iotサービスを企画・開発・運用するためのセキュ...

Copyright © NTT Communications Corporation. All rights reserved.

2018年10月4日

NTTコミュニケーションズ株式会社

技術開発部

IoT・エバンジェリスト境野哲

[email protected]

IoTサービスを企画・開発・運用するためのセキュリティの要点と対策例

～インシデント事例と各種ガイドラインを読み解き各部門の対応方針を提言～

※約80枚のスライドを駆け足でご説明します詳細説明や意見交換をご希望の方はお気軽にご連絡ください


本日の講演内容

IoTのセキュリティリスク

セキュリティ政策の動向

いま注目のセキュリティ基準

各社各部門がとるべき対策

今後の課題と通信キャリアの役割

2

※約80枚のスライドを駆け足でご説明します詳細説明や意見交換をご希望の方はお気軽にご連絡ください


IoTではさまざまなモノが自律的につながる

WAN

LAN

IoTの特性

3


IoTの用途

監視制御車の運転設備保全

医療介護

防災防犯

行動監視健康管理

その他インフラ管理など

人の生命財産ライフラインに係わる分野にも 4


IoTの用途国連SDGs達成に向け IoTがインフラの一部に

外務省HP http://www.mofa.go.jp/mofaj/gaiko/oda/files/000270588.pdf

貧困撲滅飢餓ゼロ健康福祉教育ジェンダー水・衛生

エネルギー働きがいイノベーション格差解消まちづくり生産・消費

温暖化対策海の資源陸の資源平和・公正パートナーシップ

5


IoT特有の性質（リスク）

6

※総務省経産省「IoTセキュリティガイドライン」 IPA/SEC「つながる世界の開発指針」より）

機器の性能が低い（セキュリティ機能の搭載が困難）

長く更新されない（車は10年、工場設備は20年）

機器仕様の管理困難（性能や安全を保証できない）

人の目が届かない（無人、屋外、動作状態が見えない）

想定外のモノに接続（知らぬ間に無線でつながる）

異常に気づきにくい（画面がなく感染に気付かない）

脅威の影響が大きい（電力医療など物理/健康被害も）

社内情報システムとは異なる対策が必要


WAN

LAN

管理者不在

IoTの特性（リスク）

？

？

何がつながっているのか不明…

？

？

？

？

7

知らないモノが知らぬ間につながる

？

？？


IoTのセキュリティ脅威

盗難・すり替え・破壊（機器本体、記録媒体、SIM）

コピー・改造・模造（リバースエンジニアリング）

犯罪・テロに使用（盗撮、盗聴、自爆攻撃…）

通信の妨害・断線（SIM/ケーブル抜去、妨害電波）

危険物につながる（脆弱な装置・機械、重要インフラ）

DDoS攻撃に加担（例：MIRAI）

8

インターネット経由でなく「システム内」からも直に侵入される

知らないヒトやモノが物理的にアクセスし悪用/誤用


IoT機器類のサイバー事故事例

今後 IoTが普及すると、標的の種類・影響範囲が拡大…

無線ルーター

ID/PW窃取、詐欺サイト誘導、通信傍受、改ざん

IP電話機

第三者による不正使用（盗聴、多額の請求）

カメラ

外部不正操作、のぞき、映像漏えい、DDoS踏み台

プリンター・TV会議端末…

不正侵入、LAN内にある機密情報の漏えい

9 出典：http://www.soumu.go.jp/main_content/000538611.pdf


企業がサイバー事故を起こした時のダメージ

品質低下（製品サービス）

操業停止

リコール

損害賠償（健康/財産被害）

社会インフラに影響波及

10

「減収減益」「信用失墜」「倒産」のリスク


参考）サイバー事故で社会インフラが止まった事例

サイバー事故は「社会の迷惑」にも

製鉄

溶鉱炉損傷 ⇒ 生産停止（2014年ドイツ）

電力会社

送電遮断 ⇒ 大規模停電（2015～16年ウクライナ）

11


それでも日本でセキュリティ対策が進まない原因

根拠なき自信：「うちはまだ大丈夫だろう」

近視眼的発想：「対策しても儲からないから」

法規制がない：「被災したら対応すればいい」

事故や災害に対する人間の自然な発想

（市場原理に任せていては対策が進まない）

12

このままでは世界のトレンドから取り残される？


米国欧州のセキュリティ政策


米国のセキュリティ政策

14

企業にセキュリティ対策を義務づけ

2010.11 大統領令 13556 保護すべき重要情報を国が指定、セキュリティ強化

2014.02 サイバーセキュリティフレームワーク 1.0

対策の全体像を提示

2015.06 NIST* SP800-171 *National Institute of Standards and Technology

重要情報(CUI)を扱う企業のセキュリティ要件を規定

2016.10 DFARS Clause252.204-7012

国防省と契約する企業に SP*800-171対応を要求 *Special Publication

2017.01 サイバーセキュリティフレームワーク 1.1 draft1

サプライチェーン=調達品のリスク管理を強化

2017.05 大統領令 13800 連邦ネットワークと重要インフラのセキュリティ強化

2017.12 サイバーセキュリティフレームワーク 1.1 draft2

サプライチェーンのリスクをより強調リスクの自己評価方法などを追記

2018.01 大統領令 13800の中間報告

自動型分散型の脅威=ボットネットなどにも対応

産業界全体（IT機器/装置機械メーカーなど）で対策が進む


米国のセキュリティ政策

15

保護対策を企業に義務付ける重要情報「CUI」

CUI : Controlled Unclassified Information

分類（抜粋） CUI に該当するデータ（抜粋）

ヘルスケア個人健康データ

農業経営情報、生産者情報、害虫情報

エネルギーエネルギー生産・輸送データ

工業設計データ、性能データ

クルマ内部マニュアル、走行テスト結果

家電（用途やコンテンツにより判断）

IoTデータも「CUI」＝保護義務の対象になり得る

https://www.archives.gov/cui/registry/category-list

100種類以上の情報を政府が「CUI」に指定


欧州のセキュリティ政策

16

セキュリティの認証制度を整備

2015 ドイツセキュリティ法重要インフラ事業者に対策を義務付け（基準適合の証明、定期監査、事故発生報告）

2016 EU NIS指令ドイツ同様の対策をEU内に展開

2017.07 欧州委員会提案セキュリティ認証フレームワークを提案（法規制ではなく自主的な取組を促す）

2017.09 欧州委員会承認既存の基準を使ってセキュリティ認証制度を作成へ

⇒ ベンダーは機器/サービスの適合性認証を自主取得

2017.11 ENISA European Network and Information Security Agency

「IoTのベースラインセキュリティ推奨事項」発表対策の考え方、ツール、ベストプラクティスを紹介

2018.05 EU 一般データ保護規則（GDPR）適用開始

顧客データ処理制限、流出事故通知義務(72時間以内) ※違反企業には罰金（収益の4%）

信頼向上や事業存続のために認証を取る企業が増える見込み


今後想定される IoTセキュリティ事故のリスクとは


想定されるIoTセキュリティ重大事故の例

18

防災IoTのサイバー事故が

火災・洪水の被害を拡大


例題）御社の名前が掲載され、社長から、「事実関係の報告」「反論根拠の提示」「対応方針の提案」を求める緊急オーダーがありました。

どう対応しますか？品質は十分だったと証言できますか？

201X年米国ハリケーン被害

強風による山火事＆洪水で 100名以上死亡

“ 避難指示が遅れた原因は「サイバー攻撃」？ ”

・監視制御ネットワークに不具合

・水位・温度計データが見えず

・水門が動かず

・米国のセキュリティ基準を満たさない製品が使われていた疑い

・当局が不適格とした製品名を公表、損害賠償も視野に調査へ

「ハード A社●●●」「ソフト B社▲▲▲」「SI/運用 C社」

19

※架空の想定です想定される事故の例


IoTセキュリティは「品質」「信用」

「社会的責任」

守れなければ批難/排除される 20


ネットワークにつながるハード/ソフト/サービス

の

設計/製造/販売/流通/ 工事/保守/回収/廃棄

に係わる企業は

セキュリティ対策の強化が必要

21


IoTセキュリティに関する日本政府の対応


日本政府の対応

23

「サイバーセキュリティ経営ガイドライン」（経産省）

「IoTセキュリティガイドライン」（経産省/総務省）

「つながる世界の開発指針」（IPA/SEC）

「クラウドサービス提供における

情報セキュリティ対策ガイドライン」 IoT編（総務省）

「サイバーフィジカルセキュリティ対策フレームワーク」（経産省）

「同フレームワーク」産業分野別ガイドライン（経産省）

・・・・・・・

ガイドラインを順次つくって公開


参考）経産省サイバーセキュリティ経営ガイドライン

24

経営者が認識すべき３原則

経営者がリスクを認識し対策推進

サプライチェーンにもセキュリティ対策

リスク＆対策に関する情報開示


参考）経産省サイバーセキュリティ経営ガイドライン

25

重要１０項目

項目対策例

組織全体で方針策定社内外の有識者で戦略ＷＧ発足、実行計画を策定し公開

リスク管理体制製品/サービスの企画段階からセキュリティ監査を実施

予算＆人材の確保社外セキュリティ人材を雇える人事報酬制度を作って導入

リスク対応計画策定法令に従いリスク低減/回避/移転の各機能を製品に内蔵

リスク対応の仕組み脆弱性検査、監視/異常検知/通報の各機能を標準装備

PDCA セキュリティをKPI化、外部監査結果をCSR報告書に

事故時の緊急対応原因特定/再発防止/法令対応報告の専門組織整備＆演習

被害時の復旧体制復旧目標時間の設定、マニュアル配備、BCP演習

サプライチェーン管理調達元/委託先の抜き打ち検査、認証取得の義務化

攻撃情報の共有活用 JPCERT/CCに情報共有、同業他社と積極的に情報交換

欧米の政策を見ながら「後追い」しているのが実状…


日本政府の対応～注目すべき新たな動き～

26

2019年度から

防衛省（防衛装備庁）が新たなセキュリティ基準を導入へ

防衛調達セキュリティに関する官民検討会

（2017年2月～ 23社 4団体）

経産省産業サイバーセキュリティ研究会 WG1

防衛産業SWGとして検討

「保護すべき情報」を扱う企業に課す基準を

米国 NISTの「SP800-171」と同程度に強化

産業セキュリティのモデルケースとなり他産業へ波及か

⇒ NIST基準を満たせない企業の製品は淘汰される？


世界中のIoTビジネスに影響する？セキュリティ基準～米国 NIST基準～ National Institute of Standards and Technology：国立標準技術研究所

※この講演資料はNIST資料の内容を抜粋要約意訳したものです詳細は NISTの資料を直接ご参照ください https://csrc.nist.gov/publications/sp800


米国NISTのセキュリティ基準

法的拘束力はないが、政府調達条件に使われ結果的にグローバルスタンダードになりそう

28

経営戦略↑

技術戦略↓

管理手法の概念（組織ガバナンス）

サイバーセキュリティフレームワーク管理方針・体制

（業務プロセス）

具体的な対策と手順（情報システム）

SP800シリーズ

推奨技術（製品ツール）

SP800シリーズ SP1800シリーズ

経営レベル～実務運用レベルまで幅広く対応する複数のガイドライン群



29

経営戦略↑

技術戦略↓





SP800シリーズ




米国NIST「サイバーセキュリティフレームワーク」

30

事前の対策

①特定守る対象を明確化

②防御侵入や攻撃を防ぐ

事故後の対策

③検知異常を発見する

④対応被害拡大を防ぐ

⑤復旧駆除して業務再開

セキュリティ対策を５つの機能に分類



31

機能カテゴリー

①特定

資産管理

ビジネス環境

ガバナンス

リスクアセスメント

リスク管理戦略

サプライチェーン管理

②防御

アクセス制御

意識向上/トレーニング

データセキュリティ

情報保護プロセス・手順

保守

保護技術


③検知

異常とイベント

継続的なモニタリング

検知プロセス

④対応

対応計画の実施

伝達

分析

低減

改善

⑤復旧

復旧計画の実施

改善

伝達

５つの機能を 23のカテゴリーに分類



32

機能カテゴリー管理策の項目（抜粋）

①特定

資産管理物理デバイス・ソフトウェアをリスト化 , …

ビジネス環境重要インフラ事業者の役割を十分理解 , …

ガバナンスパートナー企業の役割＆責任を決め連携 , …

リスクアセスメント脅威・脆弱性情報を入手 , …

リスク管理戦略重要インフラに及ぼす影響を考慮 , …

サプライチェーン管理対応/復旧策をサプライヤーと計画しテスト, …

②防御

アクセス制御デバイスの識別情報・認証情報を管理 , …

意識向上/トレーニング全ユーザーに情報を周知、訓練を実施 , …

データセキュリティ資産の撤去/譲渡/廃棄のプロセスを管理 , …

情報保護プロセス・手順脆弱性情報を管理し対策を実行 , …

保守遠隔保守の認証、ログ記録、不正防止 , …

保護技術取り外せる記録媒体を保護／利用制限 , …

23のカテゴリーについて実施すべき管理策の項目(計100以上)を記載



33

機能カテゴリー管理策の項目（抜粋）

③検知

異常とイベントシステム内のデータの流れを管理 , …

継続的モニタリング機器・通信網監視不正検出脆弱性検査 , …

検知プロセス検知プロセスの継続的な改善 , …

④対応

対応計画の実施事故時に計画通り実施できる , …

コミュニケーション外部の利害関係者とも情報共有 , …

分析フォレンジクスを実施 , …

リスク低減新たに見つかる脆弱性のリスクも低減 , …

改善事故の教訓にもとづき対応方法を更新 , …

⑤復旧

復旧計画の実施事故時に計画通り実施できる , …

改善事故の教訓にもとづき復旧方法を更新 , …

コミュニケーション事故後に自社の評判を回復している , …



34

レベル (Tier) 対策の実施状況

１ Partial

計画未確立（場あたり的、事後対応、優先順位が曖昧）

実行未確立（リスク意識低い、情報共有なし、不規則）

外部協力なし

２ Risk Informed

計画経営層が承認、企業目標に合った優先順位

実行経営層が承認した手順、十分なリソース、情報共有

外部協力自組織の役割を理解

３ Repeatable

計画ポリシー明文化、環境/技術変化に応じ対策更新

実行全社的取組が確立、一貫した手法、レビュー実施

外部協力パートナーから情報入手、事故時に協力

４ Adaptive

計画最新技術で常に改善、新たな脅威にも迅速に対応

実行リスク管理が企業文化、教訓生かし常に進化

外部協力パートナーと情報交換し正確で最新の情報を活用

低

高

各管理策の実施状況を評価する４段階の指標



35

Step１優先順位づけ事業目的に応じ対策すべきプロセスシステム資産を特定

Step２方向づけシステムや資産の脅威・脆弱性・要求事項を特定

Step３現状把握５機能、23カテゴリーについて現在の達成度を評価

Step４リスクアセスメント

最新の攻撃手法をふまえ事故発生の可能性と影響を査定

Step５目標設定５機能、23カテゴリーについてめざすレベルを決定

Step６ギャップ分析目標達成に向けたアクションプランを作成

Step７計画の実施計画を実行し、対策の進捗・効果をモニタリング

対策を７段階のステップで実施する

繰り返し実行



36

経営戦略↑

技術戦略↓





SP800シリーズ（SP800-171）




米国NIST「SP800-171」 ※これを参考に防衛装備庁が基準を策定

「171」を理解するには、「53」の「中」レベルを参照する必要

37

NIST「サイバーセキュリティフレームワーク」の考え方にもとづく

対象は重要情報(CUI) を処理/保管/通信する民間企業のシステム

14のカテゴリー、110の管理項目を提示

2016年11月～発効（実際の対応時期は産業界に委ねる）

この基準にもとづいて各業界がセキュリティガイドラインを作成

政府機関向けセキュリティ基準「SP800-53」に記載された対策から民間企業に課す対策を抽出したもの

※「SP800-53」の「低/中/高」の対策の「中」レベルを要求



38

経営戦略↑

技術戦略↓





SP800シリーズ

（SP800-53）




米国NIST「SP800-53」

IoTに関わる要件も多く日本の企業も参照し対策すべき

39

連邦政府の組織・情報システムのセキュリティ基準

ISO/IEC27001（ISMS）より強化された内容

サイバー事故発生後の対策（検知～対応～復旧）にも力点

国防省と取引する民間企業への基準にも活用

17カテゴリー 200以上の管理項目（実施優先度を4段階で明示）

3段階のセキュリティ要求レベル(低中高)別に計1,000超の対策例



40

カテゴリー管理項目（抜粋）

1 アクセス制御アカウント管理, 不正ログイン試行, 利用通知, 無線アクセス, …

2 教育トレーニングセキュリティ意識向上トレーニング, トレーニング記録, …

3 監査監査記録内容, 監査レビュー, タイムスタンプ, 否認防止, …

4 アセスメント・認可セキュリティ評価/認可, 継続的モニタリング, 侵入テスト, …

5 構成管理構成変更管理, 影響分析, ユーザーが入れたソフトの管理, …

6 緊急時対応計画 BCPのテスト, 通信サービス, バックアップ, 復旧と再構成, …

7 識別・認証デバイスの識別/認証, 識別子/認証子の管理, 暗号モジュールの認証, …

8 インシデント対応インシデント対応テスト, インシデント監視, インシデント対応支援, …

9 メンテナンスメンテナンスツール, 広域メンテナンス, タイムリーなメンテナンス, …

10 メディアの保護メディアのマーキング, メディアの無害化, …

11 物理的/環境保護物理アクセスの監視, 緊急停止, 非常用電源, 防火, 温湿度管理, 防水, …

12 計画作成システムセキュリティ計画, 行動規範, …

13 職員によるセキュリティ職員のスクリーニング, 職員の雇用の終了/異動, 職員に対する制裁, …

14 リスク評価セキュリティカテゴリ, 脆弱性スキャン, …

15 システムやサービスの調達調達プロセス, サプライチェーンの保護, 開発プロセス・規格・ツール, …

16 システムと通信の保護妨害からの保護, ネットワーク切断, セキュアなDNS, 滞留データ保護, …

17 完全性と情報の整合性欠陥の修復, 悪質なコードからの保護, 監視, ファームウェアの完全性, …

17のカテゴリー 200超の管理項目


米国NIST「SP800-53」～要求事項の例～

41

各管理項目ごとに実施すべき対策をセキュリティ要求レベル別に記載

管理項目（優先度）

要求レベル別の実施事項

無線アクセス

(優先度１)

低・アクセス制限する設定／接続要件の実装ガイダンスを定める

・許可した者にアクセスの権限を付与する

中 (上記に加えて)

・認証を暗号化する

高

(上記に加えて)

・無線アクセス利用者に組織が明示的に許可を与える

・アンテナの種類・出力を工夫し傍受リスクを減らす

カテゴリー：アクセス制御

無線を多用するIoTでは、方式を適格に選び、アクセス権限管理を徹底


米国NIST「SP800-53」～要求事項の例～

42



防火

(優先度１)

低・独立した電源で動く火災検知・消火の装置を導入し維持する


・火災検知・消火システム作動時に管理者へ自動で通知する

高 (上記に加えて)

・職員が常駐しない場所には、自動消火機能を導入する

カテゴリー：物理面と環境面の保護

屋外にもデバイスを置くIoTでは、無人の場所での環境対策が必要


企業の信用/存続のために

43

日本の企業も NIST基準を理解し各部各担当でセキュリティ戦略と実行計画を策定すべき


IoTセキュリティ確保に向けた対策～IoT機器を調達する人～



45



調達プロセス

(優先度１)

低

・調達契約書に、セキュリティの機能/強度/保証レベル、関連ドキュメントとその保護、開発環境/稼働環境、受入れ基準の要求事項を明記

・システムの個人認証にはFIPS201認証製品リスト記載のIT製品のみを使わせる

中


・導入されるセキュリティ管理策の機能特性を書いた資料を要求する

・導入されるセキュリティ管理策の外部システム接続インタフェース、上位/下位レベル設計、ソースコード/ハードウェア図解を要求する

・システムの機能・ポート・プロトコル・サービスを早い段階で特定するよう要求する

高同上

カテゴリー：システムとサービスの調達

物理アクセスの脅威も多いIoT機器は機能特性・システム構成をよく確認


製品/システムの発注者

リスクアセスメントを実施しておく

• つながるモノの重要度/危険度を評価

※ 重要情報・重要インフラにつながる可能性があれば高リスク

• 外部専門家と協力し、リスク管理レベル（目標値）を明文化

仕様書にセキュリティ要件を記載しておく

• 案１: 求める管理策を個々具体的に記載（NIST基準を参考に）

• 案２:「SP800-53の ”低”レベルをすべて満たせ」

• 案３:「設計製造工程で準拠している基準を示せ」

※参考）CCDSでは IoT機器のセキュリティ対策レベル評価手法を検討中

46

調達品のセキュリティ水準を外部に説明できるようにしておく


調達/契約管理部門

47

調達品のセキュリティ要求レベル判定基準をつくる

• 社内用の「セキュリティ要求レベル判定シート」を作成

• 用途/扱う情報/つながる相手により高/中/低/管理外に仕分け

セキュリティ契約ルールを管理する

• 要求レベル別に契約書/仕様書に記載する条文のひな形を作成

• ひな形の使用を全社に義務付け

• 実施状況をチェックし、問題があればプロセスを改善

IoTシステム調達時のセキュリティ契約ルールを策定・運用


IoTセキュリティ確保に向けた対策～機器/ソフトを設計製造する人～



49



脆弱性スキャン

(優先度１)

低

・システムの脆弱性スキャンを定期／ランダム／新たな脆弱性確認時に実施・ソフトの欠陥や設定誤りを列挙し影響を評価できるツールを用いる・脆弱性スキャンレポートと管理策アセスメント結果を分析する・見つかった脆弱性を修正する・脆弱性情報を関係者に共有し他システムの同様の脆弱性を排除する

中


・スキャン対象とする脆弱性情報を日々更新できるツールを使う・最新の脆弱性情報をツールに登録してからスキャンする・脆弱性スキャン担当者に、システムへのアクセス特権を与える


・見つかった脆弱性の情報を攻撃者が発見可能か判断して対処する

カテゴリー：リスクアセスメント

運用中のIoT機器/ソフトの脆弱性も検査・排除できる仕組みが必要



50



ソフトウェアファームウェア情報の完全性

(優先度１)

低なし

中・起動時またはセキュリティ関連イベント発生時に、ソフトウェア、ファームウェアの完全性をチェックする

・セキュリティに係わる設定変更を検知できるようにする

高

(上記に加えて) ・完全性チェックで不一致が見つかったら関係者に自動で通知する・完全性違反が見つかったら自動的にシャットダウン／再起動する・ソースコードがない/保証がないバイナリコードの使用を禁止する

カテゴリー：システムおよび情報の完全性

IoTデバイスの完全性を自動で検査/修復する仕組みが必要



51



インシデント対応

(優先度１)

低・検知、分析、封じ込め、根絶、復旧の能力を備える・緊急対応計画にしたがって対応できる・事故対応の教訓を対応の手順や教育訓練に反映する


・インシデント対応を自動化する仕組みを使う


・さまざまなソースのインシデント情報を統合し組織全体の視点で対応できる

カテゴリー：インシデント対応

無数のデバイスを管理するIoTでは自動化が特に重要


製品の設計製造者

52

ハード/ソフトに潜む脆弱性を検査し除去

• 企画設計段階からセキュリティ観点で監査・レビュー

• 市販/外注/内製すべてに脆弱性テスト（第三者認証も）

• 発売後に見つかる脆弱性を解消する手段も提供

セキュリティ対策を省力化する機能を組み込む

• 不正アクセスやプログラム/パラメータの改ざんを自己監視

• 設定変更や振る舞いの異常を検知・通知する機能を装備

• バックアップ遮断初期化再起動復旧を自律的に行う機能

製品の脆弱性を排除、セキュリティ対策支援機能を製品に装備


IoTセキュリティ確保に向けた対策～IoTを運用保守する人～



54



ベースライン構成の管理

(優先度１)

低・正常時の最新のシステム構成を把握・文書化し維持する

中


・ソフト追加やアップグレード時に管理情報を日々更新

・ロールバックできるように前のバージョンも保管

・高リスクの所では、組織が貸与するセキュアなデバイスを使う


・最新完全正確ですぐ使えるベースライン構成情報を維持するため、管理を自動化する仕組みを入れる

カテゴリー：システムの構成管理

機器数が多くなるIoTでは、システム構成管理を自動化する仕組みが欲しい



55



システムの監視

(優先度１)

低

・攻撃の兆候、不正なローカル接続/ネットワーク接続/リモート接続を検知する・不正な使用を検知する・必要な位置に侵入モニタリングツールを設置する・侵入モニタリングツールから得た情報を保護する・リスク増加の兆候がある場合はモニタリング活動レベルを上げる・法律や指令に従い、モニタリング活動に関する法律上の見解を得る・モニタリング情報を関係者に伝える

中


・イベントの迅速な分析を支援する自動化ツールを使用する・内向け/外向けの通信トラフィックを監視し不正な活動を見つける・侵害の兆候があった場合に関係者にアラートを発する

高同上

カテゴリー：システムおよび情報の完全性

IoTでは LANの通信状況も遠隔監視・異常検知する仕組みが必要



56



物理アクセスの監視

(優先度１)

低

・システム設置場所への物理アクセスを監視しインシデント検知する

・物理アクセスのログを必要に応じてチェックする

・チェック結果をインシデント対応チームと整理する


・物理アクセスを検知して対応するための自動化された仕組みを使う


・データが入った媒体の保管場所への物理的アクセスも監視する

カテゴリー：物理面と環境面の保護

IoTでは、エッジデバイスへの物理アクセスの自動監視が課題


保守運用者

57

何がつながっているか最新の状況を管理

• 無線機器やメンテ用PCも含めつながるモノをすべて正確に把握

• エンドデバイス～LAN～エッジ～WAN～クラウドを監視

• 重要なソフト・データの格納場所も正確に管理

ハード/ソフト/ネットワークの異変を検知し迅速対応

• システムが適正状態(ベースライン)にあるか常時監視

• 適正状態から逸脱する異常を検知し、所定の手順で緊急対応

• セキュリティ専門家と協力し適正状態に一刻も早く復旧

システム構成を正確に把握し異常/不正を早期発見


提案） IoTセキュリティ確保に向けた対策～経営者・人事・法務部門の人～


経営者

59

外部専門家も入れた「セキュリティ監査部」を

• セキュリティの監査権限＆説明責任を持つ役員が直轄

• コンプライアンス BCP CSR IRなど多面的観点でリスク査定

※参考文献： JNSA『CISOハンドブック』https://www.jnsa.org/result/2018/act_ciso/

従業員/パートナーの意識高揚施策を

• 中長期経営戦略に「セキュリティ向上」を盛り込む

• 全社員/パートナーにセキュリティ研修

• 各部署のカイゼン活動、社長表彰はセキュリティも対象に

社外コミュニティと協力連携

• IoTセキュリティ(特に検知/対応/復旧)では競合とも手を組む

技術屋に任せず経営戦略目線で権限と責任を強化


法務部

60

グローバルIoTのサイバーリスク管理担当者を配置

• 海外のセキュリティ関連法に詳しい人を日本にも配置

• IoTシステムの販売/受託時の契約書ひな形を定める

各部門への法務研修＆相談対応

• 法務研修の一環でセキュリティリスクも教える

• 規定外の契約書(案)の法務相談に対応し、締結可否判断

• サイバーセキュリティ保険などリスクヘッジ対策も提案

• 事故時、契約にもとづき損害賠償請求などを実施

IoTセキュリティの法的リスクに対応する相談窓口を


人事部

61

セキュリティ専門人材の確保

• 有資格者数の目標を設定（米国CISSP、SSCPなど）

• セキュリティ専門家育成プログラム（年単位）の計画・実施

• 高度セキュリティ人材のための魅力的な給与/雇用制度をつくる

人事考課の指標にセキュリティを

• 人事評価シートに「コンプライアンス＆セキュリティ」の項目を

• 社員～管理者～幹部に必須のスキル要件を定義

• セキュリティ意識が低い者は昇格させない

• セキュリティの研修プログラムを全社員/パートナーに

専門家の確保とセキュリティ意識の底上げを


提案） IoTセキュリティ確保に向けた対策～投資家銀行保険会社～


投資家

63

IR報告書/CSR報告書での情報開示を要求

• 社内/サプライチェーン/製品サービスのセキュリティ対策状況

• リスク特定～防御～検知～対応～復旧の対策実施レベル

• 有資格者数、第三者認証取得予定など

企業価値を左右するセキュリティ対策レベルの情報開示を要求


銀行・格付け機関・企業データバンクなど

64

世界のセキュリティ標準・法令を調査

企業にとってのセキュリティリスクを分類

各リスクの対策レベルを計る指標KPIを考案

業界別にセキュリティ対策の目標値を仮設定

各社の対策状況を調べ、企業の格付けに反映

企業のサイバーリスクの評価指標の開発を


損害保険会社

65

サプライチェーン/製品サービスのリスク査定方法を確立

各対策によるリスク低減の効果をシミュレーション

各社の対策状況を査定し、サイバー保険の保険料に反映

企業のセキュリティ対策レベルに応じ保険料を値上げ/値下げ


IoTセキュリティ確保に向けた技術的課題～対策コストの低減～


67

機器が増殖するIoTのセキュリティ対策を

人手でやるとコストがかさむ…

（通信キャリアにとっても重大問題）

IoTのセキュリティ対策を省力化・自動化したい


まず自動化したい業務プロセス（案）

68


①特定

資産管理

ビジネス環境

ガバナンス

リスクアセスメント

リスク管理戦略

サプライチェーン管理

②防御

アクセス制御

意識向上/トレーニング

データセキュリティ

情報保護プロセス・手順

保守

保護技術


③検知

異常とイベント

継続的なモニタリング

検知プロセス

④対応

対応計画の実施

伝達

分析

低減

改善

⑤復旧

復旧計画の実施

改善

伝達


資産管理（デバイス管理）の自動化

69

IoT機器の構成/状態管理を自動化

• 各機器の型番やバージョンの情報をサーバーで一元管理

• 各機器の動作の状況・履歴をリモート監視

• 各機器の初期設定／バックアップ／設定変更を遠隔で実施

• 各機器の最新の脆弱性情報を入手・管理

※参考になる類似規格 IO-Link (IEC61131-9) , FDT (IEC62453）


アクセス制御の自動化

70

デバイスの真贋判定を自動化

• ハードレベル（改ざん不能のチップ）で個体管理

• ソフト/ファーム/パラメータもID化（ハッシュ値など）

• なりすましや改ざんを自動検知可能に

ホワイトリストの生成・運用の自動化

• 正常な通信パターンを機械学習しホワイトリスト化

• ホワイトリストをエッジ～ゲートウェイ～WANに配置


モニタリング・検知プロセスの自動化

71

各機器の改ざん/異常を自動で通知

• 各機器が自分の状態を常時監視

• 設定変更/ソフト更新を自動検知

• 改ざんが検知されたら自動停止も可能に

• 不正な通信を検知したら遮断・アラート発報

物理的な異常も自動で検知し通知

• 破壊/盗難(移動)/電源断などを認識/推測し通知

• 故障/火災/水没などの物理トラブルも検知


通信キャリアの役割


通信事業者に期待される役割

73

各国・地域のルールに応じた

IoTセキュリティの管理策が

安価で的確に行えるサービスを関係各社と協力して整備


Ａ国

ソリューションのイメージ

74

WAN

LAN LAN

デバイス

グローバルネットワーク

・・・

国別ルール

セキュリティゲート

Security Operation

support Center

SOC

AI自動ＳＯＣ

デバイス情報

Ｂ国

WAN

LAN LAN

デバイス

AI自動ＳＯＣ

デバイス情報

Ｃ地域

WAN

LAN LAN

デバイス

AI自動ＳＯＣ

デバイス情報

NFV*で機器の状態/通信をモニタリング、国別/国際ルールで即対応

国際ルールデバイス情報脆弱性情報

防御検知対応復旧

メーカーP社

メーカー Q社

・・・

ユーザー X社

ユーザー Y社

・・・

情報共有

× × ×

国別ルール

地域別ルール

*Network Functions Virtualization

セキュリティゲート


実現に向けて協力すべき関係者

75

デバイスメーカー

組込システムメーカー

通信機器/システムベンダー

システムインテグレーター

電機機械ロボット関連団体

OT系ネットワーク関連団体

関係省庁

大学/研究機関

通信キャリアなど

要件整理～仕様検討～提案～技術実証～実用化～標準化を進めたい


提言）セキュリティ強化に必要な政策


日本の課題(政策の遅れ)と今後の方向性

77

課題有効と思われる政策（例）

経営者の意識改革・事故情報共有の義務化・セキュリティ監査結果の開示を推奨

製品のセキュア化・認証機関の整備・認証取得の義務化/推奨

セキュリティ人材育成・学校/入試制度の改革（職能教育充実）・社会人向け職能教育の拡充（ドイツ式）

投資コスト負担軽減・対策技術の産官学共同開発・防御/検知システムの公共プラットフォーム化

運用コスト負担軽減・職業教育/技術訓練の公教育化・サイバー消防/救急隊の公共サービス化

(補助金やガイドラインだけでなく)

「法律」で中小企業や弱者の安心安全も守るのが政府の使命

企業経営者・業界団体からも積極的に政策提言を


まとめ


本日の講演まとめ

セキュリティ対策は義務化へ

IoTは高リスク＝対策が急務

米国NISTの基準を参照する

社外の専門家と協力体制を

業界を越え産官学で連携を

対策自動化の共同開発を

政府/公共部門の支援を要請

79

IoT対応のセキュリティ戦略を経営課題に格上げし早く実効的な取り組みを始めるよう幹部に進言を


ただいま IoTセキュリティに関するデモ展示を行っております。「IoTデバイスへのサイバー攻撃をキャリア網が防御！」ぜひ展示エリアまでお越しください。

印の場所に展示しています。

ご清聴ありがとうございました。

iotサービスを企画・開発・運用するための セキュ...

Documents

iotサービスを企画・開発・運用するためのセキュ...