IoTにおける脆弱性対策の進め方
~既知の脆弱性対策のすすめ~
独立行政法人情報処理推進機構 (IPA)
技術本部 セキュリティセンター
2015年11月18日
講義内容
1.組込み機器のセキュリティの脅威について
2.脆弱性関連情報の収集について
1.組込み機器のセキュリティの
脅威について
組込み機器の今昔
~繋がるモノ~
自動車
・現在の組込みシステム
■インターネットを含めた様々な
ネットワークと接続して動作
■クラウドの活用
■ソフトウェア制御
■個人情報や操作情報のような
機微な情報を含めた様々な情
報を扱う
クラウド
モノのインターネット(Internet of Things : IoT)
・以前の組込みシステム
■スタンドアロンで動作
■機械的な制御
ビッグデータの時代へ
~繋がってしまうモノ~
組込みシステムが繋がっていく中では、機器同士が自律的に連携するな
どして、
情報だけでなく「機器の操作」も行われる
ようになってきている。
その為、これまでの情報漏えいや改ざん等への対策だけでは無く、
利用
者の意図しない「機器の操作」を防ぐ対策も必要
となる。
電話帳、メール、写真、
動画、音楽、GPS情報、
オートロック機能
、
etc…
スキャン情報、FAX情報、
ユーザ情報、
データ送信機能
、
etc…
各種アカウント、電子マネー
コンテンツ、
プレイデータ、
etc…
デジタル複合機
スマートフォン
車速、ハンドル舵角
燃費、充電情報、
自動運転機能
、
etc…
自動車
ユーザ情報、コンテンツ
クレジットカード情報、
録画予約機能
、
etc…
デジタルテレビ
ゲーム機
ビッグデータ
利用者情報、健康状態、
各種設定情報、
制御機能
、
etc…
デジタルヘルス
組込みシステムのライフサイクル
~ライフサイクルから見たセキュリティの脅威~
企画
開発
運用
廃棄
企画書の漏洩
脆弱性のあるライ
ブラリ利用、等
脆弱性を悪用した
改ざんや情報漏えい
残存情報による
情報漏えい
マネジメント
→ 脆弱性情報の収集と対策実施が重要
製造メーカ
小売業者
ユーザ
リサイクル業者
脆弱性情報 事例1
~車両移動を制御される脆弱性~
脆弱性情報 事例2
~監視用カメラにSQLインジェクションの脆弱性~
脆弱性情報 事例3
~bashの脆弱性対策について(CVE-2014-6271等)~
脆弱性情報 事例4
~オフィス機器をインターネットに接続する際の注意点~
情報種別と活用例
対象情報
情報の意味合い
活用例
脆弱性対策情報
脆弱性の存在、対策の有
無を知る
・脆弱性の深刻度の調査
・対策や回避策の実施
攻撃情報
実際の攻撃の有無、攻撃
コードの公開状況を知る
・対策の緊急度の検討
脅威・動向
攻撃手法やセキュリティの
動向を知る
・自組織の対策状況の確認
自組織に必要な脆弱性関連情報とは
~脆弱性対策情報、攻撃情報、脅威・動向の観点が重要~
脆弱性関連情報とは?
システム管理者
製品ベンダー
ニュースサイト
注意喚起サイト
脆弱性
関連情報DB
攻撃情報
脆弱性対策を行う為に、対策の判断要素となる情報
脆弱性関連情報の収集
~外部の情報を収集し、自組織の対策に役立てる~
製品ベンダーサイト
~使用している製品の脆弱性対策に~
ネットワーク、サーバ
シスコ – セキュリティアドバイザリ
http://www.cisco.com/cisco/web/support/JP/loc/security/index.html
日立 –セキュリティ情報
http://www.hitachi.co.jp/hirt/security/index.html
セキュリティ
シマンテック –セキュリティアップデート
http://www.Symantec.com/ja/jp/security_response/securityupdates/list.jsp?fid=security_advisory
オープンソース
OpenSSL
http://www.openssl.org/
国内ニュースメディア
CNET ニュース
http://japan.cnet.com/news/
ITmedia エンタープライズ セキュリティ
http://www.itmedia.co.jp/enterprise/subtop/security/index.html
ITpro セキュリティ
http://itpro.nikkeibp.co.jp/security/index.html
海外ニュースメディア
ComputerWorld Security (米国中心)
http://www.computerworld.com/category/security/
The Register Security (英国・欧州中心)
http://www.theregister.co.uk/security/
ニュースサイト
JPCERT/CC 注意喚起
http://www.jpcert.or.jp/at/
官公庁系を含めて国内で
広く参照されている
注意喚起の大半は、マイク
ロソフト月例、Oracle、
Adobeに関する情報
注意喚起サイト (1)
~JPCERT/CCからの注意喚起~
警察庁:重要なセキュリティ情報
http://www.npa.go.jp/cyberpolice/
マイクロソフト、Oracle、
Adobe等の緊急度の高い
脆弱性情報を発信
定点観測情報等から攻撃
傾向などの情報を発信
不正アクセス事案などの情
報も発信
注意喚起サイト (2)
~警察庁@police~
IPA:重要なセキュリティ情報
https://www.ipa.go.jp/security/announce/alert.html
JVNに掲載された情報
マイクロソフト、Oracle、
Adobe等の緊急度の高い脆
弱性情報を発信
攻撃の有無を掲載
ウェブサイト改ざん等の攻撃
の傾向について発信
注意喚起サイト (3)
~IPAからの注意喚起~
NVD(
N
ational
V
ulnerability
D
atabase)
https://nvd.nist.gov/
米国標準技術研究所
(NIST)が運営
CVE識別番号で管理され
ている
DB検索機能、統計機能
を備える
約73,000件
の脆弱性対
策情報を登録
(2015年10月末時点)
情報は全て英語
脆弱性関連情報データベース (1)
~米国 : NISTが運用する元祖脆弱性対策データベース~
Vulnerability Notes Database
http://www.kb.cert.org/vuls/
カーネギーメロン大学
(CMU)ソフトウェア工
学研究所(SEI)の
CERT/CCが運営
世界で最初に設置され
たCSIRTとして収集・発
見した数多くの情報を
公開
DB検索機能のほか、
CVE、CVSS、公開日、
更新日などで並び替え
可能
情報は全て英語
(*)Computer Security Incident Response Team
脆弱性関連情報データベース (2)
JVN (
J
apan
V
ulnerability
N
otes)
http://jvn.jp/
JPCERT/CC、IPAが運営
情報セキュリティ早期警
戒パートナーシップ対応
の「脆弱性対策情報ポー
タル」
国内製品開発者の対応
情報が掲載
海外のCERTから展開さ
れる脆弱性関連情報も
掲載
脆弱性関連情報データベース (3)
~国内外の脆弱性対策情報を日本語に翻訳して公開~
脆弱性対策情報データベース JVN iPedia
http://jvndb.jvn.jp/
IPAが運営
国内ベンダーと連携をし、
脆弱性対策情報を公開
海外の脆弱性DB(NVD)
の情報を日本語に翻訳
して公開
DB検索機能を備える
約57,000件
の脆弱性
対策情報を登録
(2015年10月末時点)
脆弱性関連情報データベース (4)
~国内外の脆弱性対策情報を日本語に翻訳して公開~
効率的に進める為に有効なキーワード
・・・脆弱性を一意に識別する番号
・・・脆弱性のタイプを体系的に分類
・・・脆弱性の深刻度を評価する数値指標
脆弱性対策情報や注意喚起等でも使用
これらのキーワードの解説資料
https://www.ipa.go.jp/security/vuln/index.html#section18
知っていますか?CVE, CWE, CVSS
CVEとは
~脆弱性に番号を割当て、一意に識別することを可能にする~
世間で公表されている脆弱性に割り当てられた識別番号。
脆弱性を一意に特定することを可能とする
C
ommon
V
ulnerabilities and
E
xposures
(共通脆弱性識別子)
CVE識別番号の構成
CVE-2015-1000
西暦
連番
連番は4桁から始まり、
必要に応じて拡張
CVE-2015-10000
CVE-2015-100000
プログラム上のセキュリティ問題に一意の番号(CVE識別
番号)を付与して管理
CVEの採番方法
新規脆弱性ごとにMITRE 社
(*)
に申請、または
MITRE社に認定されたCNA(CVE Numbering
Authority、 CVE 採番機関)から割り当てを受ける
参考URL) http://cve.mitre.org/cve/cna.html MITRE CorporationApple Inc. JPCERT/CC
Adobe Systems Incorporated
Microsoft Corp. Oracle