企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第3回「転ばぬ先のIoTセキュリティ~コウカイする前に知るべきこと~」について語る | ScanNetSecurity
2024.03.19(火)

企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第3回「転ばぬ先のIoTセキュリティ~コウカイする前に知るべきこと~」について語る

IoTセキュリティ専門家にIoTセキュリティの現在と現時点における最良の取り組み方について解説いただき、また、顕在化するIoT製品脆弱性への取り組みついて先行者の事例やPSIRTと呼ばれる枠組みについても紹介します。

研修・セミナー・カンファレンス セミナー・イベント
11月28日から12月1日にかけて、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)主催の「 Internet Week 2017 ~向き合おう、”グローバル”インターネット~ 」が、浅草橋のヒューリックホール&カンファレンスで開催される。

セキュリティ関連のプログラムでは、(ISC)2が認定する情報セキュリティの国際資格であるCISSP維持のための「CPEクレジット」も貯められる。

情報セキュリティに関するプログラムの見どころを語ってもらう企画の3回目は、11月29日(水)に行われるプログラム「転ばぬ先のIoTセキュリティ~コウカイする前に知るべきこと~」について、NRIセキュアテクノロジーズ株式会社の中島智広氏、国立研究開発法人情報通信研究機構(NICT)の久保正樹氏、一般社団法人ICT-ISACの齋藤和典氏に話を聞いた。


――「IoT大"航海"時代を前に、サービスやプロダクトを"公開"し、"後悔"しないためのエッセンスを共有したい」ということですが、ひとくちに「IoTセキュリティ」といっても範囲は広いですね。

「IoT」という言葉はまだまだバズワードで、言葉を聞いてなにをイメージするか、聞き手によって違います。IoT にはいろいろなプレイヤーがいますが、共通する1つの考え方としては、まず IoT サービスを管理・運用するサービス提供者にあたる人がいます。さらに、提供されるサービスを開発やテスト、あるいは統合を行ういわゆるSIer的な立場のサービスディベロッパー、最後に IoT サービスを利用するユーザーがいます。

・サービス提供者
・サービスディベロッパー
・ユーザー

この3つの層をイメージしつつ、特定のIoTの分野に偏らず、3つの層におけるセキュリティの現状と課題、必要な取り組みについて話が聞けるようなプログラムを考えているところです。

――具体的にどのようなプログラム構成になるのか教えてください。

IoT全盛時代に向けて多くの専門家がセキュリティの課題を指摘していますが、実はこういったネットワークにつながる機器の脅威はすでに顕在化しています。ネットワークを能動的にスキャンしたり、ハニーポットを用いた受動的観測から見えてきた、今、なにが起こっているのかという、現実の脅威について、まずはじめに横浜国立大学の吉岡克成先生にお話しいただきます。マルウェア感染や踏み台といったポピュラーなものから、「まさかこんなことが・・・」と驚くような事例まで幅広く取り上げてくださる予定です。

次に、デバイスという視点でIoTに欠かせないセキュリティの知識や考え方を紹介してもらいます。株式会社FFRIの金居良治さんは、昔から機器の脆弱性検査やペネトレーションに精通されているプロフェッショナルの方で、国産のファジング検査ツールを開発されるなど、さまざまなノウハウをお持ちです。まだまだ一般になじみの薄いデバイスセキュリティならでは脅威を取り上げ、現実的な脅威であること、新しい観点が必要であることを共有してもらいます。

その後には、ガイドラインを中心としたIoTセキュリティへの体系的な取り組み方の話を取り上げます。国や業界団体をはじめ国内外に複数のガイドラインが存在します。しかし、これらのガイドラインが存在するからといって、そのまま自社製品のセキュリティを高めることは難しく思います。そこで、コンサルタントの視点から「どのように利活用していくのか」というポイントを紹介してもらうということを考えており、これをNRIセキュアテクノロジーズ株式会社の熊白浩丈さんにお話しいただく予定です。その一環としてPSIRT (Product Security Incident Response Team)と呼ばれる製品に関するインシデントの予防や対策を担うプロダクトセキュリティの取り組みについても紹介してもらいます。

最後に、製品セキュリティと出荷後の脆弱性対応について、積極的に取り組んでおられる株式会社アイ・オー・データ機器の島田康晴さんに、自社製品の脆弱性対策、製品セキュリティを確保するためのこれまでの取組みとこれからについてご紹介いただきます。実際に「転んでしまった経験」をお持ちであり、先駆者ならではの知見を、生の苦労話を踏まえながらお話しくださいます。これからIoTデバイスを開発したり、IoTサービスを開発するディベロッパーのみなさんには有用なインプットになると考えています。

――このプログラムの対象者はどのような方ですか。また、読者や参加者にメッセージをお願いします。

IoTデバイスをこれから開発あるいはサービス提供する立場の現場担当者や事業責任者には聞いていただきたいです。要は、これからIoTでビジネスをしようと思っている人ですね。3層のプレイヤーが関わっていてそれぞれの個別のセキュリティはあるとは思うのですが、プレイヤーをまたがった話者の人から幅広く聞けるという機会はそうはなく、得るものがあるんじゃないかな、と考えています。皆さまのお越しをお待ちしています。

●プログラム詳細
「S10 転ばぬ先のIoTセキュリティ~コウカイする前に知るべきこと~」
https://www.nic.ad.jp/iw2017/program/s10/

- 開催日時:2017年11月29日(水)16:15 ~ 18:45
- 会場:ヒューリックホール&カンファレンス(浅草橋)
- 料金:事前料金 5,500円/当日料金 8,000円

16:15 ~ 16:20
本プログラムの焦点 ~IoTの全容に迫る~
- IoTという言葉が示すものの範囲は広く、焦点をあわせなければ議論が発散しがちです。IoT領域の全体像を提示しつつ、その中で、 本プログラムで取り上げるIoTの焦点について簡潔に解説します。

16:20 ~ 17:05
繋がるデバイスの現在
- 講演者:吉岡 克成 (横浜国立大学 大学院環境情報研究院/先端科学高等研究院 准教授)
- すでに顕在化している「繋がるデバイス」へのサイバー攻撃の脅威と実情について解説します。総務省施策であるIoT機器の脆弱性調査の現状についても触れます。

17:05 ~ 17:35
知られざるデバイスセキュリティの世界
- 講演者:金居 良治 (株式会社FFRI)
- IoTセキュリティという言葉からは、多くの人はネットワークセキュリティに近いものを想像するかもしれません。しかし、IoTをはじめとするデバイスセキュリティの世界では、それ以外の観点、例えば物理アクセスへの脅威へも対策が必要となります。代表的なデバイスセキュリティ固有の脅威について取り上げ、 現実的な脅威であること、新しい観点が必要であることを共有します。

17:35 ~ 18:15
体系的なIoTセキュリティへの取り組み方
- 講演者:熊白 浩丈 (NRIセキュアテクノロジーズ株式会社)
- IoTセキュリティへ取り組む際、 観点が多岐にわたるためガイドラインの利活用が欠かせません。しかしながら目的や焦点の異なる数多くのガイドラインが乱立しており、その活用にも障壁があります。本パートではまず、ガイドラインの効果的かつ実践的な利活用について取り上げます。加えて、デバイスに関するインシデントの予防や対策を担うPSIRT (Product Security Incident Response Team)の枠組みについても解説します。

18:15 ~ 18:45
PSIRTと事後対応の取り組み
- 講演者:島田 康晴 (株式会社アイ・オー・データ機器 事業戦略本部 企画開発部)
- セキュリティに細心の注意をしていても脆弱性が発見された場合、そのままというわけにはいきません。製品セキュリティ確保を担うPSIRTの役割と、転んだ後に起き上がるために、デバイスメーカーである弊社がこれまで行ってきた事後対応の取り組みについてご紹介します。

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×