IoT エンベデッド システムにおける セキュリティ 要 件 と 対 策 手 法 株 式 会 社 マクニカ イノベーション 推 進 統 括 部 Mpression 推 進 部 部 長 長 島 資 記 マクニカネットワークス 株 式 会 社 セキュリティ 第 一 事 業 部 プロダクト 第 一 技 術 部 部 長 小 池 泰 治
すべてのモノを つなぐIOT 2
IoTの 市 場 は 爆 発! IDC Japan 2014 年 11 月 18 日 160 兆 円 1 兆 3 千 億 ドル 420 兆 円 3 兆 400 億 ドル 300 億 台 の エッジデバイス 1 人 3.94 台 モノ1 個 あたり 14,000 円 の 価 値 を 生 む ( 単 純 割 り 計 算 ) 2013 2020 世 界 の 人 口 70 億 人 76 億 人 3
Trillion Sensors Universe Janusz Bryzek 氏 ( 米 Fairchild Semiconductor 社 ) 2023 年 には 現 在 のセンサー 需 要 の 100 倍 のセンサーが つながる 1 兆 個 世 界 の70 億 人 が 150 個 ずつ 使 う 規 模 4
IoTの 今 の 形 5
IoTを 支 えるプロトコル L5~ アプリケーション 層 HTTP, XML, MQTT, CoAP L3/L4 リンク 層 UDP, TCP IPv4/IPv6, 6LoWPAN L1/L2 MAC/PHY 層 ( 無 線 ) BLE, WiFi, Zigbee, Z-Wave, Dust, WiSUN, 3G/4G, WirelessHART, SP100, 特 小 無 線, 独 自 規 格 802.11a/b/g/n, 802.15.4/a/e/g, ISM (433MHz/920MHz/2.4GHz) 6
マクニカ Mpression IoT PoC SmartMesh IP Dust Networks Core Gateway 3G/4G Google Maps EH-Terminal WiFi WiFI Router LAN HTTP ログ 転 送 / 集 約 Kibo Kibana BLE Uzuki + Konashi iphone 3G/4G 各 社 センサーキット BLE Raspberry Pi LAN 7
Fluentd www.fluentd.org 8
全 てのモノがつながると プラント 工 場 車 交 通 インフラ オフィス 家 電 電 力 網 医 療 ヘルスケア データが 無 尽 蔵 に 増 えていく セキュリティの 脅 威 も 増 大 9
IoT 向 けのインフラが 必 要 になる 細 切 れのセンサーデータも1 兆 個 から 発 せられると 膨 大 に 無 数 のモノとシステムを 守 る セキュリティ 10
組 込 機 器 におけるセキュリティ 脅 威 2つの 脅 威 技 術 盗 用 サイバー 攻 撃 売 上 低 下 や 組 込 機 器 の 可 用 性 が 失 われるというリスク 技 術 盗 用 盗 用 に 対 する 意 識 の 低 い 国 での 製 品 コピー サイバー 攻 撃 自 動 車 のクラッキングによる 丌 正 操 作 医 療 機 器 を 丌 正 にコントロール 人 命 を 扱 うような 機 器 においては 特 に 対 策 が 必 要 イランの 原 子 力 プラントが 攻 撃 を 受 けたという 実 例 も 11
車 のプログラムをハッキング 12
IOT セキュリティ 13
セキュリティの 基 本 IoTでもセキュリティの 基 本 は 変 わらない 何 を( 情 報 資 産 ) 機 密 性 完 全 性 可 用 性 何 から( 脅 威 ) どのように 守 る( 対 策 ) 14
IoTにおける 情 報 資 産 とは? IoTといっても 様 々だが 大 きく3つのカテゴリに 整 理 可 能 デバイス ネット ワーク サービス 既 存 はHWベースで 制 限 新 たな 領 域 既 存 技 術 の 応 用 がベース プロトコル 対 応 が 必 要 既 存 技 術 の 応 用 がベース サイバー 攻 撃 を 考 慮 15
情 報 資 産 の 整 理 と 脅 威 例 対 象 情 報 資 産 主 な 脅 威 例 デバイス Edge IP リバースエンジニアリング プログラムパッチ ネット ワーク データ データ 詐 取 改 ざん Gateway IP リバースエンジニアリング プログラムパッチ 収 集 データ サービス 継 続 データ 詐 取 改 ざん マルウェア 感 染 サービス 停 止 破 壊 Edge Gateway 通 信 内 容 通 信 盗 聴 通 信 改 ざん 不 正 アクセス 不 正 なデバイスの 接 続 Gateway サービス 通 信 内 容 通 信 盗 聴 通 信 改 ざん 不 正 アクセス 不 正 なGatewayの 接 続 サービス 管 理 サーバ サービス 継 続 マルウェア 感 染 サービス 停 止 破 壊 収 集 データ データ 詐 取 改 ざん 16
Edgeデバイスの 脅 威 配 布 されるもの = 攻 撃 者 は 解 析 改 造 し 放 題 MATE 攻 撃 Man-At-The-Attack: 攻 撃 者 がデバイスを 直 接 クラッキングする 攻 撃 プログラムを 解 析 して 分 かること プログラムロジック(IPや 認 証 ロジック 脆 弱 性 発 見 など) 暗 号 化 キー プログラムを 改 造 してできること 処 理 のバイパス( 認 証 バイパスなど) 改 ざんデータの 送 信 プログラム 堅 牢 化 暗 号 化 キー 保 護 17
プログラム 堅 牢 化 ソリューション < 難 読 化 > プログラムの 解 析 を 困 難 にする 技 術 <チェックサム> プログラムの 改 ざんを 防 止 する 技 術 18
暗 号 化 キー 保 護 ソリューション ハードウェア TPM HW 上 にセキュアに 暗 号 化 キーを 保 存 暗 号 化 キーをセキュアに 利 用 Infenion OPTIGA TPM ソフトウェア White-Box Cryptography(WBC) 暗 号 化 キーは 丌 可 逆 な 形 式 で 生 成 メモリ 上 で 元 の 暗 号 鍵 は 現 れない Arxan TransformITによる 暗 号 鍵 の 隠 ぺい 19
Gatewayデバイスの 脅 威 高 いパフォーマンスや 高 度 な 処 理 を 実 装 物 理 的 な 制 約 は 尐 ない( 箱 の 大 きさなど) 汎 用 OSでの 実 装 マルウェアの 脅 威 Gatewayのあらゆる 制 御 を 奪 われる Edgeデバイス サービスへの 攻 撃 感 染 拡 大 (マルウェアは 気 付 かれないよう 動 作 ) アンチマルウェア 対 策 が 必 要 20
アンチマルウェア ソリューション アンチウィルス 対 策 は 一 部 プログラムのみで シグネチャアップデートなど 現 実 的 でない ホワイトリスト 正 常 なプログラムのみを 実 行 可 能 とするソリューション POS ATM 制 御 機 器 など 特 定 用 途 の 機 器 での 実 績 多 数 21
Gatewayソリューション インテル IoT ゲートウェイ IoTゲートウェイ 向 け 商 用 開 発 キット ボードはIntel 製 チップ 搭 載 OSはWind River LinuxやUbuntu Windows 10などを 選 択 可 能 セキュリティ 機 能 を 搭 載 ホワイトリスト セキュアブート TPM GRSecurity Open SSL ホワイトリスト Data OS and App HW Encrypted Storage GRSecurity Discrete TPM セキュアブート 22
ネットワークの 脅 威 丌 正 アクセス 丌 正 な 攻 撃 パケットの 送 付 により 通 信 先 の 脆 弱 性 をつく 攻 撃 が 可 能 Firewall(ポートレベル 制 御 )はすり 抜 ける 不 正 侵 入 検 知 23
不 正 通 信 対 策 ソリューション IPS シグネチャベースで 丌 正 パケットを 遮 断 仮 想 パッチでの 活 用 IoTプロトコルの 対 応 は 課 題 一 方 向 FW 物 理 的 に 一 方 向 のみ(Waterfall データダイオード) セキュリティレベルを 維 持 しながら IT 活 用 におけるメリットを 享 受 送 信 データ 受 信 データ 逆 方 向 の 通 信 は 物 理 的 に 不 可 能 24
重 要 インフラの 取 組 み 事 例 25
重 要 インフラのセキュリティへの 取 組 み 重 要 インフラを 狙 った 攻 撃 事 例 2010 年 Stuxnetによるイラン 核 施 設 の 破 壊 2014 年 Operation Dragonflyによる 欧 州 電 力 会 社 の 情 報 漏 洩 2014 年 ドイツ 鉄 鋼 所 で 溶 鉱 炉 停 止 業 界 での 取 組 み 電 力 業 界 向 け 標 準 NERC CIP や 重 要 インフラ 向 け NIST IR 7628 や NIST Framework の 制 定 日 本 での 取 組 み 2013 年 制 御 システムセキュリティセンター(CSSC) 開 設 2014 年 EDSA 認 証 取 得 サービス 開 始 26
重 要 インフラ 向 け 具 体 ソリューション 例 SIEM セキュリティイベン トから 脅 威 を 可 視 化 一 方 向 FW 物 理 的 に 片 方 向 にの み 通 信 可 能 制 御 ネットワーク(フィールド) IPS/IDS 不 正 パケットの 制 御 制 御 ネットワーク アンチマルウェア ホワイトリストによ る 制 御 業 務 ネットワーク 27
IOTセキュリティの 課 題 28
IoTセキュリティの 課 題 セキュリティ 対 策 が 丌 十 分 な 中 でのマーケット 拡 大 2020 年 までに420 兆 円 の 経 済 効 果 予 測 効 果 訴 求 や 投 資 回 収 の 優 先 ( 提 供 者 のセキュリティ 意 識 ) 利 便 性 優 先 ( 利 用 者 のセキュリティ 意 識 ) ソリューション 丌 足 組 込 み 向 けセキュリティが 限 定 的 IoT 向 けプロトコルへの 対 応 丌 足 (MQTT, CoAP, MQPTなど) 配 布 済 みデバイスへのセキュリティ 一 度 配 布 したデバイスへのセキュリティ 対 策 は 困 難 機 能 制 限 されたハードウェア vs 書 き 換 え 可 能 なソフトウェア 29
マクニカ: IoTの 全 ての 階 層 をサポート セキュリティ マクニカは 半 導 体 とネッ トワークを 有 機 的 に 融 合 したIoTサポートを 提 供 解 析 分 析 蓄 積 制 御 転 送 収 集 演 算 センサー 30
資 料 ダウンロード 資 料 ダウンロードセンター mpression iot poc 検 索 31