IoTセキュリティに関する標準化の動向 ー国内外でガイドラインラッシュ！ー

IoTセキュリティの動向と対策を考える

～CCDS製品分野別ガイドラインと共通ガイドラインから～

一般社団法人

重要生活機器連携セキュリティ協議会

Connected Consumer Device Security Council （CCDS）

代表理事 荻野 司

CCDSのご紹介

• 名称：一般社団法人 重要生活機器連携セキュリティ協議会

– 英名：Connected Consumer Device Security council (CCDS)

• 設立：2014年10月6日

• 会長：徳田英幸（情報通信研究機構 理事長、慶應大学 教授）

• 代表理事：荻野 司（京都大学 特任教授）

• 専務理事・事務局長：伊藤 公祐（ゼロワン研究所）

• 理事：後藤厚宏（情報セキュリティ大学院大学 教授、SIP：PD）

長谷川勝敏（イーソル㈱ 代表取締役社長）

服部博行（株式会社ヴィッツ 代表取締役社長）

• 会員数：161

（正会員以上：44、一般会員：88、学術系：16、協賛:13）

• 主な事業：

1. 生活機器の各分野におけるセキュリティに関する

国内外の動向調査

、内外諸団

体との交流・協力

2. 生活機器の安全と安心を両立する

セキュリティ技術の開発

3. セキュリティ設計プロセスの開発

や

検証方法のガイドラインの開発、策定

およ

び

国際標準化の推進

4. 生活機器の

検証環境の整備・運用管理

及び検証事業、セキュリティに関する

人

材育成

や

広報・普及啓発活動

等

CCDSの実施体制

CCDS 研究開発センター

審査委員会

生活機器 セキュリティ ガイドラインWG 生活機器 セキュリティ 研究室

理事会

車載器 Sub ＷＧ 金融端末 Sub ＷＧ 決済端末 Sub ＷＧ ホームGW Sub ＷＧ 幹事会

事務局

社員総会

事業推進WG CCDS 検証センター 製品分野別 検証グループ 車載器，ホーム GW，金融・決 済端末，脆弱性 検証業務基盤 ユーザビリティWG セキュリティ技術WG 個別技術WG <設置可能>

会 長：慶應義塾大学 徳田英幸教授

代表理事：荻野 司

セキュリティガイドラインの確立だけでなく、実際のセキュリティの評価・ 検証のスキー

ムまで確立しようとする、国際的にも数少ない民間主導の産学連携の協議会である。

発表者が主に参加 している活動

CCDSとは：

重要生活機器におけるセキュリティ事業の創生

一般民生機器など あらゆるモノが繋がる “モノのインターネット”

HEMS、AV家電、医療・ヘルスケア、自動車関連機器（ナビ、AV機器等）製品・サービス

AVネットワーク

医療・ヘルスケアネットワーク

ホームゲートウェイ 蓄電池・ コジェネ

HEMSネットワーク

電力会社 省エネ制御 家電・照明 EV/HV スマート メータ 太陽光 発電 HEMS 端末 医療・ヘルスケア機器 ウェラブル 機器 医療・ ヘルスケア サーバ ロボット介護

ITS＆自動車安全機能の連携

テレマティクス端末、 データレコーダ等

Newサービス

後付 車載器 車載 ECU 車車間通信 持込機器 ITS路側機 自動運転 ４K・８K コンテンツ ホーム サーバ ネットワーク家電 HEMS 関連企業 コンテンツ 提供企業 医療機関・ ヘルスケア企業 サービス提供サーバ （クラウド） 自動車メーカ ・交通管制 Convenience お 弁 当 セ ー ル

生活圏の公共エリアの

ネットワーク機器

ATM _{遠隔監視・制御}機器メーカ

オフィスエリアの

ネットワーク機器

MFP

IoT活用ー＞セキュリティリスク

サイバー空間における脅威が

モノへ

• ハッキングコンテスト

– コンシューマー製品のハッキング大会（ワークショップ

）

• 家庭用ルータ（ASUS, Zyxel 社）

• 防犯カメラ（Netgear, Forscam 社）

• 赤ちゃんモニター（Samsung 社）

• Wi-Fi対応血圧モニター（Blipcare 社）

• Wi-Fi対応体重計（Fitbit Araia 社）

• タイムカード記録装置（ZK Software 社）

• NAS（Apple社タイムカプセル）

• ガレージ開閉装置（Chamberlain 社）

• 電気錠（LockState, Hysoon 社）

• 冷蔵庫（Samsung 社）

• おもちゃ（HappyCow社

カメラ付き戦車模型（Wi-Fi接続））

• 2016年：ドローンが追加

• 2017年：電子レンジ追加

DEFCON:IoT Village：コンテスト事例(2015-2017)

あたり前になっているハッキング

DEFCON(2016):ハード解析チュートリアル

• IoTビレッジで紹介された、IoT（ハードウェア）アタックの

「いろは」とは？

0. まず筐体を開ける！（製品保証は捨てろ）

1. HWを構成するコンポーネントと

リビジョンを把握する

2. チップのデータシートを探せ

（データシートは最良の友！）

3. HW内の通信とI/Fをできる限り特定する

4. ピン出力をリバースする

5. Wire上のプロトコルを解析する

チップは何を話してるか識別する

6. I/FとアクセスするHWツールを用意する

（探す、なければ作る）

7. ボードに接続（wiring）する

8. デバイスを調査する

9. ファームウェア挙動をリバースする

10. 脆弱性を調査・探索実施する

• ⇒「箱は開けられる前提で製品開発が必要」

つながるIoTサービス ー 拡大する脆弱性

2020年における脅威の想定

AV家電ネットワーク 医療・ヘルスケアネットワーク ゲートウェイ 蓄電池・ コジェネ HEMSネットワーク 電力会社 省エネ制御 家電・照明 EV/HV スマート メータ 太陽光 発電 HEMS 端末 医療・ヘルスケア機器 ウェラブル 機器 医療・ ヘルスケア サーバ ロボット介護 ITS＆自動車安全機能の連携 テレマティクス端末、 データレコーダ等 NEWサービス 後付 車載器 車載 ECU 車車間通信 持込機器 ITS路側機 自動運転 ４K・８K コンテンツ ホーム サーバ ネットワーク家電 サービス提供サーバ （クラウド） 生活機器を遠隔から監視、 操作するサービスが増加 ＝遠隔サーバの乗っ取りに よる生活機器への攻撃も 何がつながっているか 分からない ＝脆弱な生活機器が 攻撃の入口に いたる所で生活機器と モバイルデバイスが接続 ＝モバイルデバイスが 脅威の運び役に 分野ネットワーク間の連携 ができていない ＝他分野の生活機器の 思わぬ動作が影響 多くの生活機器が サーバと通信 ＝プライベートに係る情報の 漏えい、改ざんの危険性 Convenience お 弁 当 セ ー ル ATM 生活圏の公共エリア

IoTシステム攻撃者の視点

ターゲット:

– 簡単に

大量攻撃

できそうなもの

– 制御機能

ー＞「高価値」（人命、コンテンツ、社会的影響など）

の自由う（Return on Investmentの高いもの）

狙いやすい機能：

– ファームウェアアップデート機能を狙う！

How to ：どういう仕組みで動いているか、まずは分解してみる

– 破棄した基盤・パーツから情報収集

– 攻撃手法は基本的に組込み開発者のデバッグ手法と同じ

– IoT製品の制御機能（プロトコルメッセージやプログラム・FW

アップデート）を奪える糸口を地道に探す（

リバースエンジニア

リングとか

）

– PC/インターネットサーバ、汎用I/Fのハッキング技術を流用

• USB

、Ethernet、WiFI、BlueTooth、

JTAG

、GPIO、

UART

…

「 IoTセキュリティを評価検証すべき時がきた」

～評価検証ガイドラインの策定ラッシュ！～

IoTセキュリティを取り巻く環境

増え続けるIoTのセキュリティ脅威

生活を脅かすサイバー攻撃が増加を続け

攻撃の手口や標的は多様化

Miraiボッドネットによる大規模なDDoS攻撃

世界中で感染は100万台以上

商業衛星をマルウェアでハッキング

台湾製ホームルータの脆弱性による

個人情報の漏えい

米FTCとASUSの間で訴訟に発展

国家間の懸案事項に

IoT機器へ拡大

影響範囲拡大

メーカー責任

テロへ利用を想起

何が危ないの？

何を守ればいいの？

商業利用への影響は？

規格策定状況：2013年度

＜セーフティとセキュリティの国際規格の策定状況＞

原子力 自動車 医療機器

機能安全（セーフティ）

セキュリティ

IEC 61508 「電気・電子 ・プログラマ ブル電子の 機能安全」 IEC 62443 「汎用制御 システムの セキュリティ」 IEC61513 ISO 26262 IEC 60601 プロセス産業 IEC61511 白物家電 IEC60335 産業機械類 IEC62061 基本 分野別

未策定

組織 分野別 ISO 27001 「ISMS：情報 セキュリティ マネジメント システム」 製品・部品の セキュリティ機能 ISO 15408 「セキュリティ 評価・認証」

生活機器に関する

セキュリティ評価・検証・認証

を行うための

ガイドライン・標準規格

スキームがない

CSSCが制御システムを評価・

検証・認証

IPAが認定した評価機関が

セキュリティ機能を評価・検証

JIPDECが認定した

認証機関が組織の

セキュリティ体制を認証

CSSC:技術研究組合制御システムセキュリティセンター IPA：独立行政法人情報処理推進機構 JIPDEC一般財団法人日本情報経済社会推進協会 基本 策定中 または 未策定 策定中 または 未策定 沖縄県で 取組を支援 IPA で実施

自動車、医療機器、家電などの生活機器に関してはセキュリティ規格もなく、対応に遅れ

情報処理推進機構(IPA)での組込みセキュリ

ティの取り組み

• つながる世界の開発指針をリリース

(初版:2016年3月, 第2版:2017年6月)

– IoT機器やシステムを開発するメーカーに向けて、従前の安全基準対応だけ

でなく、セキュリティ対応にも目を向けた開発を実施してもらうための、基

本的に考慮すべき事項をセキュリティガイドラインとして策定

– 主査：名古屋大学 高田教授

－ CCDS学術メンバー

– 副査：情報セキュリティ大学院大学学長 後藤教授（CCDS理事）

– CCDSガイドラインWGメンバーが策定に協力

– 成果は、IoT推進コンソーシアム IoTセキュリティの

ガイドラインIoTシステム設計・製造・管理のガイド

ラインに組み込まれる

– 実践編となる「高信頼化機能編」も 2017年6月発行済

つながる世界の開発指針の特徴

• IoT製品・システムの安全性・セキュリティに関して分野

横断的に 活用可能な国内初の開発指針

• 対象読者：

– IoT機器・システムの開発者、保守者、経営者

– IoTに関連する様々な製品分野・業界において分野横

断的に活用されることを想定

• 内容：

– 最低限検討して頂きたい安全・安心に関する事項

（ライフサイクルでの考慮点）

– 安全・安心なIoTを実現するために、IoT製品やシステ

ムの開発者が開発時に考慮すべきリスクや対策を１７

の指針として明確化

_{IPA/SECセミナー資料より} © 2017 IPA

https://www.ipa.go.jp/files/000060387.pdf

IoT機器/システムの開

発者が安全/安心の確保

のために最低限検討し

て欲しい事項を、開発

ライフサイクルに沿っ

て17の指針として整理。

大項目 指 針

方

針

つながる世界

の安全安心に

企業として取

り組む

指針1 安全安心の基本方針を策定する 指針2 安全安心のための体制・人材を見直す 指針3 内部不正やミスに備える

分

析

つながる世界

のリスクを認

識する

指針4 守るべきものを特定する 指針5 つながることによるリスクを想定する 指針6 つながりで波及するリスクを想定する 指針7 物理的なリスクを認識する

設

計

守るべきもの

を守る設計を

考える

指針8 個々でも全体でも守れる設計をする 指針9 つながる相手に迷惑をかけない設計をする 指針10 安全安心を実現する設計の整合性をとる 指針11 不特定の相手とつなげられても安全安心を確保できる設計をする 指針12 安全安心を実現する設計の検証・評価を行う

保

守

市場に出た後

も守る設計を

考える

指針13 自身がどのような状態かを把握し、記録する機能を設ける 指針14 時間が経っても安全安心を維持する機能を設ける

運

用

関係者と一緒

に守る

指針15 出荷後もIoTリスクを把握し、情報発信する 指針16 出荷後の関係事業者に守ってもらいたいことを伝える 指針17 つながることによるリスクを一般利用者に知ってもらう 17

検討して欲しい開発指針一覧

分野で異なる安心・安全レベル

安

心

・

安

全

_安

心

・

安

全

Ａ分野

機器

Ｃ分野

機器

Ｂ分野

機器

①分野毎に、必要とされる

安心・安全レベルが異なる

安

心

・

安

全

必

要

な

レ

ベ

ル

実

際

の

レ

ベ

ル

必

要

な

レ

ベ

ル

実

際

の

レ

ベ

ル

必

要

な

レ

ベ

ル

実

際

の

レ

ベ

ル

連携

連携

②連携時には低いレベル

に合わせざるを得ない

必要な安心・安全レベル

実際の安心・安全レベル

脅威分析ー＞リスク評価

ー＞対策検討ー＞実施

CCDS 分野別セキュリティガイドライｖ１、ｖ２

• 製品分野毎に対策すべき脅威が

異なる

• IPA「つながる世界の開発指針」

検討委員を中心に分野毎に策定

• 業界にセキュリティ・バイ・デ

ザインの考え方を普及

目的

対象分野（4分野）

ガイドラインの主な内容

・対象とするシステム構成

・想定されるセキュリティ上の脅威

・製品ライフサイクルの各フェーズにおける

セキュリティの取組み

（IPA「つながる世界の開発指針」

との相関）

・脅威分析・リスク評価の方法

・製品全体およびセキュリティ対策

機能の第三者セキュリティ評価

規格策定状況：2016年度

＜セーフティとセキュリティの国際規格の策定状況＞

原子力 自動車 医療機器

機能安全（セーフティ）

セキュリティ

IEC 61508 「電気・電子 ・プログラマ ブル電子の 機能安全」 IEC 62443 「汎用制御 システムの セキュリティ」 IEC 61513 ISO 26262 IEC 60601 プロセス産業 IEC 61511 白物家電 IEC 60335 産業機械類 IEC 62061 基本 分野別 組織 分野別 ISO 27001 「ISMS：情報 セキュリティ マネジメント システム」 製品・部品の セキュリティ機能 ISO 15408 「セキュリティ評価・認証」 CSSCが制御 システムを評 価・検証・認 証

JIPDECが認定した

認証機関が組織の

セキュリティ体制を認証

NISC：内閣サイバーセキュリティセンター CSSC:技術研究組合制御システムセキュリティセンター IPA：独立行政法人情報処理推進機構 JIPDEC一般財団法人日本情報経済社会推進協会 JNSA：特定非営利活動法人 日本ネットワークセキュリティ協会 基本 CCDS 「製品分野別セキュ リティガイドライン」 策定中 または 未策定 NISC 「安全なIoTシ ステムのため のセキュリティ に関する一般 的枠組」 総務省・ 経済産業省・ IoT推進コン ソーシアム 「IoTセキュリ ティガイドライ ン」 IPA 「つながる 世界の開 発指針」 JNSA 「コンシューマー向け 車載分野 IoT-GW分野 金融端末分野 決済端末分野 生活機器に 関する セキュリティ 評価・検証を 行うための ガイドライン・ 標準規格・ スキームがない IPAが認定し た評価機関 がセキュリティ 機能を評価・

IoTセキュリティガイドラインの整備状況

CCDS 車載器編 CCDS IoT-GW編 CCDS ATM編 CCDS オープン POS編 IoTセキュリティ ガイドライン IoT推進コンソ 総務省 経済産業省

IoTサービス

提供者

IoT基盤・

ネットワーク

提供者

IoTシステム

ベンダー

IoTセキュ

リティ

一般的枠組

NISC

製品分野横断で活用できる 安全・安心なIoTシステムの開発指針 （チェックリスト） 製品分野ごとの視点での 脅威やリスクポイントの具体化 設計段階からのセキュリティ検討 ポイントの整理 産業 展開 協力 IoTサービス関係者全レイヤに向けた セキュリティガイドライン

サイバー

セキュリティ

戦略

NISC

IoTシステムの設計・構築・運用にかかる 基本的な一般要求事項の明確化 日本の考え方の 国際展開 セキュリティ・バイ・デザイン 思想によるIoTシステム開発の 提唱 検 討 協 力 参 照 提案 参照 つながる 世界の 開発指針

IoT関連の主なセキュリティガイドライン

時間

抽象度

指

針

対

策

・

機

能

CSA（米） Security Guidance for Early Adapters of the Internet of Things （2015年4月） IIC（米） Industrial Internet Security Framework （2016年9月） JNSA コンシューマ向け IoTセキュリティ ガイド （2016年8月）

IoT推進コンソーシアム

IoTセキュリティガイドライン （2016年7月）

DHS（米）

STRATEGIC PRINCIPLES FOR SECURING THE INTERNET OF THINGS （2016年11月）

CCDS

製品分野別ガイドライン （2016年6月） IPA/ISEC IoT開発における セキュリティ設計の 手引き （2016年5月）

IPA/SEC

つながる世界の 開発指針 （2016年3月） GSMA（米） IoT Security Guidelines （2016年2月） 出典：CCDS沖縄セキュリティウィークパネルIPA田丸氏資料を改変

CCDS

IoTセキュリティ評価検証ガ イドライン（2017年6月）

ガイドラインから国際標準化

• ISO/IEC JTC1 SC27/WG4およびSC41 国内委員会

が始動

– ISO/IEC JTC1 SC27/WG4：

• 日本の

IoTセキュリティガイドラインをベース

に、米国CSAなどか

らの提案を加味した目次案を検討中。10月下旬のベルリン会合に

てNew Work Item化の予定。

– ISO/IEC JTC1 SC41：

• IoTセキュリティガイドラインレベルの議論と、すでに発行されて

いるIoTリファレンスアーキテクチャ（ISO/IEC 30141）の間を埋

める文書

「IoTを安全にするための一般的要求事項」

として明文化

することを検討中。

IoTシステムの高信頼化のための設計要求事項

を導出する考え方とする方向

。

• ITU-T SG17

– Q6：

IoTセキュアアップデートスキーム提案をNICT中心に提案

中。

CCDS 分野別ガイドラインIoT-GW編をNICT経由で紹介。

– Q13:

ITS専門の新しいWGが発足。

CCDS分野別ガイドライン

車載器編を紹介。

米国の動向

「IoT Cybersecurity Act 2017法案(USA)Aug.2017)」

IoT製品の政府調達条件：メーカー側に既存(IoT)製品のソフトウェアアップ

デートとその証明を要請。修正がきかないハードコードのパスワードを用いるこ

とを禁ずる。

IoTデバイスを政府へ販売するベンダー側にも及ぶ。販売時に脆弱性がないこと

を約束、問題発見時には、パッチを発行して更新する責任を負う。

主な評価要件：

既知の脆弱性はすべて排除しておくこと

アップデートは、適切に認証され、信用できるものとすること

通信・暗号・機器などとの相互接続には、業界標準技術を使用すること

その他の用件：

通知要件、アップデート要件、修復要件、サービス継続要件などあり。

例外とされること：

リソースの乏しいデバイスの例外要件

上記要件と同様の要件である3rdパーティセキュリティ標準の証跡でも

よい

組織のセキュリティ評価基準があればそれでもよい

考察

法案の段階だが、米国民間企業も調達要件として参考にする可能性あり

IoTセキュリティ認証（検定？）マークへの布石

IoT機器のライフサイクルとリスクアセスメント

モジュール開発 メーカー 企画・設計 開発 評価・検証 保守 （運用） 廃棄 IoT機器開発 メーカー 企画・設計 開発 評価・検証 運用・保守 廃棄 代理店・SI ・サービス業者 企画・設計

開発・導入

評価・検証

運用・保守 廃棄 ユーザ （個人・組織） 企画・設計 導入 評価・検証 運用・保守 廃棄 流 通 の 時 系 列

※米国司法省 Systems Development Life Cycle (SDLC) Life-Cycle Phases (https://www.justice.gov/archive/jmd/irm/lifecycle/ch1.htm) を参考に改変

開発・導入の時系列 Webサービスなどの運用含む Webサービスなどの運用含む 各フェーズは、該当しない項目や繰り返しとなる項目もある

コモンクライテリア、つながる世界の開発指針等

ISMS、FAIR、OCTAVE等

スマートハウス環境

ネットワークカメラ

ホームゲートウェイ

エアコン

照明器具

音声制御アシスタント

（Raspberry Pi+Amazon Alexa）

ボタン制御

（自作IoT機器）

エアコンや照明器具

の操作連携

ホームネットワーク

えさやり

システム

想定攻撃経路

ネットワーク

カメラ

エアコン

照明器具

ボタン制御

えさやり

システム

インターネット

Wi-Fi

AIスピーカー

ホームゲートウェイ

ご清聴ありがとう御座いました

CCDS 荻野 司

[email protected]