IoT 時代 : 様々なモノやサービスがつながる世界 2015/12/07 IPA SEC セミナー 1 電力会社 EV/HV HEMS ネットワーク 蓄電池 コジェネ スマートメータ 自動運転 HEMS 端末 車車間通信 太陽光発電 省エネ制御家電 照明 ITS 路側機 ITS& 自動車安全機能の

IoT時代のセーフティ・セキュリティ確保に

向けた課題と取組み

2015年12月7日

情報セキュリティ大学院大学

医療・ヘルスケアネットワーク ホームゲートウェイ 蓄電池・ コジェネ HEMSネットワーク 電力会社 省エネ制御 家電・照明 EV/HV スマート メータ 太陽光 発電 HEMS 端末 医療・ヘルスケア機器 ウェラブル 機器 医療・ ヘルスケア サーバ ロボット介護 ITS＆自動車安全機能の連携 テレマティクス端末、 データレコーダ等 Newサービス 後付 車載器 車載 ECU 車車間通信 持込機器 ITS路側機 自動運転 ４K・８K コンテンツ ホーム サーバ ネットワーク家電 HEMS 関連企業 コンテンツ 提供企業 医療機関・ ヘルスケア企業 サービス提供サーバ （クラウド） 自動車メーカ ・交通管制 Convenience お 弁 当 セ ー ル 生活圏の公共エリアの ネットワーク機器 ATM _{遠隔監視・制御}機器メーカ オフィスエリアの ネットワーク機器 MFP 出典：一般社団法人重要生活機器連携セキュリティ協議会 提言 AVネットワーク

IoT時代：様々なモノやサービスがつなが

る世界

2015/12/07 IPA SECセミナー 1

IoT時代におけるサービスの変化

インターネット 環境・構造情報管理 ・分析センタ 社会状況データ管理 ・分析センタ DB 環境・構造情報をセンシングし、 可視化情報や将来予測等のアセ スメント情報を提供 個人の健康状態や屋内外の環境 因子をセンシングし、ヘルスケア 情報を提供 社会状況をセンシングし、渋滞回 避等の次のアクションのための意 思決定支援情報を提供 20:00 22:00 CO2 パーソナル情報管理 ・分析センタ 環境・構造情報センシング パーソナル情報センシング 社会状況センシング 混雑度測定 渋滞予測 橋梁健全性 体内環境 室内環境 移動履歴 地滑り監視 氾濫監視 水質等環境監視

個人から地球環境まで、あらゆるところにセンシングデバイスが

遍在する社会が到来。

街頭防犯カメラ

ＩｏＴの接続デバイスは2020年に250億

（出典：Gartner公表データより作成） ＩｏＴデバイスの半数以上は、消費者関係（consumer） 0 5,000 10,000 15,000 20,000 25,000 30,000 2013 2014 2015 2016 2017 2018 2019 2020

Automotive Consumer Generic Business Vertical Business

Connected Things（百万） Total：250億 32億 52億 132億 35億 2015/12/07 IPA SECセミナー 3

IoTの特性と課題

Management

Mobility

Fixed

Movable

プラント 制御システム 通信・放送・電力・ ガス等インフラ スマート家電 ウェアラブル端末 鉄道等 自動車等 人工 衛星等 PAD型 POS端末 オフィス 機器 医療 機器等 スマート ハウス

Strong

（Single）

Weak

（Numerous） 環境センサー等 スマホ H27年度 新規SIP 「重要インフラ等 におけるサイバーセキュリティの確保」 _{本日の主テーマ}

• 大規模

• 社会的インパクト

が甚大

• 設備の寿命

（減価償 却期間）

が長い

事例１：無線で心臓ペースメーカーの停止

可能

（出展： http://www.vice.com/read/i-worked-out-how-to-remotely-weaponise-a-pacemaker ） 米国で、心臓ペースメーカーへの伝送装置を利用して10m弱の距離から致死に 至る電流を流したり、プログラムを書き換える実験について公表された。 医療品や医療機器は、複数の法律により品質や安全性の確保が進められている が、セキュリティに関しては世界的に規格や法制度が十分ではないため、メー カーが意図的な攻撃を考慮していなかったための脆弱性があった。 特に人命に関わる機器やシステムについては、想定しない者が「つなげてしま う」のに対処するため、開発時から攻撃者の立場に立って脅威を見つけ出して 対応することが必要がある。 攻撃用ソフトウェア 不正な命令 や設定変更 電流を流したり、 停止させる攻撃 攻撃者

事例２：複合機のセキュリティの脆弱性

（出展：読売新聞サイト） 大学などに設置されたコピー・プリンタ複合機が、外部からインターネット経由でア クセスして複合機に蓄積されていた試験答案や住民票、免許証などの個人情報が参照 できる状態になっていた。 ファイアウォールなしにもかかわらず、パスワードを設定していなかったり、簡単に 入手できる初期設定をそのまま使用していたりしているケースだった。 メーカーや設置担当サービスマンは、セキュリティ知識がないユーザーや、セキュリ ティ対応が不十分な利用環境を想定し、説明の強化をする必要がある。 Ａ大学 Ｂ大学 Ｃ大学 インターネット パスワードを 設定・変更 パスワードが未設定、または インターネットでダウンロード可能な マニュアルに記載された初期値 容 易 に 閲 覧 可 能 ファイアウォールあり 2015/12/07 IPA SECセミナー 7

2012年5月 •Ｌ社がファームウェア更新をリリース •ユーザへの脆弱性情報提供開始 2013年8月 •脆弱性のあるホームルータは1万台以上残る •ISPがホームルータの所有者に連絡しようとしたが「通信の秘密の侵害」 の懸念 2013年9月 •MICが指針を明確化（緩和？） •いつくかのISPが利用者に連絡開始 2014年初め •脆弱性のあるホームルータが40%減少 （現在も対策継続中）

先行事例：ホームルータのセキュリティ問題

9 2015/12/07 IPA SECセミナー

「大量」×「管理者不在」のリスク

 脆弱性のあるホームルータ⇒IoT課題の先行例

 数年前から世界で数100万台、数千万台の実例

 攻撃の踏み台⇒大規模DDoSの事例

 Telecom-ISACが中心となって対策⇒

多大な時間と手間

 IoTのセキュリティ課題は「大量」＆「管理者不在」

（by 水越）

 大量

：製造者は把握しきれない ⇒散在してしまう

 管理者不在

：所有者は機器の管理やネット接続に無関心

 ＩｏＴ時代でのリスクを「物（生活機器）」の設計段階から考

慮！ （事後対応は大きな社会的負担増をもたらす）

IoTの特性と課題

2015/12/07 IPA SECセミナー 11

Management

Mobility

Fixed

Movable

プラント 制御システム 通信・放送・電力・ ガス等インフラ スマート家電 ウェアラブル端末 鉄道等 自動車等 人工 衛星等 PAD型 POS端末 オフィス 機器 医療 機器等 スマート ハウス

Strong

（Single）

Weak

（Numerous） 環境センサー等 スマホ 「大量」×「管理 者不在」のリスク 高い「安全性」が 求められる領域

つないでも

大丈夫？

設計時から事

前の準備を！

接続先は信頼できる？

（信頼性に関する設計要件は自分が求めているものと合致しているか？） 通信や エンターテイメントに 利用する信頼性の 設計要件 自動運転の車 スマートフォン 人の命を預かる 信頼性の設計要件

設計要件が異なる際に想定されるリスク

• 持ち主以外からの接続による車の盗難

• 車を制御・操作中のスマホのハングアップにより、

制御・操作が効かなくなり、重大な事故が発生

• 脆弱性がある側の製品や機器への不正アクセスに

より、相手側の製品や機器に保存されている情報

が盗難

接続しても

問題がないかの

確認が必要

IoT時代の 安全と安心への 危惧 等

接続先の信頼性をどう確認するのか？

（１）セーフティ・セキュリティ設計の確実な実施

【IoT時代の安全・安心への危惧を払拭するには】

製品やサービスをつなげるための開発を

行う際に互いの信頼性を確認することが重要

セーフティ設計 セキュリティ設計 セーフティ、セキュリティは 車の両輪

その把握のためには、双方の

（２）その設計実施状況の見える化

が必要不可欠に

特にセーフティ設計・セキュリティ設計

2015/12/07 IPA SECセミナー 13

「セーフティ設計」「セキュリティ設計」

「見える化」

◆上流の段階でリスク分析を実施し、リスクを低減した設計を行う

◆設計の品質をエビデンス（証拠）に基づき第三者でも容易に理解できる 表記で論理的に説明する

サプライチェーンにおける

品質の見える化WG

セーフティ・セキュリティ設計普及と

見える化の取り組み



WG名：

サプライチェーンにおける品質の見える化WG



期間：

2014年9月～2015年５月



目的：

設計品質の見える化のためのセーフティとセキュリティ設

計の取組みとハザード・脅威事例を含めて分かり易く解説

するガイドブックの作成とそのプロモーション



メンバー：

セーフティ or セキュリティの有識者



主査：

情報セキュリティ大学院大学 後藤教授



成果物：

ガイドブック

氏名 所属 Safety Securit_y 提供利用 補足 主査 後藤 厚宏 情報セキュリティ_{大学院大学} 〇 提供 委員 田口 研治 認証工学WG、_産総研 〇 〇 提供 アシュアランスケース,GSN専門家 〃 櫛引 豪 JQA 〇 利用 認証機関 〃 金田 光範 JASA、産技研 〇 提供 機能安全 〃 小林 展英 デンソークリエイト 〇 利用 D-Case適用企業,想定利用者(自動車) 〃 梅田 浩貴 JAXA 〇 提供_利用 GSN適用団体,想定利用者(IV&V) 〃 林 彦博 パナソニック 〇 利用 セキュリティ、想定利用者 〃 麻薙 年男 東芝情報システム 〇 利用 想定利用者(医療、エネルギー) 〃 森川 聡久 ヴィッツ 〇 〇 利用 想定利用者(組み込み系) 〃 奥原 雅之 富士通 〇 利用 想定利用者(エンタープライズ系) IPA 中野 学 IPAセキュリティ_センター 〇 提供 オブザーバ

IPA 鈴木 基史 IPA SEC 事務局 IPA 西尾 桂子 IPA SEC 事務局 IPA 宮原 真次 IPA SEC 事務局

（2015年５月時点）

サプライチェーンにおける品質の

見える化WG委員

WGで見えてきた課題

 標準的なセキュリティ設計手法（分析・対策）が確立していない

（公開されている手法はあるが、独自手法が主流）

 セーフティ設計とセキュリティ設計を統合したプロセスは確立

されていない

（同時認証に対応するＳａｆＳｅｃ等はあるが…）

 業界やセーフティとセキュリティでも用語の意味・使い方が違う

本ガイドブックの構成と対象読者

現状と背景(1章) 事故事例(2章) リスク対応した開発プロセス (3章) セーフティ設計 (4章) セキュリティ設計(5章) 設計品質の見える化(6章) 経営層にも 読んで頂き たい内容 ソフトウエア 開発者向けの 入門レベルの 内容 _{SEC BOOKS} 書籍（有料） WEB公開 小冊子（無料） 主な対象読者 リーダー 組み込み系の ソフトウェア技術者 「セーフティ設計・セキュリティ設計」は、製品開 発の根幹に係り、つながる世界では更に重要になる。 その重要性を認識してもらうために、本ガイドブッ クの読者は組込み系のソフトウェア技術者や、製品 開発の責任を担う経営層を主な対象とする。 ← 製品開発責任者 （経営層） ←実装責任者 2015/12/07 IPA SECセミナー 19

IPA/SECの「つながる世界」に関する取組

み

品質ガイド

つながる世界の開発指針検討WG

つながる世界の安全・安心を確認するために、各製品の開発 時に考慮すべきセーフティ要件、セキュリティ要件及び信頼 性要件を検討し、開発指針として策定 セーフティ＆セキュ リティ設計入門 つながる世界の開 発指針 IPA つながる世界の品質理解 の共通化 コンシューマデバイスの 信頼性確保に向けた取組み つながる世界のセーフティ 設計・セキュリティ設計の 薦めと見える化 つながる対象であるコン シューマデバイスの開発 方法論の標準化 さらに下記を実施中 ISO/IEC 25000シリーズ 2015年６月発行 _{2015年10月発行} 2013年9月公開

戦略的イノベーション創造プログラム（ＳＩＰ）

 社会的に不可欠で、日本の経済・産業競争力にとって重要

な課題を総合科学技術・イノベーション会議が選定。

 府省・分野横断的な取組み。

 基礎研究から実用化・事業化までを見据えて一気通貫で研

究開発を推進。規制・制度、特区、政府調達なども活用。

 企業が研究成果を戦略的に活用しやすい知財システム

 H26年度より１０プログラムが既にスタート

革新的燃焼技術

革新的構造材料

次世代海洋資源調査技術

インフ

ラ維持管理・更新・マネジメント技術

次世代農林水産業創造技術

次

世代パワーエレクトロニクス

エネルギーキャリア（水素社会）

自動走

行（自動運転）システム

レジリエントな防災・減災機能の強化

革新的

設計生産技術

H27年度 新規 重要インフラ等におけるサイバーセキュリティの確保

2015/12/07 IPA SECセミナー 23

重要インフラ等のサイバーセキュリティ確保

重要インフラ等（ex 通信・放送、エネルギー、交通 他） 制御ネットワーク サイバー攻撃 （遠隔保守時） インフラ事業者の 業務用ネットワーク 外部ネットワーク （インターネット等） サイバー攻撃 （内部犯行, 侵入者） IoTシステム 事業者オフィス サイバー攻撃 発生国 インシデント 被害 電力 ブラジル 製鉄所内発電所の制御シ ステムのワーム感染 発電所の数ヶ月停止 ガス 米国 制御システムのマルウェ ア感染 制御システムへアクセスする 資格情報等の漏えい 鉄道 米国 内部システムのマルウェ ア蔓延 鉄道運行の6時間停止 石油 サ ウ ジ ア 制御システムのPC 3万台 内部ネットワークの1週間以 重要インフラの 制御・監視

SIP課題「重要インフラ等における

サイバーセキュリティの確保」の目標

 技術的目標

 重要インフラのセキュリティ確保のために

システム

構築時

に悪意のある機能を

持ち込ませない

システム

運用時

に悪意のある動作を

いち早く発見す

る

 社会経済的の目標

 勘所となる

セキュリティ製品・技術の

国内自給を確保

する

 将来のIoT (Internet of Things)普及に向けたセキュリティの先行的

（proactive)取組

 セキュリティ技術を

梃（差異化）

にして重要インフラ産業の

競争力強

化

とインフラシステムの輸出増

 世界で

最も安全

な社会基盤の確立し、2020年オリンピック・パラリン

ピック東京大会の

安心安全な開催

2015/12/07 IPA SECセミナー 25

「信頼の基点」 を機器に 作り込み 不正機能 検出 ソフト ウェア IoTシステム 「信頼」 運用時にも セキュリティ確認 動作監視・解析 「信頼」できる機器での 分析により迅速対処 「信頼」 確認後になりすまされる可能性 確認後に侵害される可能性 安全に システム 更新 安全に システム 防御

重要インフラ等

（ex 通信・放送、エネルギー、交通 他） 新旧設備が混在 強弱機器が混在 IoT機器の動 作監視・解析 システム起動時に セキュリティを確認 制御ネットワーク

機器の製造

サイバーセキュリティ確保のコア技術

SIP計画の全体像

東京オリンピックを

支える主要な

重要インフラ向け

プラットフォーム

SIP連携 ：自動走行システム ウェアラブル機器等の セキュリティ技術開発へ 国内の重要イン フラへ広く展開 政府系システム へ展開

本課題での取組

SIP連携 •レジリエントな防災 •インフラ維持管理 (b) 社会実装向け共通プ ラットフォームの実現と セキュリティ人材育成 (a) 制御・通信機器と 制御ネットワークの セキュリティ対策技術 (a1)制御・通信機器のセ キュリティ確認技術 (a4) IoT向けセキュリティ 確認技術 (b2) 情報共有プラット フォーム技術 (b4) セキュリティ人材育成 (b1) 認証制度の設計 (a2)制御・通信機器およ び制御ネットワークの 動作監視・解析技術

オリンピック

設備で実証

コア技術

_{社会実装技術}

社会実装

（当初）

社会実装

（将来展開） (a3)制御・通信機器およ びシステムの防御技術 (b3) 評価検証プラット フォーム技術 2015/12/07 IPA SECセミナー 27