IoTセキュリティ概観 (供養)
- 1. IoT cyber security overview 供養 @trmr105
- 2. 本スライドの趣旨 ´ 9⽉に⾏った下記3セミナーの内容の供養です。 ´ 第6回 IoTセキュリティフォーラム 2021「IoTに対する脅威モデリングとペネトレーショ ンテスト」 ´ デロイトトーマツ主催 「潮流の変化におけるセキュリティ・リスク管理への取り組み」 ´ BSI主催「IoTセキュリティのあるべき姿とその第⼀歩「IoTペンテスト」のススメ」 ´ 上記3セミナーの中から公開できそうな部分を抽出して整理したもの ´ 供養 is 何︖ ´ 成果物として出⼒しきれてないんだけど、このまま置いとくのも可哀想だし ´ 本当は各国の動向とか、評価観点の整理とか、実機による実例とか書くのが良さそう ´ 燃やして灰にして、どこか興味がある⼈に⾶んでいけばいいな、という想い
- 3. ⾃⼰紹介 ´ 寺村 亮⼀ (@trmr105) ´ 今の所属 ´ とあるセキュリティベンチャーの執⾏役員 兼 部⻑ ´ 最近の仕事 ´ IoT / ⾃動⾞ / クラウド / コンテナ / スマートフォン / ゲーム / ブロックチェーン等のセキュリティ ´ 広く浅い ´ 委員会活動 ´ CRYPTREC 暗号活⽤委員会委員(2015〜) ´ 資格 ´ CISSP / GXPN / 博⼠ (⼯学) ´ 次はOSCP取ろうと思ってるけど育児との両⽴がホントにツラい ´ 過去のスライド ´ https://www.slideshare.net/trmr105/presentations
- 4. IoT セキュリティ ´ Internet of Things ´ 従来インターネットに接続されていなかった様々なモノが、インターネット につながるようになり、ユーザに新しい価値を提供 ´ IoTセキュリティ ´ サイバー攻撃者にとっては新しい攻撃対象・攻撃ベクトルの出現 ´ 現状、様々な団体がセキュリティガイドラインを策定
- 5. 近年のIoTセキュリティ⽂書 ´ IoTに関するセキュリティは各国や団体で法規・ルール化の動き ´ 他にもあるよ (中国の動向に詳しい⼈いたら教えて下さい) 分野 名称 発⾏年 IoT NIST IR8259 - Foundational Cybersecurity Activities for IoT Device Manufacturers 2020 IoT NIST IR8259a - IoT device cybersecurity capability core baseline. 2020 IoT NIST IR8228 - Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks 2019 IoT ETSI EN 303 645 Cyber Security for Consumer Interntet of Things: Baseline Requirements 2020 IoT RFC8576 - Internet of Things (IoT) Security: State of the Art and Challenges 2019 IoT ISO / IEC DIS 27400 - Cybersecurity - IoT Security and Privacy - Guidelines Under development IoT ISO / IEC 30147 - Internet of things (IoT) – Integration of IoT trustworthiness activities in ISO/IEC/IEEE 15288 system engineering processes 2021 IoT ENISA - Baseline Security Recommendations for IoT 2017 IoT GSMA - IoT Security Guidelines v2.2 2020 IoT IETF - Best Current Practices for Securing Internet of Things (IoT) Devices 2017 (expired) IoT IETF - Technical Requirements for Secure Access and Management of IoT Smart Terminals 2021 ⾃動 ⾞ ISO / SAE FDIS 21434 Road vehicles — Cybersecurity engineering Under development ⾃動 ⾞ UN-R 155 - Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system 2021 ⾃動 ⾞ UN-R 156 - Uniform provisions concerning the approval of vehicles with regards to software update and software updates management system 2021
- 6. ⼀般に求められるセキュリティ対策 ´ ⽂書ごとに差異はあるが、下記のようなカテゴリで分類されることが多い ´ それらカテゴリにさまざまな対策が存在 分野 分類 ⼀⾔説明(嘘) IoT 適切なハードウェアセキュリティ ハードウェアからの攻撃を防ごう IoT 適切なOS・ライブラリの保護 OSは適切に設定して、安全なライブラリを使おう IoT 安全なソフトウェア設計 ソフトウェアは脆弱性なきように設計しなさい(天の声) IoT 安全なソフトウェア実装 ソフトウェアは脆弱性なきように実装しなさい(天の声) IoT 適切なデバイスの設定 デバイス側で⽤意してくれてるセキュリティ機能を使いこなそう IoT 適切な保管データの保護 貴⽅が作ってる製品に保管されるデータを把握してる⼈は誰ですか︖ IoT セキュアなインタフェース インタフェースからの侵⼊は防ごう IoT セキュアな通信路 ちゃんとTLSを実装しましょう。証明書管理も含めて IoT 安全なソフトウェア・アップデート OSの標準機能が使えればそれを適切に使うのが⼀番良さそう IoT セキュリティイベントの監視 IoTの機能のリッチさによりどこまでやるかが変わるイメージ IoT セキュリティイベントのロギング 同上 IoT 信頼性の管理(トラストチェーン) これもどこまでやるか。ただやる場合はハードウェアから対応する必要が あるので、判断はやめにしたいところ IoT デバイスの検証(アテステーション) 同上 IoT 認証・認可 やりましょう IoT 適切なデフォルトセキュリティ やりましょう
- 7. IoT ライフサイクル ´ 要件定義〜設計〜実装〜テスト〜運⽤〜廃棄 ´ SWはCI/CDで回すのがトレンド(特に⾃社開発の場合) ´ HWはウォーターフォール型が中⼼ ´ ライフサイクルの「どこ」で「だれ」が「どの」対策を⼊れるのか ´ ⾃社内で完結しない場合も多い ´ 誰が責任をもつのか曖昧になる場合も
- 9. IoTライフサイクルを通じたセキュリティ施策 ´ 優先度をつけて順番にやっていくのが⼤事 ´ ⼀度に全部やるのは⼤変 ´ ⼤体の場合、⼈が⾜りんですね ´ 開発プロセスに踏み込む場合も⼤変 ´ ⾃社開発の場合は話し合って決められる ´ 往々にして開発者が⾃分でセキュリティをやるほうが良いものができる(主体性の問題) ´ 他社開発の場合はより⼤変なことも ´ 実施する計画は⽴てておいた⽅がよい ´ セキュリティ担当者が変わるごとに⽅針が失われるのは⾟い ´ 計画はテキストメモで良い。メモは完璧でなくてよい ´ 計画に正解はない(局地的最適解はあるかも) ´ どこからやっていくべきか ´ IoTの開発・運⽤における様々な⼈や組織の認識共有に必要なポイント
- 10. どこからやるべきか ´ OEM/サプライヤモデルの場合は脅威分析とIoTデバイスのセキュリティテスト ´ IoTシステムの企画・運⽤組織と、IoTデバイスの開発組織が別れている場合 ´ Input: リスク評価(およびそれに基づいたセキュリティ要件) ´ Output: テスト結果(Validation testおよび penetration test) 要件策定 設計 実装 単体 テスト システム テスト 廃棄 設計開発 運⽤管理 ・リスク評価(脅威分析) ・セキュリティ要件策定 ・サプライヤー要件レビュー ・セキュリティ設計レビュー ・セキュリティ実装レビュー ・セキュアコーディング ・IoTデバイスペネトレーショ ンテスト ・セキュリティ要件準拠アセ スメント ・IoTデバイスペネトレーショ ンテスト ・IoTデバイスの管理 ・IoTデバイスアップデート ・IoTシステムペネトレーションテスト ・クラウドの診断 ・スマホアプリの診断 ・廃棄時の処理
- 11. 脅威分析 ´ システムにおいて想定される脅威シナリオを分析し、そのリスク対応を考える ´ いろんなやり⽅があるけど、ざっくり下記の流れ ´ アタックサーフェイスを検討 ´ 保護資産を検討 ´ 攻撃⼿法を検討 ´ リスクを評価 ´ 必要な場合は対策を検討 ´ テスト⼿法を検討 ´ まずやってみる ´ ISO/IEC 15408を読み込んだけど、何をやればよいかわからず⼿が動きません、はつらい。 ´ まず⼿を動かしてみて、その結果を専⾨家にレビューしてもらうくらいの軽い進め⽅をおすすめ ´ もちろんCC認証を取りたい場合とか、しっかりとやりたい場合は別 ´ セキュリティの専⾨家も、貴社システムの細かいところまでは、情報無しには分からない ´ 他社の製品等の知⾒から、多分こういう実装だろうと思うことはあれど、IoTの実装は独⾃の部分も多いので、全然違ってたりも する ´ ⾃社製品を⼀番知っているのは⾃分。本当に具体的な脅威を把握できるのも⾃分。
- 12. IoTペネトレーションテスト ´ 脅威分析の結果に基づいて、それらの実現可否をテストしましょう ´ Q.脅威分析やらなくていいから、インターネットからの攻撃に対して安全か⾒てほしい ´ A. その場合、まずインターネットから想定する攻撃の列挙をお願いします。 ´ (多くの⼈は⼼の奥底では脅威分析を求めている。脅威分析はこころの安定剤) ´ Q.何を⾒るの︖ ´ A. ハードウェアを分解したり、ファームウェアを逆アセンブルして読むよ ´ 脆弱性が⾒つかったら、実機で攻撃に使えないか検証するよ。 ´ Q.開発⼯程に観点を⼊れ込みたい ´ A. はい、やりましょう 0100101010 0110010101 ハードウェア解析 インタフェーステスト ファームウェア解析
- 13. まとめ ´ IoTセキュリティで取り組むべきことは多岐にわたる ´ まず取り組むべき点はOEM-サプライヤ間のインタフェース(認識共有部分) ´ 脅威分析 ´ IoTシステムに対して何に対応すればよいのか具体化し、適切な対策を検討する ´ IoTペネトレーションテスト ´ 想定脅威が実現しないことを第三者の専⾨家により評価する