CSA Japan Summit 2016

IoTセキュリティレポートによる課題とセキュリティライフサイクルアプローチ

2016年5月24日日本ヒューレット・パッカード株式会社ITアシュアランス＆セキュリティジャパンカントリーリード兼セキュリティエバンジェリスト増田 博史

本日のAgenda（25分間）

１．世界の脅威動向

２．IoTセキュリティにおける主な課題と取り組み方（特にIoTエンドポイント/デバイス周り）

3

１．世界の脅威動向

よく聞く声（悩みや課題）

何を、どこまでやればいいのか？

IE/Heartbleed/shellshock等の脆弱性、ベネッセ内部犯行、オンライン不正送金、サイバーセキュリティ基本法、年金機構攻撃被害、マイナンバー、2020東京オリンピックetc.....

セキュリティは、やらなければいけないが・・・

認識 予測 準備 対応

学習・共有

HPEが提唱する危機管理の考え方

12兆円サイバー脅威のブラックマーケット年間市場規模（全世界）

Sources: 2 Ponemon Institute: Enterprise Security Benchmark Survey, November 2012

攻撃者

動機

ハクティビズム

サイバー犯罪

国家/組織

テロリズム

金銭

知的財産

地政学的

信仰・信奉

社会・政治・環境等ブラックマーケット

増大する攻撃者たち

５．退却

４．窃取

２．侵入１．リサーチ

ブラックマーケットと攻撃ライフサイクル

ハッキングによる侵入攻撃標的の調査

データの破壊や持ち出し

データの取得

金銭化

情報やデータの売買

$$$$$$$$$$$３．探索

内部環境のマップ作成

ご参考：Economist.comによる米国のデータ侵害における調査結果（2015）

データ侵害のタイプで、2010年頃からハッキングが圧倒的に増えている

流出データの割合は、カード番号やソーシャルセキュリティナンバが約半数だが、他が増加中

10

２． IoTセキュリティにおける主な課題と取り組み方（特にIoTエンドポイント/デバイス周り）

IT

IoTの価値とリスク

OT＋

サイバー フィジカル

＝

価値・データ量・デバイス数

リスクConfidentialityIntegrityAvailability

Safety

HPEが考えるIoTセキュリティのための３つの柱

Trusted Products

安全なハード/ソフト製品で構成される全体像

Process

データやシステムのフローユーザフロー

Security By Design

企画設計からフルライフサイクルのセキュリティ

Trusted Products

Process Security By Design

IoTの主な機能ブロック

IoTプラットフォーム

仮想化

IoTクラウド/プラットフォーム

通信

エッジコンピューティング

IoTエンドポイント Dat

a,

Appl

icat

ions

, C

omm

unic

atio

n, U

sers展

示ブース/

別途ご紹介

本講演

HPEのIoTセキュリティリサーチレポート

2014

IoTデバイスの70%に攻撃に対する脆弱性

IoTデバイスあたりでは平均25件の脆弱性

•デバイスの80%が、１２３４のような容易に推測できるパスワードを許容しています。•デバイスの80%が、プライバシー上の問題となりうる情報を収集している。（名前，Emailアドレス，自宅住所，生年月日，クレジットカード番号，健康情報等）•デバイスの70%が通信を暗号化していない。ソフトウェアアップデートの取得に暗号化を利用していないデバイスが60%存在した。

リサーチ対象：最も普及しているIoT端末10種（ス

マートテレビ、ウェブカメラ、サーモスタット（温度計）、リモート電源管理、スプリンクラー制御装置、ドアロック、住宅用警報機、ガレージ開閉機等）

HPEがリードしたOWASP IoT Project/OWASP IoT Security Top 10https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

HPEのDaniel MiesslerがOWASP Iotprojectのリーダーとして、OWASP IoT セキュリティTop10を発表しました。（2014）

IoTデバイスにおけるセキュリティ上の問題 - トップ101. 安全ではないWebインターフェイス2. 不十分な認証3. 安全ではないネットワークサービス4. 暗号化されていない通信5. プライバシーに関する懸念6. 安全ではないクラウドインターフェイス7. 安全ではないモバイルインターフェイス8. 不十分なセキュリティ設定機能9. 安全ではないソフトウェア10. 物理的なセキュリティ脆弱性

※IPA「「IoT開発におけるセキュリティ設計の手引き」がOWASP Top 10 IoT脆弱性を参照http://www.ipa.go.jp/security/iot/iotguide.html?utm_source=dlvr.it&utm_medium=twitter

クラウドサービス型アプリケーションセキュリティサービスFortify on Demand の概要イメージ（for OWASP IoT）

or http://...

ソースコード/URLのアップロード ・ぜい弱性診断の実施

・診断結果の精査・レポートの作成

HPEエンジニア

動的解析（外部からのペネトレー

ションテスト）

静的解析（ソースコード・バイナリファイル

の解析）

Webやアプリケーション

・診断結果の参照・レポート出力

日本語ポータルサイト

修正/対応

お客様 HPE

“IoTシステム”

連携

IoTの仕組み/フロー概要

外部利用者

データ収集・認識・分析

外部システム

装置・設備系、人間系への施策（ループバック）

データ活用者

自動リアルタイム分析と

迅速なリアクション

情報やサービス

インサイト

端末

セキュアで継続的変化に対応できる仕組みへのトランスフォーメーションが重要。

外部データ利用

参照

データ

装置

様々な”Things”

暗号化は重要だが・・・中の監視ができないことやパフォーマンスの課題も。→ データのフォーマットを維持した暗号化および無害化（FPE/SST）

5361 9239 2408 62811234 5678 9012 3456FPE暗号

フォーマットを保った暗号化元データ

暗号化例：数字16桁の場合

NIST SP800-38G(AES Encryption FFX Mode)

復号可能

5361 9239 2408 62811234 5678 9012 3456トークン化

トークン化元データ

トークン化例：数字16桁の場合

Secure Stateless Tokenization（トークナイゼーション）

不可逆

Format-Preserving Encryption（フォーマット維持暗号化）

※9から17桁の数字のみ

HPE Voltage SecureData FPE活用事例 – 高級車向け車載コンピュータ

車載コンピュータ

情報収集システム

車載コンピュータ支援 クラウドシステム

変換後データ変換前データ

Voltage

データベース

Comp ID: ATL20501245882GPS: $GPRMC,085120.307,A,3541.1493,N,13945.3994,E,000.0,240.3,181211,,,A*6ASpeed: 82 milePedal 1: 75Pedal 2: 00Pedal 3: 00Temperature: 71.6…..

Comp ID: DRM81473519365GPS: $XWTJA,247354.194,D,6173.2618,R,61472.4821,Y,372.1,752.4,363572,,,G*5FSpeed: 50 milePedal 1: 91Pedal 2: 47Pedal 3: 36Temperature: 20.4…..

データを匿名化する事でクラウド利用による外部攻撃のリスクを最小化します。

変換例１

情報収集システム

変換後データ

データベース

例２Voltage

変換変換後データ

IoTシステム

セキュリティ

IoTインフラ

ご参考：IoTの仕組み - 主な機能ブロック

通信 分析リアルタイム分析とリアクション

ディープ分析

•機器•設備•人•・・・・・

監視・管理・運用自動化

外部システム連携

アプリケーション開発

•広域・限定域•有線・無線

外部システム連携、外部データ参照

外部利用者(データ、サービス）

セキュリティ

データ収集・認識

デバイス（データ感知）

•機器•設備•人•・・・・・

セキュリティ

データ

Physical Security (PS)

Cyber Defense (CD)

Identity & Access

Management (IAM)

Infrastructure & Network

Security (INS)

Applications Security (AS)

Data Protection &

Privacy (DPP)

Converged Security (CS)

Resilient Workforce (RW)

Security & Operations Management (SOM)

Strategy,Leadership

& Governance(SLG)

Risk & ComplianceManagement (RCM)

Security ResilientArchitecture (SRA)

ご参考：HPEサイバーリファレンスアーキテクチャ概要Cyber Defense blueprint example

21

Actionable Sec & Threat Intelligence

Correlated events

Security Analytics

Context & Behavior Layer

Threat Intelligence &

Profiling

Digital Investigation &

Forensics

Intelligence Layer

Vulnerability Management

Threat Sources Layer

Security Information &

Event Management

Security Incident Response & Remediation Management

Forensic & Incident

Response Tooling

Operations Layer

Controls Layer

Strategic Layer

Asset Management

Containment, Clean-up, Eradication, Disruption, Remediation Physical

eventsIT

eventsOT

events

Blueprint: Maps domains and sub-domains into layers and identifies key flows between them

© Copyright 2016 Hewlett Packard Enterprise Development LP

■サイバー脅威の急激な増大を認識し、IoTへ脅威が広がることを認識する。

■ライフサイクルの長さや、メンテナンスを鑑みて、IoTデバイスのアプリケーション診断などのOT周りは、すぐに始める。

■システム全体のアーキテクチャおよびフルライフサイクルによるトータルセキュリティモデルで考えていく。

まとめ

Thank you!

23

４．窃取

HPEのグローバルリーディングソリューションと包括アプローチ

• エンドポイントセキュリティ• リアルタイム相関分析（HPE ArcSight）

3. 早期検知

• HPEコンサルティングおよびサービス

5. 対応/回復

• データ暗号化（HPE Atalla/HPE Voltage）• データリカバリ（バックアップ/DR）

4. データ保護

５．退却 ３．探索

２．侵入１．リサーチ

1. 脅威インテリジェンス

• HPEセキュリティリサーチ• Threat Centroal

• 境界（FW/IPS）、Web（HPE Fortify）• 認証（HPE IceWall, HPE Aruba ClearPass）

2. 侵入防御

ご参考：HPEのIoTモデル構成例1エッジ環境

業務システム

外部サービス

ストリーム処理（CEP/リアルタイム）

ビッグデータ分析

行動履歴プッシュ広告

センサー

HEMSスマートメーター

機械学習

クラウド、モバイル、IoT 統合認証基盤（位置認証 / IoTデバイス認証 /本人認証・認可 / シングルサインオン / Federation etc.）

監視カメラ ストリーミング

MQTTメッセージ変換プロトコル変換

クラウド または オンプレミス

Predictive

Analytics

死活監視

Flume or

Fluentd

Kafka

ゲートウェイEdgeline EL20

802.11ac 無線LAN/ビーコン

SAS®

Visual Analytics

セキュリティ

CONFIDENTIAL 25

HPEトータルセキュリティモデルにおける課題と対策ポイント

PeopleProcess

Technology

ポリシー

組織/教育

技術/ツール

ヒューマンプロセス

システムプロセス

統合ログ

SOC レスポンス（CSIRT）

運用 その他ユーザー

内部犯行外部攻撃

アウトソースサービス

ManagedSecurityService

ヘルプデスク

エグゼクティブ

内外の環境変化からポリシーの見直しの時期

人の脆弱性は？

スキルやリソース不足で自社だけでは困難

End to End脅威インテリジェンス

新しいポリシー、外部専門家を組み入れた人材（組織）、外部脅威インテリジェンスを活用する技術、のベストトライアングルによる次世代セキュリティモデルが必要。

ゼロデイ脆弱性は？

早期検知/対応は？

グローバルに広がる HPE のセキュリティ体制と経験

監理しているセキュリティ機器

180万以上

HPEが保護しているユーザアカウント

4700万

HPE MSS顧客

1000以上

HPEセキュリティ製品顧客

10000以上

HPEセキュリティ専門家

5000+

セキュリティオペレーションセンター

Texas

Virginia

Toronto

Costa Rica

GermanyUK

Bulgaria

India

Malaysia

Australia

Global SOC Regional SOC

10