講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

IoTにおける脆弱性対策の進め方

～既知の脆弱性対策のすすめ～

独立行政法人情報処理推進機構 (IPA)

技術本部 セキュリティセンター

2015年11月18日

講義内容

１．組込み機器のセキュリティの脅威について

２．脆弱性関連情報の収集について

１．組込み機器のセキュリティの

脅威について

組込み機器の今昔

～繋がるモノ～

自動車

・現在の組込みシステム

■インターネットを含めた様々な

ネットワークと接続して動作

■クラウドの活用

■ソフトウェア制御

■個人情報や操作情報のような

機微な情報を含めた様々な情

報を扱う

クラウド

モノのインターネット（Internet of Things : IoT）

・以前の組込みシステム

■スタンドアロンで動作

■機械的な制御

ビッグデータの時代へ

～繋がってしまうモノ～

組込みシステムが繋がっていく中では、機器同士が自律的に連携するな

どして、

情報だけでなく「機器の操作」も行われる

ようになってきている。

その為、これまでの情報漏えいや改ざん等への対策だけでは無く、

利用

者の意図しない「機器の操作」を防ぐ対策も必要

となる。

電話帳、メール、写真、

動画、音楽、GPS情報、

オートロック機能

、

etc…

スキャン情報、FAX情報、

ユーザ情報、

データ送信機能

、

etc…

各種アカウント、電子マネー

コンテンツ、

プレイデータ、

etc…

デジタル複合機

スマートフォン

車速、ハンドル舵角

燃費、充電情報、

自動運転機能

、

etc…

自動車

ユーザ情報、コンテンツ

クレジットカード情報、

録画予約機能

、

etc…

デジタルテレビ

ゲーム機

ビッグデータ

利用者情報、健康状態、

各種設定情報、

制御機能

、

etc…

デジタルヘルス

組込みシステムのライフサイクル

～ライフサイクルから見たセキュリティの脅威～

企画

開発

運用

廃棄

企画書の漏洩

脆弱性のあるライ

ブラリ利用、等

脆弱性を悪用した

改ざんや情報漏えい

残存情報による

情報漏えい

マネジメント

→ 脆弱性情報の収集と対策実施が重要

製造メーカ

小売業者

ユーザ

リサイクル業者

脆弱性情報 事例1

～車両移動を制御される脆弱性～

脆弱性情報 事例2

～監視用カメラにSQLインジェクションの脆弱性～

脆弱性情報 事例3

～bashの脆弱性対策について(CVE-2014-6271等)～

脆弱性情報 事例4

～オフィス機器をインターネットに接続する際の注意点～



情報種別と活用例

対象情報

情報の意味合い

活用例

脆弱性対策情報

脆弱性の存在、対策の有

無を知る

・脆弱性の深刻度の調査

・対策や回避策の実施

攻撃情報

実際の攻撃の有無、攻撃

コードの公開状況を知る

・対策の緊急度の検討

脅威・動向

攻撃手法やセキュリティの

動向を知る

・自組織の対策状況の確認

自組織に必要な脆弱性関連情報とは

～脆弱性対策情報、攻撃情報、脅威・動向の観点が重要～



脆弱性関連情報とは？

システム管理者

製品ベンダー

ニュースサイト

注意喚起サイト

脆弱性

関連情報DB

攻撃情報

脆弱性対策を行う為に、対策の判断要素となる情報

脆弱性関連情報の収集

～外部の情報を収集し、自組織の対策に役立てる～

製品ベンダーサイト

～使用している製品の脆弱性対策に～



ネットワーク、サーバ



シスコ – セキュリティアドバイザリ

http://www.cisco.com/cisco/web/support/JP/loc/security/index.html



日立 –セキュリティ情報

http://www.hitachi.co.jp/hirt/security/index.html



セキュリティ



シマンテック –セキュリティアップデート

http://www.Symantec.com/ja/jp/security_response/securityupdates/list.jsp?fid=security_advisory



オープンソース



OpenSSL

http://www.openssl.org/



国内ニュースメディア



CNET ニュース

http://japan.cnet.com/news/



ITmedia エンタープライズ セキュリティ

http://www.itmedia.co.jp/enterprise/subtop/security/index.html



ITpro セキュリティ

http://itpro.nikkeibp.co.jp/security/index.html



海外ニュースメディア



ComputerWorld Security （米国中心）

http://www.computerworld.com/category/security/



The Register Security （英国・欧州中心）

http://www.theregister.co.uk/security/

ニュースサイト



JPCERT/CC 注意喚起

http://www.jpcert.or.jp/at/

 官公庁系を含めて国内で

広く参照されている

 注意喚起の大半は、マイク

ロソフト月例、Oracle、

Adobeに関する情報

注意喚起サイト (1)

～JPCERT/CCからの注意喚起～



警察庁：重要なセキュリティ情報

http://www.npa.go.jp/cyberpolice/

 マイクロソフト、Oracle、

Adobe等の緊急度の高い

脆弱性情報を発信

 定点観測情報等から攻撃

傾向などの情報を発信

 不正アクセス事案などの情

報も発信

注意喚起サイト (2)

～警察庁＠police～



IPA：重要なセキュリティ情報

https://www.ipa.go.jp/security/announce/alert.html

 JVNに掲載された情報

 マイクロソフト、Oracle、

Adobe等の緊急度の高い脆

弱性情報を発信

 攻撃の有無を掲載

 ウェブサイト改ざん等の攻撃

の傾向について発信

注意喚起サイト (3)

～IPAからの注意喚起～



NVD(

N

ational

V

ulnerability

D

atabase)

https://nvd.nist.gov/

 米国標準技術研究所

（NIST）が運営

 CVE識別番号で管理され

ている

 DB検索機能、統計機能

を備える

 約73,000件

の脆弱性対

策情報を登録

（2015年10月末時点）

 情報は全て英語

脆弱性関連情報データベース (1)

～米国 : NISTが運用する元祖脆弱性対策データベース～



Vulnerability Notes Database

http://www.kb.cert.org/vuls/

 カーネギーメロン大学

（CMU）ソフトウェア工

学研究所（SEI）の

CERT/CCが運営

 世界で最初に設置され

たCSIRTとして収集・発

見した数多くの情報を

公開

 DB検索機能のほか、

CVE、CVSS、公開日、

更新日などで並び替え

可能

 情報は全て英語

(*)Computer Security Incident Response Team

脆弱性関連情報データベース (2)



JVN (

J

apan

V

ulnerability

N

otes)

http://jvn.jp/

 JPCERT/CC、IPAが運営

 情報セキュリティ早期警

戒パートナーシップ対応

の「脆弱性対策情報ポー

タル」

 国内製品開発者の対応

情報が掲載

 海外のCERTから展開さ

れる脆弱性関連情報も

掲載

脆弱性関連情報データベース (3)

～国内外の脆弱性対策情報を日本語に翻訳して公開～



脆弱性対策情報データベース JVN iPedia

http://jvndb.jvn.jp/

 IPAが運営

 国内ベンダーと連携をし、

脆弱性対策情報を公開

 海外の脆弱性DB（NVD）

の情報を日本語に翻訳

して公開

 DB検索機能を備える

 約57,000件

の脆弱性

対策情報を登録

（2015年10月末時点）

脆弱性関連情報データベース (4)

～国内外の脆弱性対策情報を日本語に翻訳して公開～



効率的に進める為に有効なキーワード

・・・脆弱性を一意に識別する番号

・・・脆弱性のタイプを体系的に分類

・・・脆弱性の深刻度を評価する数値指標

脆弱性対策情報や注意喚起等でも使用

これらのキーワードの解説資料

https://www.ipa.go.jp/security/vuln/index.html#section18

知っていますか？CVE, CWE, CVSS

CVEとは

～脆弱性に番号を割当て、一意に識別することを可能にする～

世間で公表されている脆弱性に割り当てられた識別番号。

脆弱性を一意に特定することを可能とする



C

ommon

V

ulnerabilities and

E

xposures

（共通脆弱性識別子）

CVE識別番号の構成

CVE-2015-1000

西暦

連番

連番は4桁から始まり、

必要に応じて拡張

CVE-2015-10000

CVE-2015-100000



プログラム上のセキュリティ問題に一意の番号（CVE識別

番号）を付与して管理



CVEの採番方法



新規脆弱性ごとにMITRE 社

（*）

_{に申請、または}



MITRE社に認定されたCNA（CVE Numbering

Authority、 CVE 採番機関）から割り当てを受ける

Apple Inc. JPCERT/CC

Adobe Systems Incorporated

Microsoft Corp. Oracle

・・・

Primary CNA

CVE

ソフトウェアベンダや第三者調整機関など計22組織

CVEとは

～採番方法の仕組み～

CWEとは

～脆弱性のタイプを体系立てて分類～



C

ommon

W

eakness

E

numeration

（共通脆弱性タイプ一覧）



脆弱性を種別ごとに分類

CVSSとは

～脆弱性の深刻度を数値化～

深刻度

CVSS値

レベルⅢ（危険）

7.0～10.0

レベルⅡ（警告）

4.0～6.9

レベルⅠ（注意）

0.0～3.9

脆弱性の深刻度を表すバロメータとして、CVSSが活用

されている



C

ommon

V

ulnerability

S

coring

S

ystem

（共通脆弱性評価システム）



脆弱性の深刻度を0.0～10.0のスコアで評価

３．IPAが提供する脆弱性対策関連の

サービス

時間とともに増えるリスク

～時間と共に情報システムが攻略されるリスクが増大～

脆弱性は、日々公開されており、そのままにすると

時間と共に情報システムの安全性が低下する

46,860

48,427

51,499

53,235

54,714

56,475

0

10,000

20,000

30,000

40,000

50,000

60,000

70,000

0

1,000

2,000

3,000

4,000

5,000

2Q

2014

3Q

2014

4Q

2014

1Q

2015

2Q

2015

3Q

2015

四

半

期

件

数

累

計

件

数

図1-1. JVN iPediaの登録件数の四半期別推移

日々公表されている脆弱性情報

～公式な脆弱性だけで年間約5,200件を公開～

IPA「脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第３四半期（7月～9月）]」

累計56,475件

（2015年9月末）

月平均

約430件

脆弱性対策情報（全件）

①自組織で利用しているソフトウェア

（対策すべき最大範囲）

②CVSSの深刻度が高い

③攻撃に悪用される

可能性が高い

優先度をつけて対策する

～脆弱性の持つ危険度・緊急性を見極めよう～

被害を防ぐ為には、

危険度・緊急性の高い

脆弱性を解消していくことが重要

危険度・緊急性で

優先度を絞り込み



自組織で利用しているソフトウェア全てに対策

① 利用している全ソフトウェアに対策

～自組織で利用しているソフトウェアの情報を収集～

①使用している

ソフトウェアのリスト化

②脆弱性対策情報の日々

の収集

③対策の実施



最もリスクを低減できる確実な方法



対策に掛かるコストを考慮しておく必要あり

① 利用している全ソフトウェアに対策

＜活用ツール＞MyJVN 脆弱性対策情報収集ツール

http://jvndb.jvn.jp/apis/myjvn/mjcheck.html (Adobe Flash）

http://jvndb.jvn.jp/apis/myjvn/mjcheck3.html (Adobe Air 機能拡張版）



MyJVN 情報収集ツールを使い必要な情報のみ収集

収集対象のソフトウェア

を登録しておく

登録した対象ソフトウェアの



技術的な深刻度が高い脆弱性に限定した対策

脆弱性と言っても、引き起される事象は様々

インターネット越しにリモートコントロールできる・・・

危険大

ローカル環境でパソコンをフリーズさせる

i

・・・

危険小

② 深刻度の高い脆弱性に限定

～深刻度の高い脆弱性に限定した収集～



深刻度が高い物に限定することで、コスト削減



リスクが残る点は、認識しておく必要あり

危険大

危険中

危険小

対象



JVN iPediaにおける深刻度の記載

http://jvndb.jvn.jp/

 CVSSに基づく、脆弱

性の技術的な危険度

（CVSS基本値）を記載

② 深刻度の高い脆弱性に限定

～深刻度の高い脆弱性に限定した収集～

「重要なセキュリティ情報」とは（抜粋）

https://www.ipa.go.jp/security/announce/about.html

③ 攻撃が発生している脆弱性を対策



重要なセキュリティ情報の活用

https://www.ipa.go.jp/security/announce/alert.html

https://www.ipa.go.jp/security/rss/alert.rdf

 重要なセキュリティ情報は、Twitter（@ICATalerts）でも確認可能

③ 攻撃が発生している脆弱性を対策

＜活用ツール＞ IPA「重要なセキュリティ情報」



サイバーセキュリティ注意喚起サービス「icat」



IPAが発信する「重要なセキュリティ情

報」をリアルタイムに同期できます



社内のポータルサイトなどにHTMLタ

グを埋込んでご利用ください



利用時に埋め込むHTMLタグは以下

<script type="text/javascript"

src="//www.ipa.go.jp/security/announce/ICATalerts.js">

</script>

③ 攻撃が発生している脆弱性を対策

＜活用ツール＞サイバーセキュリティ注意喚起サービス

https://www.ipa.go.jp/security/vuln/icat.html

最後に

脆弱性対策は日々の情報収集と迅速

な対策実施が重要です。

本資料で記載したIPAサービスはすべ

て無償で利用可能です。ぜひ脆弱性

対策の促進や普及啓発などにご活用

ください。

「ｉパス」は、ITを利活用する

すべての社会人・学生

が備えておくべき

ITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター

上峰亜衣（うえみねあい）