講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

41 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

IoTにおける脆弱性対策の進め方

~既知の脆弱性対策のすすめ~

独立行政法人情報処理推進機構 (IPA)

技術本部 セキュリティセンター

2015年11月18日

(2)

講義内容

1.組込み機器のセキュリティの脅威について

2.脆弱性関連情報の収集について

(3)

1.組込み機器のセキュリティの

脅威について

(4)

組込み機器の今昔

~繋がるモノ~

自動車

・現在の組込みシステム

■インターネットを含めた様々な

ネットワークと接続して動作

■クラウドの活用

■ソフトウェア制御

■個人情報や操作情報のような

機微な情報を含めた様々な情

報を扱う

クラウド

モノのインターネット(Internet of Things : IoT)

・以前の組込みシステム

■スタンドアロンで動作

■機械的な制御

(5)

ビッグデータの時代へ

~繋がってしまうモノ~

組込みシステムが繋がっていく中では、機器同士が自律的に連携するな

どして、

情報だけでなく「機器の操作」も行われる

ようになってきている。

その為、これまでの情報漏えいや改ざん等への対策だけでは無く、

利用

者の意図しない「機器の操作」を防ぐ対策も必要

となる。

電話帳、メール、写真、

動画、音楽、GPS情報、

オートロック機能

etc…

スキャン情報、FAX情報、

ユーザ情報、

データ送信機能

etc…

各種アカウント、電子マネー

コンテンツ、

プレイデータ、

etc…

デジタル複合機

スマートフォン

車速、ハンドル舵角

燃費、充電情報、

自動運転機能

etc…

自動車

ユーザ情報、コンテンツ

クレジットカード情報、

録画予約機能

etc…

デジタルテレビ

ゲーム機

ビッグデータ

利用者情報、健康状態、

各種設定情報、

制御機能

etc…

デジタルヘルス

(6)

組込みシステムのライフサイクル

~ライフサイクルから見たセキュリティの脅威~

企画

開発

運用

廃棄

企画書の漏洩

脆弱性のあるライ

ブラリ利用、等

脆弱性を悪用した

改ざんや情報漏えい

残存情報による

情報漏えい

マネジメント

→ 脆弱性情報の収集と対策実施が重要

製造メーカ

小売業者

ユーザ

リサイクル業者

(7)

脆弱性情報 事例1

~車両移動を制御される脆弱性~

(8)

脆弱性情報 事例2

~監視用カメラにSQLインジェクションの脆弱性~

(9)

脆弱性情報 事例3

~bashの脆弱性対策について(CVE-2014-6271等)~

(10)

脆弱性情報 事例4

~オフィス機器をインターネットに接続する際の注意点~

(11)
(12)

情報種別と活用例

対象情報

情報の意味合い

活用例

脆弱性対策情報

脆弱性の存在、対策の有

無を知る

・脆弱性の深刻度の調査

・対策や回避策の実施

攻撃情報

実際の攻撃の有無、攻撃

コードの公開状況を知る

・対策の緊急度の検討

脅威・動向

攻撃手法やセキュリティの

動向を知る

・自組織の対策状況の確認

自組織に必要な脆弱性関連情報とは

~脆弱性対策情報、攻撃情報、脅威・動向の観点が重要~

(13)

脆弱性関連情報とは?

システム管理者

製品ベンダー

ニュースサイト

注意喚起サイト

脆弱性

関連情報DB

攻撃情報

脆弱性対策を行う為に、対策の判断要素となる情報

脆弱性関連情報の収集

~外部の情報を収集し、自組織の対策に役立てる~

(14)

製品ベンダーサイト

~使用している製品の脆弱性対策に~

ネットワーク、サーバ

シスコ – セキュリティアドバイザリ

http://www.cisco.com/cisco/web/support/JP/loc/security/index.html

日立 –セキュリティ情報

http://www.hitachi.co.jp/hirt/security/index.html

セキュリティ

シマンテック –セキュリティアップデート

http://www.Symantec.com/ja/jp/security_response/securityupdates/list.jsp?fid=security_advisory

オープンソース

OpenSSL

http://www.openssl.org/

(15)

国内ニュースメディア

CNET ニュース

http://japan.cnet.com/news/

ITmedia エンタープライズ セキュリティ

http://www.itmedia.co.jp/enterprise/subtop/security/index.html

ITpro セキュリティ

http://itpro.nikkeibp.co.jp/security/index.html

海外ニュースメディア

ComputerWorld Security (米国中心)

http://www.computerworld.com/category/security/

The Register Security (英国・欧州中心)

http://www.theregister.co.uk/security/

ニュースサイト

(16)

JPCERT/CC 注意喚起

http://www.jpcert.or.jp/at/

 官公庁系を含めて国内で

広く参照されている

 注意喚起の大半は、マイク

ロソフト月例、Oracle、

Adobeに関する情報

注意喚起サイト (1)

~JPCERT/CCからの注意喚起~

(17)

警察庁:重要なセキュリティ情報

http://www.npa.go.jp/cyberpolice/

 マイクロソフト、Oracle、

Adobe等の緊急度の高い

脆弱性情報を発信

 定点観測情報等から攻撃

傾向などの情報を発信

 不正アクセス事案などの情

報も発信

注意喚起サイト (2)

~警察庁@police~

(18)

IPA:重要なセキュリティ情報

https://www.ipa.go.jp/security/announce/alert.html

 JVNに掲載された情報

 マイクロソフト、Oracle、

Adobe等の緊急度の高い脆

弱性情報を発信

 攻撃の有無を掲載

 ウェブサイト改ざん等の攻撃

の傾向について発信

注意喚起サイト (3)

~IPAからの注意喚起~

(19)

NVD(

N

ational

V

ulnerability

D

atabase)

https://nvd.nist.gov/

 米国標準技術研究所

(NIST)が運営

 CVE識別番号で管理され

ている

 DB検索機能、統計機能

を備える

 約73,000件

の脆弱性対

策情報を登録

(2015年10月末時点)

 情報は全て英語

脆弱性関連情報データベース (1)

~米国 : NISTが運用する元祖脆弱性対策データベース~

(20)

Vulnerability Notes Database

http://www.kb.cert.org/vuls/

 カーネギーメロン大学

(CMU)ソフトウェア工

学研究所(SEI)の

CERT/CCが運営

 世界で最初に設置され

たCSIRTとして収集・発

見した数多くの情報を

公開

 DB検索機能のほか、

CVE、CVSS、公開日、

更新日などで並び替え

可能

 情報は全て英語

(*)Computer Security Incident Response Team

脆弱性関連情報データベース (2)

(21)

JVN (

J

apan

V

ulnerability

N

otes)

http://jvn.jp/

 JPCERT/CC、IPAが運営

 情報セキュリティ早期警

戒パートナーシップ対応

の「脆弱性対策情報ポー

タル」

 国内製品開発者の対応

情報が掲載

 海外のCERTから展開さ

れる脆弱性関連情報も

掲載

脆弱性関連情報データベース (3)

~国内外の脆弱性対策情報を日本語に翻訳して公開~

(22)

脆弱性対策情報データベース JVN iPedia

http://jvndb.jvn.jp/

 IPAが運営

 国内ベンダーと連携をし、

脆弱性対策情報を公開

 海外の脆弱性DB(NVD)

の情報を日本語に翻訳

して公開

 DB検索機能を備える

 約57,000件

の脆弱性

対策情報を登録

(2015年10月末時点)

脆弱性関連情報データベース (4)

~国内外の脆弱性対策情報を日本語に翻訳して公開~

(23)
(24)

効率的に進める為に有効なキーワード

・・・脆弱性を一意に識別する番号

・・・脆弱性のタイプを体系的に分類

・・・脆弱性の深刻度を評価する数値指標

脆弱性対策情報や注意喚起等でも使用

これらのキーワードの解説資料

https://www.ipa.go.jp/security/vuln/index.html#section18

知っていますか?CVE, CWE, CVSS

(25)

CVEとは

~脆弱性に番号を割当て、一意に識別することを可能にする~

世間で公表されている脆弱性に割り当てられた識別番号。

脆弱性を一意に特定することを可能とする

C

ommon

V

ulnerabilities and

E

xposures

(共通脆弱性識別子)

CVE識別番号の構成

CVE-2015-1000

西暦

連番

連番は4桁から始まり、

必要に応じて拡張

CVE-2015-10000

CVE-2015-100000

プログラム上のセキュリティ問題に一意の番号(CVE識別

番号)を付与して管理

(26)

CVEの採番方法

新規脆弱性ごとにMITRE 社

(*)

に申請、または

MITRE社に認定されたCNA(CVE Numbering

Authority、 CVE 採番機関)から割り当てを受ける

参考URL) http://cve.mitre.org/cve/cna.html MITRE Corporation

Apple Inc. JPCERT/CC

Adobe Systems Incorporated

Microsoft Corp. Oracle

・・・

Primary CNA

CVE

CVE 番号群

ソフトウェアベンダや第三者調整機関など計22組織

CVE 番号群 CVE 番号群 CVE 番号群 CVE 番号群 日本

CVEとは

~採番方法の仕組み~

(27)

CWEとは

~脆弱性のタイプを体系立てて分類~

C

ommon

W

eakness

E

numeration

(共通脆弱性タイプ一覧)

脆弱性を種別ごとに分類

(28)

CVSSとは

~脆弱性の深刻度を数値化~

深刻度

CVSS値

レベルⅢ(危険)

7.0~10.0

レベルⅡ(警告)

4.0~6.9

レベルⅠ(注意)

0.0~3.9

脆弱性の深刻度を表すバロメータとして、CVSSが活用

されている

C

ommon

V

ulnerability

S

coring

S

ystem

(共通脆弱性評価システム)

脆弱性の深刻度を0.0~10.0のスコアで評価

(29)

3.IPAが提供する脆弱性対策関連の

サービス

(30)

時間とともに増えるリスク

~時間と共に情報システムが攻略されるリスクが増大~

脆弱性は、日々公開されており、そのままにすると

時間と共に情報システムの安全性が低下する

(31)

46,860

48,427

51,499

53,235

54,714

56,475

0

10,000

20,000

30,000

40,000

50,000

60,000

70,000

0

1,000

2,000

3,000

4,000

5,000

2Q

2014

3Q

2014

4Q

2014

1Q

2015

2Q

2015

3Q

2015

国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの 累計件数(右目盛り) 2007/4/25 公開開始

図1-1. JVN iPediaの登録件数の四半期別推移

日々公表されている脆弱性情報

~公式な脆弱性だけで年間約5,200件を公開~

IPA「脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第3四半期(7月~9月)]」

累計56,475件

(2015年9月末)

月平均

約430件

(32)

脆弱性対策情報(全件)

①自組織で利用しているソフトウェア

(対策すべき最大範囲)

②CVSSの深刻度が高い

③攻撃に悪用される

可能性が高い

優先度をつけて対策する

~脆弱性の持つ危険度・緊急性を見極めよう~

被害を防ぐ為には、

危険度・緊急性の高い

脆弱性を解消していくことが重要

危険度・緊急性で

優先度を絞り込み

(33)

自組織で利用しているソフトウェア全てに対策

① 利用している全ソフトウェアに対策

~自組織で利用しているソフトウェアの情報を収集~

①使用している

ソフトウェアのリスト化

②脆弱性対策情報の日々

の収集

③対策の実施

最もリスクを低減できる確実な方法

対策に掛かるコストを考慮しておく必要あり

(34)

① 利用している全ソフトウェアに対策

<活用ツール>MyJVN 脆弱性対策情報収集ツール

http://jvndb.jvn.jp/apis/myjvn/mjcheck.html (Adobe Flash)

http://jvndb.jvn.jp/apis/myjvn/mjcheck3.html (Adobe Air 機能拡張版)

MyJVN 情報収集ツールを使い必要な情報のみ収集

収集対象のソフトウェア

を登録しておく

登録した対象ソフトウェアの

(35)

技術的な深刻度が高い脆弱性に限定した対策

脆弱性と言っても、引き起される事象は様々

インターネット越しにリモートコントロールできる・・・

危険大

ローカル環境でパソコンをフリーズさせる

i

・・・

危険小

② 深刻度の高い脆弱性に限定

~深刻度の高い脆弱性に限定した収集~

深刻度が高い物に限定することで、コスト削減

リスクが残る点は、認識しておく必要あり

危険大

危険中

危険小

対象

(36)

JVN iPediaにおける深刻度の記載

http://jvndb.jvn.jp/

 CVSSに基づく、脆弱

性の技術的な危険度

(CVSS基本値)を記載

② 深刻度の高い脆弱性に限定

~深刻度の高い脆弱性に限定した収集~

(37)

「重要なセキュリティ情報」とは(抜粋)

https://www.ipa.go.jp/security/announce/about.html

③ 攻撃が発生している脆弱性を対策

(38)

重要なセキュリティ情報の活用

https://www.ipa.go.jp/security/announce/alert.html

https://www.ipa.go.jp/security/rss/alert.rdf

 重要なセキュリティ情報は、Twitter(@ICATalerts)でも確認可能

③ 攻撃が発生している脆弱性を対策

<活用ツール> IPA「重要なセキュリティ情報」

(39)

サイバーセキュリティ注意喚起サービス「icat」

IPAが発信する「重要なセキュリティ情

報」をリアルタイムに同期できます

社内のポータルサイトなどにHTMLタ

グを埋込んでご利用ください

利用時に埋め込むHTMLタグは以下

<script type="text/javascript"

src="//www.ipa.go.jp/security/announce/ICATalerts.js">

</script>

③ 攻撃が発生している脆弱性を対策

<活用ツール>サイバーセキュリティ注意喚起サービス

https://www.ipa.go.jp/security/vuln/icat.html

(40)

最後に

脆弱性対策は日々の情報収集と迅速

な対策実施が重要です。

本資料で記載したIPAサービスはすべ

て無償で利用可能です。ぜひ脆弱性

対策の促進や普及啓発などにご活用

ください。

(41)

「iパス」は、ITを利活用する

すべての社会人・学生

が備えておくべき

ITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター

上峰亜衣(うえみねあい)

【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html

Updating...

参照

Updating...

関連した話題 :