masaaki futagi, cissp, cisamasaaki futagi, cissp, cisa •...

Masaaki Futagi, CISSP, CISA

• アルテア・セキュリティ・コンサルティング代表• 80年代から90年代の組み込み系マイコンプログラマー• 90年代はUNIX系のデバドラ〜アプリまでの汎⽤（笑）プログラマー• ファイアウォールを作ったりしてセキュリティ業界に・・・・• 商社系SIで海外セキュリティ製品開拓とか・・・・• ⾃社のセキュリティ対応・・・で、ちょっと死にかけたり・・・• 4年前に独⽴、気ままな⾃営業コンサルタント

• CSA ジャパン （⽇本クラウドセキュリティアライアンス）• Cloud Security Alliance （⽶国）の⽇本⽀部的位置づけ• 運営委員、IoT ワーキンググループリーダー

• NPO⽇本ネットワークセキュリティ協会 幹事

IoTは「システム」である

個々のデバイス固有の管理サービス（M2M領域）

デバイス

デバイス管理サービス

付加価値サービス

既存のインターネット

統合された情報・サービスプラットホーム

デバイス非依存サービス

デバイス依存サービス

機器だけでもサービスだけでも成り立たない。発展すればするほどシステムは複雑化し、様々な依存関係が生じる。

IoTシステムのリスク

利用者のリスク 事業者のリスク 社会のリスク

・生命・健康へのリスク

・財産へのリスク・プライバシーへのリスク

・幸福な生活へのリスク・・・

・社員、関係者の生命、安全へのリスク・収益、財務へのリスク

・信用へのリスク・効率、生産性へのリスク

・事業継続性、成長性へのリスク

・重要インフラへのリスク

・環境へのリスク・治安。防衛上のリスク

・公共サービスへのリスク・政治的リスク・大規模事故・災害のリスク

・社会的不安、混乱のリスク・・・

デバイスの特性 サービスの特性システム規模

デバイス 管理サービス 付加価値サービス

システムへの脅威

リスク評価の前に「影響評価」を

デバイスの特性 システム規模 サービスの特性

・利用者に直接与える影響

・社会や事業に与える（直接的、間接的な）影響

・ひとつの管理システムに接続されるデバイスの数（のオーダー）

・サービス利用者に直接与える影響

・社会や事業に与える（直接的、間接的な）影響

デバイスへの脅威 管理サービスへの脅威 サービスへの脅威

対策 対策 対策

影響評価に関する考察

CSAジャパンIoT WGで考察レポートを公開しています。

http://www.cloudsecurityalliance.jp/IoT_WG.html

⾃⼰紹介 - 牧⽥ 延⼤

• F5ネットワークスジャパン SEマネージャ

• ブログ：• ネットワーク屋からみたセキュリティ関連• 認証とか暗号とか

• 前職：• R&D、通信プロトコル開発、デバドラ開発

• 好きなソラコムのサービス Endorse

F5ネットワークス 概要

• 本社： シアトル

• ミッション： Applications Without Constraints

• 製品名： BIG-IP シリーズ• ⼤規模通信向け： ハードウェア• 仮想化基盤向け： ソフトウェア• クラウド向け： AWS, Azureマーケットプレイス

• 主な役割：• Web、WebAPIアクセスの可⽤性、セキュリティ、柔軟性を向上

Endorseとわたし

• “Connected.” で発表される• ⽟川さんの発表で、むむむ。「トークン？！」• ⽚⼭さんのセッションで、あーっ。「JWT！！」• これ、F5でもイケる。「オンプレエンジニアもSORACOMと関われる！」

• 早速 ⼿を動かす• “Connected.” で配布されたSIM （←術中にハマる）• たまたま家にあったUSBドングル• Macに挿す• BIG-IP Node.js対応版のベータを⽤意 （←この時点でマダ世に出てない）• ちょっとしたコード

• 動いたけど、誰にも⾔えない当時。。

もし使えそうなものがあったら使ってください（とりあえずのたたき台）

情報セキュリティの基本理念「CIA」

Integrity完全性

Availability可⽤性

Confidentiality機密性

情報がもれないこと

保存された時点の状態で維持されること

利⽤したい時に利⽤できること

IPA：IoT開発におけるセキュリティの⼿引き• https://www.ipa.go.jp/security/iot/iotguide.html

CSA：IoTにおけるID/アクセス管理要点ガイダンス• https://downloads.cloudsecurityalliance.org/assets/research/inter

net-of-things/identity-and-access-management-for-the-iot-jpn-translation.pdf