イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート | ScanNetSecurity
2021.06.22(火)

イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート

「IoTサイバーセキュリティ認定ラボ」の創設を記念して、無料オンラインセミナー「IoTセキュリティのあるべき姿」を開催。昨今のサイバーセキュリティを取り巻く環境について、また世界の最新事情や国内の実例を交えご紹介しましたので、レポートします。

脆弱性と脅威
イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート
  • イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート
  • イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート
  • イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート
  • イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート
  • イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート
  • イエラエセキュリティ CSIRT支援室 第 13 回 イエラエ × BSIグループ協業記念セミナー「IoT セキュリティのあるべき姿」レポート
 近年「デジタルトランスフォーメーション(DX)」が急速に進展し、家電や自動車、ビル、工場、社会インフラに至る様々なものがインターネットに接続され、IoT 化が進んでいます。総務省が発表した「令和元年版 情報通信白書」によると、2022 年にはおよそ 350 億台もの IoT 機器がインターネットに接続されると見込まれています。一方で、IoT 機器を狙うサイバー攻撃の手口は高度化・巧妙化しており、脅威に晒される IoT 機器のセキュリティ対策は喫緊の課題と言っていいでしょう。

 イエラエセキュリティは 2021 年 3 月 15 日に、BSI グループジャパン、BSI Professional Services Japan と、IoT 機器におけるセキュリティ基準の標準化実現に向け、協業を開始。世界各国にオフィスを構え、183ヵ国以上の顧客にサービス提供し、政府等とも協力しながら IoT のベクトプラクティスの形成に尽力してきた BSI と、IoT 機器のセキュリティ基準を検証する「IoT サイバーセキュリティ認定ラボ」を創設しました
(参考:https://ierae.co.jp/news/press_20210315/ )。

 これを記念して、3 社にて無料オンラインセミナー「IoT セキュリティのあるべき姿」を開催。昨今のサイバーセキュリティを取り巻く環境について、また世界の最新事情や国内の実例を交えご紹介しましたので、レポートします。

IoT 製品への安全・確実な“信頼”こそが、導入促進の鍵となる


 「BSI IoT セキュリティ最前線」と題して、グローバルな視点からの最新セキュリティ動向を紹介したのは、BSI UK でグローバル・デジタル・プロダクト認証ディレクターを務めるデイビッド・マッド氏。これまで、スマートシティ、コミュニティ、アセットシステムを含む、IoT と呼ばれるあらゆるデジタルデバイスやセンサーの認証を担当する中で、固有のパスワードを用いたりデータを暗号化していないなど、基本的な管理すらされていない脆弱なデバイスを数多く見てきました。

 特に家電等、一般ユーザー向けのセキュリティ管理について「このコロナ禍で家庭で仕事をする人々が多くなり、ビジネスと家庭の境界線が曖昧になっている今、このような脆弱なデバイスが家庭にあることはビジネスの脅威となることも意味しています」と、マッド氏は懸念を示しました。

 現在、メーカーの 8 割以上は、IoT の脆弱性開示に関する明確なポリシーを持っているとは言えない状況です。また、発見された脆弱性に対応すべきメーカーの対応は必ずしも充分とは言えません。これら脆弱性は、悪意ある攻撃者からのダメージを受けるリスクはもちろんのこと、昨今話題の「エシカル・ハッカー」により公表されることで、悪意ある攻撃者から以上のダメージを受けてしまうこともあり得ます。

 EU のIoT レギュレーションとなっている 3 要件は、「デフォルトのパスワードを設定しない」「脆弱性報告のための公式窓口を設定する」「セキュリティソフトウェアをアップデートがいつまで可能か購入時に明示する」この 3 つです。「一見、簡単な要件のように見えるかもしれませんが、弊社で診断した製品では、この 3 つのうち 1 つを満たしていないことが圧倒的に多い。弊社に製品を送ってくるのは、セキュリティを自ら強化し、自社製品の安全性に確信をもっているメーカーであるにも関わらず、この条件を満たすことができない状態で初回のテストを受けているのが現状です」とマッド氏は言います。

 BSI は、これらセキュリティにまつわる問題を包括的に支援しています。もちろん IoT 以外のサイバーセキュリティについても取り扱っており、ユーザーのビジネスに対応した幅広い対応分野において支援を行うことが可能です。100 年以上という長い年月製品の認証活動を行っており、特に安全性やセキュリティ機能を持つ製品の認証を担ってきています。近年ではセキュリティ企業の買収や、イエラエセキュリティなど専門性の高いサイバースキルを持った企業との戦略的提携などを積極的に行い、ますますその専門性を独自に高めています。

 また本スピーチでは、セキュリティの最新動向を共有するだけでなく、「セキュリティの 1 歩目はどこからやったらいいんだろう?」という IoT 機器メーカーの担当者の疑問に答える形で、いくつかの「ネクストステップ」が提示されました。無料で取得できてすぐに活用できる、グローバルな IoT セキュリティに関するベストプラクティスガイダンス、そして BSI の提供する「BSI IoT Security Foundation Test」の紹介がありました。日本においては、イエラエセキュリティとのコラボレーションにより、セキュリティに熟達した担当者が日本語でサポートすることが可能になっています。


 BSI は 100 年以上前から、“信頼”を表すカイトマーク(BSI Kitemark)を所有・運営・発行してきました。元々は英国でのみ使用されていましたが、現在ではあらゆる分野にわたり「品質」と「安全性」を示すシンボルとして世界中で認知され、2,500 以上の有効なライセンスが発行されています。マッド氏は最後に「IoT の重要な課題は“信頼”です。意図されている使用期間中に、製品が安全に確実に動作することへの“信頼”は、IoT 導入の鍵となります。その信頼性を高めるためにカイトマークの活用が 1 つの選択肢となります」と述べ、BSI における IoT セキュリティへの取り組みの重要性について強調しました。

“ツライ IoT セキュリティ”の第一歩は、第三者によるペネトレーションテストでクリア

 株式会社イエラエセキュリティからは、執行役員であり、高度解析部 部長の寺村 亮一 氏が、「IoT セキュリティのあるべき姿とその第一歩『IoT ペンテスト』のススメ」と題して登壇しました。寺村氏は、自動車業界を中心としたIoTセキュリティやサプライチェーンセキュリティの支援をしてきたキャリアを持ち、イエラエセキュリティではクラウドセキュリティ、アプリケーションセキュリティでの解析にも精通した人物です。

 寺村氏は、「IoT セキュリティではやるべきことが多岐に渡り、非常に“ツライ”。ハードウェアを巻き込んだセキュリティを考えなければなりませんし、関連する会社が 1 社や 2 社ではない。また、作り手に運用を渡してしまう為、すぐに直すことも難しい」と数多くの経験から語りました。IoT 機器については、製造の段階で登場人物が非常に多いことに加え、役割分担もはっきりしていません。全体を見て指示出しする人は誰なのか、コストを負担するのは誰なのか。また要求仕様も曖昧になることが多く見られます。

 IoT セキュリティに関するガイドラインや法規は日欧米で策定され始めており、それらガイドラインを適用することで、一定のセキュリティ効果が見込まれます。ただし、IoT デバイスは企画、設計開発から利用中のアップデート、そして廃棄後のデータ管理まで視野に入れなければなりません。この IoT ライフサイクルを通じたセキュリティ施策の全てを、数多くの登場人物で足並みを揃えて、ガイドラインに準拠させることは困難です。


 「全てを一度に修正することは非常に困難ですから、順を追って対応することをやっていくしかありません。IoT セキュリティにおいても、シフトレフト、SDLC、DevSecOps という言葉に代表される開発プロセスからセキュリティを組み込む手法が有効です。ただ、これらをサプライチェーンにまたがって適用することも難しいですし、多くの項目について調整や時間が必要です」と寺村氏は言います。

 それでは、IoT セキュリティにおいて、最初に実施すべきことは一体なんでしょうか。寺村氏は、まずサプライチェーンにおける OEM とサプライヤ間のインタフェース部分における認識共有、取り組みを見直すことを勧めます。まず、最もクラシカルな方法として、セキュリティ要件の策定と、準拠しているかどうかのチェックが挙げられるでしょう。ただし、最初から OEM とサプライヤがお互いのやるべきことを理解したうえで、適切な要件を策定することは困難です。適切な要件が生成されるには時間がかかるので、第一歩としては適切ではないかもしれません。

 次の方法としては、BSI のような評価機関による認証を取得することです。認証された製品であれば、すぐに問題が露呈するような脆弱性についてはチェックが済んでいると自信を持てます。ただし、期間や金額的な面で認証機関での検証をすることについてハードルが高いと感じる場合もあるかもしれません。

 寺村氏が勧めるのは「第三者によるペネトレーションテストによる確認」つまり、侵入テストの実施です。保護すべき資産と、その資産を侵害する想定脅威を想定し、それが“実現できない”ことを“攻撃者目線”で評価します。イエラエセキュリティでは、機能も仕様も利用状況も全く違う様々な IoT デバイスに対して脅威モデリングを行い、その想定した脅威を実現できるかできないか、実際に多くのテストを実施してきました。

 ペネトレーションテストでは、まず保護する資産を明確にすることから始まります。個人情報、クレデンシャル情報、機器の制御などが、それにあたります。次に、アタックサーフェイスなる外部通信路、外部ネットワーク、ローカルインタフェース、ハードウェアから、それぞれ具体的に脅威となり得る事象を導き出します。通信の盗聴、改ざん、なりすまし、アップデートサービスの悪用、ファームウェアの漏洩などが挙げられます。


 多くの IoT デバイスは、Web アプリケーション等と異なり、攻撃者がデバイスを取得することが容易です。そのため、イエラエセキュリティでは、攻撃者がハードウェアを分解することを想定した「ハードウェア解析」、攻撃者がファームウェアを抽出、バイナリ解析を行うことを想定した「ソフトウェア解析」、そして、動作するデバイスに対するテスト「動的解析」等を行い、脆弱性を探し、想定脅威の実現性を検証します。

 寺村氏は「実際に発見される脆弱性のうち約 67 %はソフトウェア解析により発見されます」と語り、自身が DEF CON 28 で発表した研究内容を紹介しました。これらの解析を行うことにより見つかった脆弱性は、TLS の証明書検証の不備、乱数や鍵生成の不備、パスワードのハードコード、認証認可の不適切な設定、セキュアブートの設定ミス、OSコマンドインジェクションなど、多岐にわたります。

 イエラエセキュリティでは、これら侵入テストのアウトプットとして、単なる診断結果の記述に留まらず、想定脅威の実現可能性や、攻撃シナリオの手順も記述し、対策案も含めた説明を記載することで、修正というネクストステップに進みやすい支援を行っていることもご紹介しました。

質の高い IoT セキュリティ支援を実現するための協業がスタート

 二つの IoT セキュリティに関する講演の前後に、この度のイエラエセキュリティと BSI グループとの協業について、紹介の時間を設けました。


 冒頭では、BSI グループジャパン株式会社 Product Certification 部 ビジネスデベロップメントマネジャー 仁井田 克英 氏から「セキュリティ診断業務に特化したホワイトハッカー集団であるイエラエセキュリティと、グローバル認証機関である BSI が協業することで、日本の事業者様をワンストップでサポートできると考えた」と説明がありました。

 創設した「IoT サイバーセキュリティ認定ラボ」は、BSI から認定を受け、試験、診断実施することができる試験場です。日本ではイエラエセキュリティにより、試験、診断サポートが可能となっており、最終的に BSI から認証書の発行をさせて頂きます。


 セミナーのクロージングでは、BSI Professional Services Japan 代表取締役社長 小島 英彦 氏より「BSI Professional Services Japan のご紹介」と題してスピーチがありました。2015 年に設立された BSI Professional Services Japan では、サイバーセキュリティ領域のアドバイザリー、各種支援サービス、関連席ソリューション提供などを行ってきました。

 BSI グループは規格の認証・審査というイメージが強いですが、コンサルティングサービスも行なっています。また BSI グループ企業として、グローバルな専門集団の質の高いサービスを提供しています。「時差の問題や言語の問題があり、日本でセキュリティ支援をするためには、現地の技術者の協力を得なければ本当に質の高いサービスを提供することはできないと感じていたところ、イエラエセキュリティと出会いました」と協業に至る経緯のご紹介がありました。

 IoT セキュリティの重要性が飛躍的に高まる今、イエラエセキュリティは今後、BSI グループとの協業を通して、一層のサービス強化を目指していくことを目指していきます。
《株式会社イエラエセキュリティ》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  2. Hitachi Application Server ヘルプにXSSの脆弱性

    Hitachi Application Server ヘルプにXSSの脆弱性

  3. 日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性

    日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性

  4. 我らかく戦えり 第2回「努力の払い損にはならない、送信側にも目に見える効果をもたらす DMARC」

  5. Laravel においてデバッグモードが有効な場合に任意のファイル書き込みによる遠隔コード実行が可能となる脆弱性(Scan Tech Report)

  6. 日本学生支援機構の職員を装った詐欺に注意を呼びかけ、4つの事例も紹介(JASSO)

  7. トロイの木馬をダウンロードする不正アプリ、GooglePlay上で28種見つかる(Dr.WEB)

  8. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  9. オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?

  10. LogStareのSOCの窓 第1回「錠前を購入したが施錠せず」

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×