独立行政法人情報処理推進機構(IPA)
技術本部ソフトウェア高信頼化センター(SEC)
研究員 宮原 真次
つながる世界に潜む脅威の認識と
対策への取り組み
SEAセミナー
2016年3月26日
2
© 2016 IPA, All Rights Reserved
IPA組織の紹介
ソフトウェア
高信頼化センター
システムグループ
ソフトウェアグループ
・利用者視点でのソフトウェア信頼性の 見える化の促進 ・重要インフラ分野のシステム障害への対策セキュリティセンター
技術本部 IT人材 育成本部 S o f t w a r e R e l i a b i l i t y E n h a n c e m e n t C e n t er(SEC)
国際標準化センター
IT人材育成企画部 イノベーション人材センター HRDイニシアティブセンター 情報処理技術者試験センター (1) ソフトウェア品質説明力の強化の促進 (2) ソフトウェア信頼性の見える化促進の ための環境整備 Ⅰ. つながる世界の安全安心の確保に 向けた仕組みの構築 Ⅱ. ソフトウェア品質説明力強化の取組み Ⅲ. 設計・検証を中心とした 信頼性向上技術・手法IPA
(独)情報処理
推進機構
Ⅳ. システムズエンジニアリングの普及IoT時代:様々なモノやサービスがつながる世界
医療・ヘルスケアネットワーク ホームゲートウェイ 蓄電池・ コジェネ HEMSネットワーク 電力会社 省エネ制御 家電・照明 EV/HV スマート メータ 太陽光 発電 HEMS 端末 医療・ヘルスケア機器 ウェラブル 機器 医療・ ヘルスケア サーバ ロボット介護 ITS&自動車安全機能の連携 テレマティクス端末、 データレコーダ等 Newサービス 後付 車載器 車載 ECU 車車間通信 持込機器 ITS路側機 自動運転 4K・8K コンテンツ ホーム サーバ ネットワーク家電 HEMS 関連企業 コンテンツ 提供企業 医療機関・ ヘルスケア企業 サービス提供サーバ (クラウド) 自動車メーカ ・交通管制 Convenience お 弁 当 セ ー ル 生活圏の公共エリアの ネットワーク機器 ATM 遠隔監視・制御機器メーカ オフィスエリアの ネットワーク機器 MFP 出典:一般社団法人重要生活機器連携セキュリティ協議会 提言 AVネットワーク4
© 2016 IPA, All Rights Reserved
CPS社会におけるサービスの変化
インターネット
環境・構造情報管理 ・分析センタ 社会状況データ管理 ・分析センタ DB 環境・構造情報をセンシングし、可視化情報や 将来予測等のアセスメント情報を提供 個人の健康状態や屋内外の環境因子をセンシ ングし、ヘルスケア情報を提供 社会状況をセンシングし、渋滞回避等の次のア クションのための意思決定支援情報を提供 20:00 22:00 CO2 パーソナル情報管理 ・分析センタ環境・構造情報センシング
パーソナル情報センシング
社会状況センシング
混雑度測定 渋滞予測 橋梁健全性 体内環境 室内環境 移動履歴 地滑り監視 氾濫監視 水質等環境監視個人から地球環境まで、あらゆるところにセンシングデバイスが遍在する
社会が到来。
街頭防犯カメラ事例1)JR東日本「スマートメンテナンス」
センサ・ビックデータを活用した保守コストの大幅削減
~ 時間計画保全から状況監視保全へ ~
6
© 2016 IPA, All Rights Reserved
事例2)コマツ KOMTRAX
コマツ建機販売は、世界中の建設機械の場所や稼働状況を遠隔から
確認できるサービスを提供(1999年から本格販売)。IoTの先駆け事例。
事例3) Bosch社 「Smart Factory」
独Bosch社は、industry 4.0の中核企業として、Smart Factoryの実現に
取組中。RF-IDとプロセスの半自動化により、異なるオペレーターが膨大
かつ多様な製品を一貫した品質で生産可能。
8
© 2016 IPA, All Rights Reserved
海外の動き:独Industry4.0と米IIC(
Industrial Internet Consortium
)
米
イ
ン
ダ
ス
ト
リ
ア
ル
イ
ン
タ
ー
ネ
ッ
ト
独
イ
ン
ダ
ス
ト
リ
ー
4
.
0
出典:経済産業省製造産業局プレゼン資料より動き始めた日本の「CPSによるデータ駆動型社会」
出典:平成27年5月 産業構造審議会 商務流通情報分科会 情報経済小委員会 中間とりまとめ
10
© 2016 IPA, All Rights Reserved
IoT推進体制:IoT推進コンソーシアム設立(2015.10)
つながる世界ではリスクも増大
つながる世界:IoT同士も自在に
つながる
、ユーザでも
つなげられる
世界。
利便性だけでなく、
リスクも増大
(出典:一般社団法人重要生活機器連携セキュリティ協議会資料を基に作成) 何がつながっているのか 分からない =リスクがある機器と つながっている可能性も 異なる分野の業界連携 ができていない =他分野の機器の信頼性 が分からない 無線でつながる 家庭用機器が増大 =つながりの安全・安心 が不安 多くの機器がサーバと通信 =プライバシーに係る 情報漏えいの可能性 機器を遠隔から制御する サービスが増加 =誤った制御、偽の制御指示 によるリスク AVネットワーク 医療・ヘルスケアネットワーク ホームゲートウェイ 蓄電池・ コジェネ HEMSネットワーク 電力会社 省エネ制御 家電・照明 EV/HV スマート メータ 太陽光 発電 HEMS 端末 医療・ヘルスケア機器 ウェラブル 機器 医療・ ヘルスケア サーバ ロボット介護 ITS&自動車安全機能の連携 テレマティクス端末、 データレコーダ等 Newサービス 後付 車載器 車載 ECU 車車間通信 持込機器 ITS路側機 自動運転 4K・8K コンテンツ ホーム サーバ ネットワーク家電 サービス提供サーバ (クラウド) Convenience お 弁 当 セ ー ル 生活圏の公共エリア ATM データ 制御12
© 2016 IPA, All Rights Reserved
つながる世界のリスク(事例1)
知らないうちに 「つながってしまう 」
ロシアで、中国製アイロンの中に近隣200m以内の無線LANにアクセスし、
ウイルスを撒き散らすチップが埋め込まれていることが発見された。
無線LAN
(認証なし)
無線LAN
(認証あり)
②無線LAN上
のPCに感染
①200m以内の認証のない無線LAN
にアクセスし、マルウェアをまき散らす
鍵のない無線
LANがあるから
使っちゃおう
出典:一般社団法人 重要生活機器連携セキュリティ協議会「生活機器の脅威事例集」つながる世界のリスク(事例2)
産業制御システム
制御装置(PLC)
工場内設備
工場内ネットワーク
①ネットワークから隔離されたシステムに
USBメモリや持ち込みPC経由でマルウェアが感染
②不正な命令で
設備を破壊
「つながらない」つもりなのに「つながってしまう」
外
部
に
対
し
て
ク
ロ
ー
ズ
な
つ
も
り
が
・
・
・
出典:一般社団法人 重要生活機器連携セキュリティ協議会「生活機器の脅威事例集」ウイルスで工場設備が停止
14
© 2016 IPA, All Rights Reserved
blackhatで発表があった自動車の攻撃研究
つながる世界のリスク(事例3)
出典:一般社団法人 重要生活機器連携セキュリティ協議会(CCDS)
米国blackhat2015で
発表があった自動車の
攻撃研究事例
スマホから不正に車載
器に進入し、ジープのハ
ンドルやエンジンを不正
操作した。
出典:https://blog.kaspersky.co.jpつながる世界に向けた取組み
品質ガイドつながる世界の開発指針検討WG
つながる世界の安全・安心を確保するために、各製品の開発時に
考慮すべきセーフティ要件、セキュリティ要件及び信頼性要件を
検討し、開発指針として策定(2016年3月公開予定)
セーフティ&セ キュリティ設計入門 つながる世界の品質理解の 共通化 コンシューマデバイスの 信頼性確保に向けた取組み つながる世界のセーフティ 設計・セキュリティ設計の 薦めと見える化 つながる対象であるコン シューマデバイスの開発方 法論の標準化さらに下記を実施中
ISO/IEC 25000シリーズ 2015年6月発行 2015年10月発行 2013年9月公開 2015年3月 標準規格として認定 活動1 活動2 活動3 活動416
© 2016 IPA, All Rights Reserved
活動1:つながる世界のソフトウェア品質ガイド
各企業や各分野で品質の定
義や品質基準が異なる。
その品質の定義や品質基準
がオープンになっていない。
分野を跨いで、つながる世
界での品質の捉え方が統一
されていない。
【対策】ソフトウェア品質を議論できる品質モデルが必要!
◆つながるシステムの品質課題と対策
◆「つながる世界のソフトウェア品質ガイド
~あたらしい価値提供のための品質モデル活用のすすめ~
」
製品・サービスを提供する事業者が理解しておくべき品質に関する
基本的な知識を分野事例を交えて紹介
国際規格SQuaREの活用についてわかりやすく解説
ソフトウェア 品質ガイド編 (約100頁) 品質をあらためて考える背景、国際規格SQuaREの 概要、ユーザビリティ/セーフティ/セキュリティな ど重要な品質に関する解説、品質向上に向けた改善 ポイント、品質説明と第三者評価、などについて分 かりやすく説明。 SQuaRE品質 モデル活用リ ファレンス編 (約110頁) 国際規格SQuaREで規定された品質モデル(製品品 質、利用時の品質、データ品質)について、品質特 性/品質副特性の各項目について、説明/ニーズ例/ 測定量の例等を記載。実際に品質要件の洗い出しや 評価計画を作成する場面で、作業効率を期待。2015年6月に書籍として発行済み
http://www.ipa.go.jp/sec/publish/20150529.html
活動1:つながる世界の品質理解の共通化のために
18
© 2016 IPA, All Rights Reserved
自動運転の車 スマートフォン
人の命を預かる
信頼性の設計要件
設計要件が異なる際に想定されるリスク
• 車を制御・操作中のスマホのハングアップにより、
制御・操作が効かなくなり、重大な事故が発生
• 脆弱性がある側の機器への不正アクセスにより、
相手側の機器に保存されている情報が盗難
通信や
エンターテイメントに
利用する信頼性の
設計要件
接続しても
問題がないかの
確認が必要
IoT時代の安全
と安心への危惧
等
活動2:安全・安心への設計(接続先は信頼できる?)
つながる事を想定した安全・安心に向けた設計が重要に!
対象:自動車、スマートフォン、ヘルスケア、スマート家電の4分野
サンプル数:有効回答:68件、調査期間:2015年2月~4月
すべての企業が設計の必要性を認識しつつも、半数以上の企業では基
本方針が設けられていない!
セーフティ設計の基本方針
(明文化なし:64%)
セーフティ設計・セキュリティ設計
の必要性(両方必要:76%)
セキュリティ設計の基本方針
(明文化なし:54%)
活動2:セーフティ&セキュリティ設計(実態調査)
20
© 2016 IPA, All Rights Reserved
セーフティ・セキュリティ要件が提示されていない(提示なし:30%程度)
開発現場の判断が中心で経営層の関与は少ない(関与:28%程度)
セーフティ要件 セキュリティ要件
セーフティ設計 セキュリティ設計
1章 つながるシステムのセーフティとセキュリティ
2章 事故及びインシデント事例
3章 セーフティとセキュリティのための開発プロセス
4章 ソフトウェア技術者のためのセーフティ設計
5章 ソフトウェア技術者のためのセキュリティ設計
6章 ロジカルな設計品質の説明
つながる世界の前提となる製品開発におけるセーフティとセキュ
リティ設計に関しての入門書を作成
セーフティ設計とセキュリティ設計の分析・対策手法を初心者
に分かり易く解説
設計の見える化手法としてアシュアランスケース表記法を紹介
経営層への関与の必要性について紹介
活動2:セーフティ&セキュリティ設計(入門書作成)
2015年10月7日 書籍発刊
http://www.ipa.go.jp/sec/reports/20151007.html
22
© 2016 IPA, All Rights Reserved
活動3:コンシューマデバイスの信頼性確保の取組み
※1 ディペンダビリティ:信頼性性能、保全性性能及び保全支援能力を記述するために用いられる包括的な用語(JIS Z 8115:2000) ※2 OMG:Object Management Group(国際標準化団体)
つながる世界では、コンシューマデバイスが主役の一つであり高いディペンダビリティ
※1が求められるが、各種コンシューマデバイスに適用できる共通の開発方法論が無かった
横断的に適用できる体系化された効率的な枠組みとしてDependability Assurance
Framework(DAF)をOMG
※2に提案、2015年3月に国際標準規格として認定
背景
取組み
DAFのイメージ
DAFの構造
活動4:つながる世界では様々な課題が存在
異なる分野の
サービスがつながる
サービス企業やユーザが
モノをつなげられる
データを集めたり
モノを制御できる
様々なモノがつながる
何がどの様につながって
いるか把握できない
相手の信頼性レベル
が分からない(不安)
プライバシーは大丈夫?
データは本当に正しい?
メーカが想像もしない
つなぎ方、使い方も
つながる世界では、機器メーカーが
想定しない、把握できない課題
が発生
つながる世界の安全・安心を担保する高信頼なソフトウェア開発の枠組みが必要
24
© 2016 IPA, All Rights Reserved
活動4:つながる世界の開発指針の策定
・基本方針(業界)
・設計開発プロセス(業界)
:
自動車関連
・基本方針(業界)
・設計開発プロセス(業界)
:
スマート家電
・基本方針(業界)
・設計開発プロセス(業界)
:
決済端末
各業界で策定
・つながる世界の安全・安心
確保の基本方針
・つながる相手の自律的な
信頼性確認の仕組み
・つながる世界のリスクの捉
え方、分析評価の仕方
・開発者だけでなく、経営者
や運用・利用者が配慮す
べき事項など・・・
IPAで策定
各
業
界
で
安
全
・
安
心
を
実
現
す
る
た
め
の
指
針
異
業
界
間
で
安
全
・
安
心
に
つ
な
げ
る
た
め
の
指
針
す
り
あ
わ
せ
な
が
ら
策
定
開発指針
※上記の項目はイメージであり、実際の内容は検討中。
信頼性要件の実証実験
開発指針の課題の確認
つながる世界の開発指針( 17個)
◆つながる世界の開発指針の内容
目次 第一章 つながる世界と開発指針の目的 第二章 開発指針の対象 第三章 つながる世界のリスク想定 第四章 つながる世界の開発指針(17指針) 第五章 今後必要となる対策技術例 ※指針は、ポイント、解説、対策例を記述※本開発指針は、2016年3月末に公開予定
IoT機器の開発者、
保守者、経営者に
最低限検討して頂
きたい安全・安心
に関する事項
大項目 指針 方 針 つながる世界の安 全安心に企業とし て取り組む 指針1 安全安心の基本方針を策定する 指針2 安全安心のための体制・人材を見直す 指針3 内部不正やミスに備える 分 析 つながる世界のリ スクを認識する 指針4 守るべきものを特定する 指針5 つながることによるリスクを想定する 指針6 つながりで波及するリスクを想定する 指針7 物理的なリスクを認識する 設 計 守るべきものを守 る設計を考える 指針8 個々でも全体でも守れる設計をする 指針9 つながる相手に迷惑をかけない設計をする 指針10 安全安心を実現する設計の整合性をとる 指針11 不特定の相手とつなげられても安全安心を確 保できる設計をする 指針12 安全安心を実現する設計の検証・評価を行う 保 守 市場に出た後も守 る設計を考える 指針13 自身がどのような状態かを把握し、記録する 機能を設ける 指針14 時間が経っても安全安心を維持する機能を設 ける 運 用 関係者と一緒に守 る 指針15 出荷後もIoTリスクを把握し、情報発信する 指針16 出荷後の関係事業者に守ってもらいたいこと を伝える 指針17 つながることによるリスクを一般利用者に 知ってもらう26
© 2016 IPA, All Rights Reserved