![Page 1: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/1.jpg)
![Page 2: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/2.jpg)
Masaaki Futagi, CISSP, CISA
• アルテア・セキュリティ・コンサルティング代表• 80年代から90年代の組み込み系マイコンプログラマー• 90年代はUNIX系のデバドラ〜アプリまでの汎⽤(笑)プログラマー• ファイアウォールを作ったりしてセキュリティ業界に・・・・• 商社系SIで海外セキュリティ製品開拓とか・・・・• ⾃社のセキュリティ対応・・・で、ちょっと死にかけたり・・・• 4年前に独⽴、気ままな⾃営業コンサルタント
• CSA ジャパン (⽇本クラウドセキュリティアライアンス)• Cloud Security Alliance (⽶国)の⽇本⽀部的位置づけ• 運営委員、IoT ワーキンググループリーダー
• NPO⽇本ネットワークセキュリティ協会 幹事
![Page 3: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/3.jpg)
IoTは「システム」である
個々のデバイス固有の管理サービス(M2M領域)
デバイス
デバイス管理サービス
付加価値サービス
既存のインターネット
統合された情報・サービスプラットホーム
デバイス非依存サービス
デバイス依存サービス
機器だけでもサービスだけでも成り立たない。発展すればするほどシステムは複雑化し、様々な依存関係が生じる。
![Page 4: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/4.jpg)
IoTシステムのリスク
利用者のリスク 事業者のリスク 社会のリスク
・生命・健康へのリスク
・財産へのリスク・プライバシーへのリスク
・幸福な生活へのリスク・・・
・社員、関係者の生命、安全へのリスク・収益、財務へのリスク
・信用へのリスク・効率、生産性へのリスク
・事業継続性、成長性へのリスク
・重要インフラへのリスク
・環境へのリスク・治安。防衛上のリスク
・公共サービスへのリスク・政治的リスク・大規模事故・災害のリスク
・社会的不安、混乱のリスク・・・
デバイスの特性 サービスの特性システム規模
デバイス 管理サービス 付加価値サービス
システムへの脅威
![Page 5: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/5.jpg)
リスク評価の前に「影響評価」を
デバイスの特性 システム規模 サービスの特性
・利用者に直接与える影響
・社会や事業に与える(直接的、間接的な)影響
・ひとつの管理システムに接続されるデバイスの数(のオーダー)
・サービス利用者に直接与える影響
・社会や事業に与える(直接的、間接的な)影響
デバイスへの脅威 管理サービスへの脅威 サービスへの脅威
対策 対策 対策
![Page 6: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/6.jpg)
影響評価に関する考察
CSAジャパンIoT WGで考察レポートを公開しています。
http://www.cloudsecurityalliance.jp/IoT_WG.html
![Page 7: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/7.jpg)
⾃⼰紹介 - 牧⽥ 延⼤
• F5ネットワークスジャパン SEマネージャ
• ブログ:• ネットワーク屋からみたセキュリティ関連• 認証とか暗号とか
• 前職:• R&D、通信プロトコル開発、デバドラ開発
• 好きなソラコムのサービス Endorse
![Page 8: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/8.jpg)
F5ネットワークス 概要
• 本社: シアトル
• ミッション: Applications Without Constraints
• 製品名: BIG-IP シリーズ• ⼤規模通信向け: ハードウェア• 仮想化基盤向け: ソフトウェア• クラウド向け: AWS, Azureマーケットプレイス
• 主な役割:• Web、WebAPIアクセスの可⽤性、セキュリティ、柔軟性を向上
![Page 9: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/9.jpg)
Endorseとわたし
• “Connected.” で発表される• ⽟川さんの発表で、むむむ。「トークン?!」• ⽚⼭さんのセッションで、あーっ。「JWT!!」• これ、F5でもイケる。「オンプレエンジニアもSORACOMと関われる!」
• 早速 ⼿を動かす• “Connected.” で配布されたSIM (←術中にハマる)• たまたま家にあったUSBドングル• Macに挿す• BIG-IP Node.js対応版のベータを⽤意 (←この時点でマダ世に出てない)• ちょっとしたコード
• 動いたけど、誰にも⾔えない当時。。
![Page 10: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/10.jpg)
もし使えそうなものがあったら使ってください(とりあえずのたたき台)
![Page 11: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/11.jpg)
情報セキュリティの基本理念「CIA」
Integrity完全性
Availability可⽤性
Confidentiality機密性
情報がもれないこと
保存された時点の状態で維持されること
利⽤したい時に利⽤できること
![Page 12: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/12.jpg)
IPA:IoT開発におけるセキュリティの⼿引き• https://www.ipa.go.jp/security/iot/iotguide.html
![Page 13: Masaaki Futagi, CISSP, CISAMasaaki Futagi, CISSP, CISA • アルテア・セキュリティ・コンサルティング代表 • 80年代から90年代の組み込み系マイコンプログラマー](https://reader034.vdocuments.pub/reader034/viewer/2022042119/5e988c6056fe673c7303164d/html5/thumbnails/13.jpg)
CSA:IoTにおけるID/アクセス管理要点ガイダンス• https://downloads.cloudsecurityalliance.org/assets/research/inter
net-of-things/identity-and-access-management-for-the-iot-jpn-translation.pdf