独立行政法人情報処理推進機構(IPA)
技術本部ソフトウェア高信頼化センター(SEC)
研究員 宮原 真次
IoT時代のリスクの認識と安全・安心の
確保に向けた取組み
~つながる世界の開発指針のご紹介~
JASA IoT技術研究会
2016年4月22日
2
IoT時代:様々なモノやサービスがつながる世界
医療・ヘルスケアネットワーク ホームゲートウェイ 蓄電池・ コジェネ HEMSネットワーク 電力会社 省エネ制御 家電・照明 EV/HV スマート メータ 太陽光 発電 HEMS 端末 医療・ヘルスケア機器 ウェラブル 機器 医療・ ヘルスケア サーバ ロボット介護 ITS&自動車安全機能の連携 テレマティクス端末、 データレコーダ等 Newサービス 後付 車載器 車載 ECU 車車間通信 持込機器 ITS路側機 自動運転 4K・8K コンテンツ ホーム サーバ ネットワーク家電 HEMS 関連企業 コンテンツ 提供企業 医療機関・ ヘルスケア企業 サービス提供サーバ (クラウド) 自動車メーカ ・交通管制 Convenience お 弁 当 セ ー ル 生活圏の公共エリアの ネットワーク機器 ATM 遠隔監視・制御機器メーカ オフィスエリアの ネットワーク機器 MFP 出典:一般社団法人重要生活機器連携セキュリティ協議会 提言 AVネットワークCPS社会:大量のセンサーデータを分析・活用する世界
インターネット 環境・構造情報管理 ・分析センタ 社会状況データ管理 ・分析センタ DB 環境・構造情報をセンシングし、可視化情報や 将来予測等のアセスメント情報を提供 個人の健康状態や屋内外の環境因子をセンシ ングし、ヘルスケア情報を提供 社会状況をセンシングし、渋滞回避等の次のア クションのための意思決定支援情報を提供 20:00 22:00 CO2 パーソナル情報管理 ・分析センタ 環境・構造情報センシング パーソナル情報センシング 社会状況センシング 混雑度測定 渋滞予測 橋梁健全性 体内環境 室内環境 移動履歴 地滑り監視 氾濫監視 水質等環境監視個人から地球環境まで、あらゆるところにセンシングデバイスが遍在する
社会が到来。
街頭防犯カメラ4
事例1)JR東日本「スマートメンテナンス」
センサ・ビックデータを活用した保守コストの大幅削減
~ 時間計画保全から状況監視保全へ ~
事例2)コマツ KOMTRAX
コマツ建機販売は、世界中の建設機械の場所や稼働状況を遠隔から
確認できるサービスを提供(1999年から本格販売)。IoTの先駆け事例。
6
海外の動き:独Industry4.0と米IIC(
Industrial Internet Consortium
)
米
イ
ン
ダ
ス
ト
リ
ア
ル
イ
ン
タ
ー
ネ
ッ
ト
独
イ
ン
ダ
ス
ト
リ
ー
4
.
0
出典:経済産業省製造産業局プレゼン資料より動き始めた日本の「CPSによるデータ駆動型社会」
出典:平成27年5月 産業構造審議会 商務流通情報分科会 情報経済小委員会 中間とりまとめ
8
IoT推進体制:IoT推進コンソーシアム設立(2015.10)
つながる世界に向けたSECの取組み
品質ガイドつながる世界の開発指針検討WG(2015年度活動)
つながる世界の安全・安心を確保するために、各製品の開発時に
考慮すべきセーフティ要件、セキュリティ要件及び信頼性要件を
検討し、開発指針として策定(2016年3月24日公開)
セーフティ&セ キュリティ設計入門 つながる世界の品質理解の 共通化 コンシューマデバイスの 信頼性確保に向けた取組み つながる世界のセーフティ 設計・セキュリティ設計の 薦めと見える化 つながる対象であるコン シューマデバイスの開発方 法論の標準化さらに下記を実施
ISO/IEC 25000シリーズ 2015年6月発行 2015年10月発行 2013年9月公開 2015年3月 標準規格として認定 活動1 活動2 活動3 活動410
つながる世界では様々な課題が存在
異なる分野の
サービスがつながる
サービス企業やユーザが
モノをつなげられる
データを集めたり
モノを制御できる
様々なモノがつながる
1つの製品の不具合
による影響が拡大
相手の信頼性レベル
が分からない(不安)
プライバシーは大丈夫?
データは本当に正しい?
メーカが想像もしない
つなぎ方、使い方も
つながる世界では、製品供給者が
想定しない、把握できない課題
が発生
つながる世界のリスクを認識し、安全・安心への対策が急務!
つながる世界のリスク(事例1)
知らないうちに 「つな がっ てしまう 」
ロシアで、中国製アイロンの中に近隣200m以内の無線LANにアクセスし、
ウイルスを撒き散らすチップが埋め込まれていることが発見された。
無線LAN
(認証なし)
無線LAN
(認証あり)
②無線LAN上
のPCに感染
①200m以内の認証のない無線LAN
にアクセスし、マルウェアをまき散らす
鍵のない無線
LANがあるから
使っちゃおう
出典:一般社団法人 重要生活機器連携セキュリティ協議会「生活機器の脅威事例集」12
つながる世界のリスク(事例2)
産業制御システム
制御装置(PLC)
工場内設備
工場内ネットワーク
①ネットワークから隔離されたシステムに
USBメモリや持ち込みPC経由でマルウェアが感染
②不正な命令で
設備を破壊
「つながらない」つもりなのに「つながってしまう」
外
部
に
対
し
て
ク
ロ
ー
ズ
な
つ
も
り
が
・
・
・
出典:一般社団法人 重要生活機器連携セキュリティ協議会「生活機器の脅威事例集」ウイルスで工場設備が停止
blackhatで発表があった自動車の攻撃研究
つながる世界のリスク(事例3)
出典:一般社団法人 重要生活機器連携セキュリティ協議会(CCDS)
米国blackhat2015で
発表があった自動車の
攻撃研究事例
スマホから不正に車載
器に進入し、ジープのハ
ンドルやエンジンを不正
操作した。
出典:https://blog.kaspersky.co.jp14
つながる世界の開発指針の狙い
想定されるリスク
• 車を制御・操作中のスマホのハングアップにより、
制御・操作が効かなくなり、重大な事故が発生
• 脆弱性がある側の機器への不正アクセスにより、
相手側の機器に保存されている情報が盗難
自動運転の車 スマートフォン人の命を預かる
信頼性の設計要件
通信や
エンターテイメントに
利用する信頼性の
設計要件
接続しても
問題がないかの
確認が必要
IoT時代の安全
と安心への危惧
等
つながる事を想定した安全・安心に向けた設計が重要に!
例)
つながる世界の開発指針検討WG
役割
委員氏名
所属先名
主査
高田 広章
名古屋大学
副主査
後藤 厚宏
情報セキュリティ大学院大学
委員
飯島 雅人
株式会社ミサワホーム総合研究所
委員
緒方 日佐男
日立オムロンターミナルソリューションズ株式会社
委員
荻野 司
一般社団法人 重要生活機器連携セキュリティ協議会
委員
奥原 雅之
富士通株式会社
委員
梶本 一夫
パナソニック株式会社
委員
木村 利明
一般財団法人 機械振興協会 技術研究所
委員
高橋 裕一
株式会社日立製作所 情報・通信システム社
委員
長谷川 勝敏
一般社団法人組込みイノベーション協議会
委員
早川 浩史
株式会社デンソー
委員
松並 勝
一般社団法人日本スマートフォンセキュリティ協会
委員
三上 清一
株式会社JVCケンウッド
産業界や学会の有識者で構成したWGをH27年8月に立ち上げ
IoT製品・システムの開発時に考慮すべき、リスクや対策を検討
つながる世界の開発指針検討WG委員一覧
16
つながる世界の開発指針の特徴
安全・安心なIoTを実現するために、IoT製品やシ
ステムの開発者が開発時に考慮すべき
リスクや
対策を17の指針として明確化
IoTに関連する様々な製品分野・業界において
分野横断的に活用されることを想定
IoT製品・システムの安全性・セキュリティに関し
て分野横断的に活用可能な
国内初の開発指針
開発指針でのIoTの捉え方
IoT
IoTがつながったIoT(System of Systems)
IoT
IoT
IoT
モノがつながったIoT
中継
ノード
サーバ
モノ
1.単独でも有用
4.つながることで
新しい目的や
機能を実現
3.完成形ではなく
継続的に進化
2.つながっても
独立に管理可能
5.地理的に分散し
情報を交換
IoT
あらゆる「
モノ
」がネットワークにつながり、
新しい価値
を創生
さらに 、
IoT同士
がつながることで、
新しい価値
を創生
ただし、
つながりにより拡大するリスク
も発生
18
つながる世界のリスクの特徴(1/2)
想定しないつながり
が発生する
管理されていないモノ
もつながる
つながる世界のリスクの特徴(2/2)
身体や財産への危害
にもつながる、危害がつながりにより
波及
する
問題が発生しても
ユーザにはわかりにくい
財産
現金
身体や生命
無線経由での
不正アクセス
設定ミスによる
個人情報漏えい
ウイルス感染
20
開発指針策定にむけたリスクの分析方針
• IoTにおいて「守るべきもの」、「つながりのパターン」を整理
• 「IoTならでは」のリスクを想定
開発指針の作成方針(1)
本来機能
(サーバ、GW、 モノ等の機能)情報
IoT機能
(通信、連携、集約等)その他
個人情報、決済情報、
センサーデータなど
IoTアプリ、通信機能、
セキュリティ対策のための
機能など
要求に応じて
利用可能であること
機器やシステム本来の機能、
セーフティ対策のための
機能など
自動販売機内の商品、
ATM内の現金、
本体や部品など
守るべきものの整理
開発指針の作成方針(2)
開発指針の記述レベルに関する方針
• 各業界や企業個別のものではなく、分野横断的に活用されることを想
定し、方向性を提示 → 各業界での詳細化を期待
企業
としての
取組み
業界
としての
取組み
業界横断
的な
取組み
IoTの
安全安心
開
発
指
針
方
向
性
を
提
示
ATM22
つながる世界の開発指針( 17個)
◆つながる世界の開発指針の内容
目次 第一章 つながる世界と開発指針の目的 第二章 開発指針の対象 第三章 つながる世界のリスク想定 第四章 つながる世界の開発指針(17指針) 第五章 今後必要となる対策技術例 ※指針は、ポイント、解説、対策例を記述 ※本開発指針は、2016年3月24日に公開 日経産業新聞に掲載(2016.3.25)IoT機器・システム
の開発者、保守者、
経営者に最低限
検討して頂きたい
安全・安心に関す
る事項
大項目 指針 方 針 つながる世界の安 全安心に企業とし て取り組む 指針1 安全安心の基本方針を策定する 指針2 安全安心のための体制・人材を見直す 指針3 内部不正やミスに備える 分 析 つながる世界のリ スクを認識する 指針4 守るべきものを特定する 指針5 つながることによるリスクを想定する 指針6 つながりで波及するリスクを想定する 指針7 物理的なリスクを認識する 設 計 守るべきものを守 る設計を考える 指針8 個々でも全体でも守れる設計をする 指針9 つながる相手に迷惑をかけない設計をする 指針10 安全安心を実現する設計の整合性をとる 指針11 不特定の相手とつなげられても安全安心を確 保できる設計をする 指針12 安全安心を実現する設計の検証・評価を行う 保 守 市場に出た後も守 る設計を考える 指針13 自身がどのような状態かを把握し、記録する 機能を設ける 指針14 時間が経っても安全安心を維持する機能を設 ける 運 用 関係者と一緒に守 る 指針15 出荷後もIoTリスクを把握し、情報発信する 指針16 出荷後の関係事業者に守ってもらいたいこと を伝える 指針17 つながることによるリスクを一般利用者に 知ってもらう開発指針の具体的な内容の例
指針6 つながりで波及するリスクを想定する
①セキュリティ上の脅威や機器の故
障の影響が、他の機器とつながるこ
とにより波及するリスクを想定する。
②特に、安全安心対策のレベルが低
い機器やシステムがつながると、影
響が波及するリスクが高まることを
想定する。
ポイント
ポイント
指針
24
開発企業における開発指針の使い方
各指針の
ポイントは必ず検討すべき内容
開発指針
対策の実施は当事者の判断
とする。実施
する場合は各指針の対策例が参考となる
・IoT製品やシステムの開発時の
チェック
リストとして利用
する。
・指針で記述している事項は、検討時に
企業や団体、業界の
実情に合わせてカ
スタマイズ
して利用する。
・内部での開発のみならず
受発注の要件
確認
にも活用する。
・チェック結果を
取組みのエビデンス
と
して活用する
。 開発指針の利活用方針
開発指針の利活用方法
つながる世界の開発指針に関わる実証実験
◆目的
開発指針のリスク対応策として考えられる技術の中で、まだ、未確立な以下の技術
に関して、実装の可能性を実証する。(FA分野での実験)
・障害の波及防止の対策技術 【指針9に相当】
・相互接続時の信頼性確認技術 【指針11に相当】
◆期間:2015年12月7日~2017年3月31日 (報告書は、2016年4月末公開予定)
◆体制
・IPA:実証実験の仕様決定、評価と報告書作成
・ORiN協議会:ORiNソフトウェアへの実験機能の追加
・機械振興協会:実験環境の提供(技術研究所(東久留米))
26
