セキュリティ設計プロセスの開発や検証方法のガイドラインの開発、

策定および国際標準化の推進

4. 生活機器の検証環境の整備・運用管理及び検証事業、セキュリティに 関する人材育成や広報・普及啓発活動等

CCDSでの取組み

• セキュアなIoTシステムを世の中に送り出すため環境・

基盤づくり

IoT

セキュリティの指標

（

IoT

セキュリティガイ ドラインづくり）

IoT

セキュリティの確認

（検証ツール開発）

IoT

セキュリティ技術の 蓄積（脆弱性に関する

調査・研究）

IoT環境で対象とするシステム

Managed Unmanaged

fixed

movable

電力

電車

自動車 インフラ

スマホ

ロボット スマート

ホーム

SIP：重要インフラ等におけ るサイバーセキュリティの 確保

スマート ATM タウン

スマート メータ

スマート 健康機器 HEMS

端末 スマート

家電 IoT/ホーム ゲートウェイ

慶應義塾大学教授/CCDS会長 徳田英幸氏「IoTセキュリティの課題」より

分野で異なる安心・安全レベル

安 心

・安

全 安

心

・安 全

Ａ分野 機器

Ｃ分野 機器 Ｂ分野

機器

①分野毎に、必要とされる 安心・安全レベルが異なる

安 心

・安 全

必 要 なレ ベル

実 際 のレ ベル

必 要 なレ ベル

実 際 のレ ベル

必 要 なレ ベル

実 際 のレ ベル

連携 連携

②連携時には低いレベル に合わせざるを得ない 必要な安心・安全レベル

実際の安心・安全レベル

事業推進体制

36

CCDS

研究開発センター 審査委員会

生活機器セキュリティ ガイドラインWG

研究活動管理 研究活動サポート 月次進捗確認

ガイドラインWGでの 共通部分の整理 生活機器4分野の SWGでの分野別検討 研究テーマ選定・応募審査

研究進捗確認

ガイドライン検討状況確認 事業内容・進捗審査

生活機器セキュリティ 研究室

ユニットリーダー、研究員ｘ2名 研究活動・研究発表

月次・研究進捗報告

CCDS 事務局

車載器

Sub ＷＧ 金融ATM

Sub ＷＧ 決済端末 Sub ＷＧ ホームネット

Sub ＷＧ

CCDS

検証センター ^{月次進捗確認}成果管理

車載A：カーナビ等車載器向け 脆弱性評価ツール

金融端末：①ATM向け脆弱性 評価ツール、②USB脆弱性評 価プラットフォーム

決済端末：オープンPOS向け UI/システム脆弱性評価ツール ホームGW：ホームネットワー ク機器向け脆弱性評価ツール 車載B：ボディ系ECU脆弱性評 価ツール

組込みシステム脆弱性検証業

会 員 企 業 へ の 委 託

全体管理 経理処理 成果管理

外部団体との連携関係

IoT セキュリティガイドライン策定

IoT 脆弱性検証基盤構築

・開発プロセスガイドライン：

Security by Design

・検証ガイドライン －＞国際標準化に向けて 安心、安全なサービス・製品開発を目指す！

・脆弱性検証ツール（業種毎）

・脆弱性検証シナリオの策定

アジア製品の検証も視野に、セキュリティ評価を 組み入れた脆弱性基盤を構築！

つながる世界の開発 指針検討

WG

CCDS IoTセキュリティガイドライン検討

• IPA-つながる世界の開発指針の検討と並行して、以下の 分野別ガイドラインを検討。

–

車載器（カーナビ中心）

–

IoT-GW

–

金融端末(ATM)

–

決済端末(POS)

• 各ガイドラインの観点

–

ガイドライン適用のシステム構成

–

想定される脅威

–

脅威のリスク評価

–

製品全体およびセキュリティ対策機能の第三者セキュリティ評 価

–

ライフサイクルの各フェーズにおける取組み

５月末に公開予定

IoT脆弱性検証基盤構築事業

自動車系：

・車載機器向けセキュリティ評価・検証ツールの開発

・ボディ系ECUの脆弱性評価と評価ツール開発

ホーム系：

・ホームゲートウェイ向けセキュリティ検証基盤の構築

金融系：

・ATMセキュリティ評価検証プロセスの開発

・決済端末における脆弱性評価基盤の構築 統合システム：

・組込み脆弱性評価・検証基盤システムの構築

IoTセキュリティ調査・研究

• セキュリティツール開発・調査に係る委託調査

–

Blackhat/Defcon発表事例にみられる検証ツールの調査

• ホームGWに対するセキュリティ検証ツール調査

–

プロトコル検証ツールの調査

• クラウド型IoTサービス環境における脆弱性検証に関す る調査

–

IoTが接続する先のクラウドサーバ側の脆弱性、IoTデバイスが サーバからファームウェアアップデートする仕組みの脆弱性

• IoT製品（車載器、ホームGWなど）の脆弱性調査・研究

–

製品・プロトタイプ機器の脆弱性調査や攻撃検知技術の研究

３）まとめ

• 課題

–

IoTシステム開発者には、ET (Embedded Technology)とIT (Information Technology)の双方の技術知識が求められる

⇒人材育成

–

新しい技術と脆弱性への対応

（組込み技術、OS、ミドルウェア、I/F、ネットワーク各技術）

–

攻撃者の一歩先で対応（攻撃手法の研究）

• 対策

–

ステークホルダによる議論

⇒セキュリティ対応の責任範囲のコンセンサス作り

–

設計段階での脅威分析とリスク評価、対策対象の取捨選択

⇒ガイドラインによる指標

–

第三者によるセキュリティ評価（客観性・正当性）

⇒評価・検証環境の構築

•

自動化による広範囲の脆弱性テストとテストノウハウの蓄積

⇒CCDSでこれらの検討を進めています

お知らせ

• Inerop Tokyo 2016出展

–

６月８日～１０日＠幕張

–

IoT Wolrdゾーン

–

分野別セキュリティガイドライン公開（予定）

–

分野別セキュリティ検証基盤の取組み紹介

–

車載CANのメッセージに解析ワークショップデモ

ドキュメント内 UTQテンプレート（modern） (ページ 32-43)