクト管理 株式会社佐山経済研究所 IT Research Laboratory Sayama Research Institute

KSforWindowsServerのご紹介

<4D F736F F D208DBB939C97DE8FEE95F18CB48D EA98EE58D7393AE8C7689E6816A2E646F63>

ミガロ.製品 最新情報

はじめに インターネット上で行われる非対面取引において クレジットカードによる決済は利便性が高いと言われる反面 不正使用の懸念もあげられます カード情報不正使用防止の対策方法のひとつである本人認証にはいくつかの手法があり 3Dセキュア もそのひとつです クレジット取引セキュリティ対策協議会が策定する

PowerPoint プレゼンテーション

内部統制ガイドラインについて 資料

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

IoTセキュリティセミナー IoT時代のCSIRT PSIRT構築の課題 株式会社ラック 原子 拓 Copyright LAC Co., Ltd. All Rights Reserved.

最初に 情報セキュリティは中小企業にこそ必要!! 機密性は 情報資産へのアクセスを最小限度に留めることで 購入する情報資産の金額を最小にします 完全性は 情報資産が正確 正しく動くことを保証し 業務を効率化します 可用性は 欲しい情報を欲しい時に入手できることで 業務時間を短縮します Copyrig

ISMS情報セキュリティマネジメントシステム文書化の秘訣

先行的評価の対象とするユースケース 整理中. 災害対応に関するユースケース. 健康に関するユースケース. 移動に関するユースケース. 教育に関するユースケース. 小売 物流に関するユースケース 6. 製造 ( 提供した製品の保守を含む ) に関するユースケース 7. 農業に関するユースケース 8.

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

Transcription:

2018 年 3 月 7 日 ( 水 ) 横浜国立大学 情報 物理セキュリティシンポジウム 製品セキュリティの確保と PSIRT 活動について パナソニック株式会社製品セキュリティセンター 製品セキュリティグローバル戦略室 中野学

講演者自己紹介 中野学 ( なかのまなぶ ) 所属 : 製品セキュリティセンター製品セキュリティグローバル戦略室 略歴 : 2006 年横浜国立大学博士課程修了 ( 情報学博士 ) 2006 年 ~2016 年 : ( 独 ) 情報処理推進機構においてセキュリティ調査 普及啓発活動に従事 担当は家電 自動車 医療機器等の組込みデバイス インフラ 工場等の制御システム等 2016 年 4 月から現職 ( 活動拠点を東京から大阪へ ) 担当は国内外の製品セキュリティ強化に向けた課題解決 方針策定等 Panasonic-PSIRT(Product Security Incident Response Team) メンバ

目次 IoTとセキュリティの関わり 製品セキュリティ確保に向けたパナソニックの取組み の取組み まとめ

IoT とセキュリティとの繋がり

IoT の進化とそれに伴うセキュリティの必要性向上 攻撃者 の視点から見た IoT の進化に伴う狙い所 外部への接続機能 新しいサービスの発達 共通仕様の利用

IoT の進化とそれに伴うセキュリティの必要性向上 外部への接続機能従前の仕様では 外部からの攻撃が考慮されていなかった製品が 今後は攻撃対象となる可能性がある 機器へのアクセスポイントが増えるほど 可能となる攻撃の種類も増加する

IoT の進化とそれに伴うセキュリティの必要性向上 新しいサービスの発達情報の価値の変化に応じて 流行となる攻撃対象や手法が変化することが考えられるため 最新情報を追い続けなければならない また サービスの充実等によって情報の価値が上昇すると 攻撃者のモチベーションも向上する

IoT の進化とそれに伴うセキュリティの必要性向上 共通仕様の利用プロトコルや仕様における脆弱性が発見された場合 影響が広範囲となる可能性がある また 破壊を伴う解析によって得られた情報によって 他の機器を攻撃するといった事も可能となる

製品セキュリティ確保に向けたパナソニックの取組み

Panasonic における脆弱性撲滅に向けた取組み 家電を含む製品のセキュリティ向上は Panasonic を支える重要な要件の一つ 製品セキュリティに関する基礎知識という土台二本の柱で製品セキュリティを支えるリスクの最小化インシデント対応 ネットワーク家電 組込み機器 サービス 製品セキュリティ リスクの最小化 基礎知識 ( 啓発 / 教育 ) インシデント対応

製品ライフサイクルに沿った対応 製品のライフサイクル 企画 設計 実装 検証 ( テスト ) 出荷 販売 サービス 廃棄 混入予防検証除去保守 改修 対 応 机上リスク 分析 ( 脅威分析 ) セキュリティ 設計 セキュアコーディング 静的解析 脆弱性診断 ( セキュリティ検証 ) インシデント対応 リスクの最小化 インシデント対応 製品のライフサイクル全般において対応が必要

机上リスク分析 ( 脅威分析 ) 製品企画および設計の初期段階において 想定される脅威への対策を検討 検討した対策をセキュリティ要件として設計に入力 ISMS をベースに独自の分析手法を開発 運用製品の機能を列挙 対策例 評価基準 リスク分析ワークシート 脅威への対策を検討 資産と脅威からリスクを定量化 企画書仕様書設計書 資産に対する脅威を検索 機能が扱う資産を特定 脅威 DB

セキュリティ設計 設計段階において 設計ガイドライン等を参考に 机上リスク分析で検討した対策を具体化 セキュリティ要件をシステム モジュールの設計に反映 具体例 設計書 設計ガイドライン 脅威への対策を具体化 具体的な設計: 一例 下記 4つの文字種類から少なくとも3つを含めて 8 文字以上のパスワードを強制するアルファベット大字 アルファベット小字数字特殊文字 リスク分析ワークシート 技術面での対策案 : 一例 パスワードの最小文字数を設定する パスワードに英数字や特殊文字の混在を強制する

脆弱性診断 ( セキュリティ検証 ) 実装および検証 ( テスト ) 段階において 脅威分析 セキュリティ設計段階で設計された仕組みの確認 実装段階で混入する脆弱性を抽出 改修 情報の漏洩 改ざんなりすましネットワークサービスの停止 機能停止踏み台遠隔操作 攻撃者と同じ手法 ツールで製品を攻撃して診断

インシデント対応 インシデントに関する迅速な対応を実現するため 社内外との連携 調整の窓口 Panasonic-PSIRT に一本化 グループ内分社 ( カンパニー : 複数の事業部の集まり ) 毎にカンパニー IRT を設置 Panasonic Panasonic-PSIRT Web サイト オフィシャル製品情報 Web サイト CS 部門 脆弱性報告者 ブログ / SNS / ML セキュリティカンファレンス セキュリティベンダ 大学 研究機関 脆弱性情報の解析 必要に応じて再現確認 脆弱性対策支援 Panasonic-PSIRT ソフトウェアベンダ 個人 ISP 通信業者 カンパニー A 製品セキュリティ活動支援 脆弱性コーディネート 情報共有 カンパニー IRT カンパニー B カンパニー IRT カンパニー C カンパニー IRT 脆弱性コーディネート 情報共有 脆弱性調整機関 IPA 海外 CERT/CC ( 米国 /EU 諸国 / 中国 ) FIRST 各事業部 / 開発部門 各事業部 / 開発部門 各事業部 / 開発部門 JPCERT/CC TF-CSIRT

の取組み

PSIRT の業務一例 届出 相談対応 脆弱性の対応方針の策定 開発現場との調整 情報収集 PSIRT メンバ一例 関係者との良好な関係構築 通常業務

PSIRT として必要な心がけ (1/2) PSIRT として一番重要なのは 確実な情報 風評やメディア 有識者のコメント等に惑わされず確固たるエビデンスを基に判断を下す必要がある 常日頃から手広い情報収集を 必要となる知識は セキュリティ だけとは限らない 多様な 専門家 との繋がりは重要 結論 判断根拠は簡潔に 上手く伝える スキルは必要 それを支える情報は前広に

PSIRT として必要な心がけ (2/2) 組織としての PSIRT 脆弱性がある 直せ というだけなら PSIRT にセキュリティ専門家は必要ない 脆弱性の質や 商品 サービス内容 開発現場の状況を踏まえた上で 修正に向けた最適解を求め続ける事が必要 何より怖いのは パニック や 焦り 冷静に収束に向けた行動を実行に移していくことが大事 原因の追究以上に 再発させない 仕組み作りを

まとめ

まとめ 攻撃は 日々行われている 顕在化した攻撃が全てでは無く 脆弱性の発見 対策実施は水面下で常にある 攻撃の 仕込み は既に行われている可能性も 攻撃の手口は 日々進歩 多様化 巧妙化している 技術の高度化により 将来は想定し得ない攻撃が存在する可能性も だからこそ今から 脅威の芽をなるべく摘み取っておく必要がある 攻撃の動機や対象も変化してきている カメラ等のセンサー情報や モノの動きに関わる脆弱性を狙うのが今の流行 ランサムウェアのように システムを止められる攻撃 はお金に繋がりやすい IoT デバイスやシステムは 必ず 攻撃される という意識を持って 設計 開発 施工 運用を行うまた 有事の際の対応体制も整備する

さいごに 数十億といわれる IoT(Internet of Things) がつながる時代 社会インフラ 1 社だけでの取組みではセキュリティ確保は困難業界 / 業種 / 立場を超えた取組みが必要 みなさんの英知を結集して IoT のセキュリティを考えましょう! 店舗 公共サービス ネットワーク家電 インターネット 住宅設備 PC 車車載機器 スマートフォン情報端末

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック