第8回IoT Security OEM Partner Forum - McAfee · 18/07/2019 · 第8回IoT Security OEM Partner...

第8回 IoT Security OEM Partner Forum

サイバー空間における脅威の動向とIoTのセキュリティへのアプローチ2019年7月18日

マカフィー株式会社

Agenda

❖ サイバー空間における脅威の動向

❖ IoT市場動向と国政府の取り組み

❖ Secure Home Platformのご紹介 CMSB事業本部パートナープロダクトマネジメント本部本部長風見裕樹

❖ まとめ

Jul 18, 2019 McAfee Confidential. Copyright© 2019 McAfee LLC. All Rights Reserved. 1

サイバー空間における脅威の動向

7Pay不正使用

❖事象アカウント不正ログイン

第三者による登録済クレジットカードを使用した入金

入金したお金をセブンイレブンで不正利用

❖ SNSで指摘された問題メールアドレスを確認することなく登録可能

生年月日が未入力だと2019年1月1日を設定(iOS)

パスワード・リセットは登録メールアドレスと別に送付先のメールアドレスを指定可能

生年月日，電話番号，会員IDでパスワードリセットが可能


Source : https://www.7pay.co.jp/news/news_20190704_01.html

Source :

https://www.meti.go.jp/press/2019/07/20190705003/20190705008.html Source : https://piyolog.hatenadiary.jp/entry/2019/07/04/065925

いきなりですがQuizです


二段階認証とは，ID/passwordの認証に加えてSMS/Mailを使用するなどして，認証プロセスが二段階に分けて行われる認証ですが，以下の組み合わせのうち，二要素認証として正しい組み合わせを選びなさい

a. キャッシュカードと暗証番号

b. パスワードと秘密の質問

c. 指静脈認証と虹彩認証

d. 預金通帳と印鑑

❖認証の種類知識認証：本人だけが知っている知識で認証

◼ パスワード，PINコード

所有物認証：本人の持っている所有物で認証◼ ICカード，キャッシュカード，ワンタイムパスワード用トークン(ハードウェア/ソフトウェア)

生体認証：本人の身体的特徴で認証◼指紋，顔，静脈，虹彩

解答：a. キャッシュカードと暗証番号

WannaCry

❖ ゴールデンウィーク明けに発生した同時多発ランサムウエア感染 (2017/5/12夜~13未明) MS17-010未適用のWindows 7, Windows Server 2008及びそれ以前のOSを対象

SMBプロトコルの脆弱性を用いて組織内に侵入し自己増殖するWORM型マルウエア

❖製造業では，複数の企業において複数日間の工場の操業停止に至る感染報告あり

July 17, 2019 McAfee Confidential. Copyright© 2019 McAfee LLC. All Rights Reserved. 5

Source : https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all

WannaCry感染経路


ワーム機能感染の拡大

SMB 139/445ポート

ランサムウェア機能ファイル暗号化，身代金要求

WannaCry

EternalBlue

SMB 139/445ポートを介して拡散

WannaCry感染により250万ドルの損失2018年8月TSMC(Taiwan Semiconductor Manufacturing Company)


② ウイルススキャンを省略し工場ネットワークに接続

①ランサムウェアに感染

メンテナンス端末

TMSC半導体工場

③工場のWindowsにランサムウェアが感染・拡大

④複数の工場で生産停止生産機会損失，対応，復旧に要した費用など

最大250万ドルの損失発生

Source : https://piyolog.hatenadiary.jp/entry/20180807/1533667250

フロリダの悪夢：地方自治体のシステム全面ダウン

❖ Triple Threat攻撃


Source : https://www.msspalert.com/cybersecurity-breaches-and-attacks/ransomware/riviera-beach-florida-malware-attack/

Riviera Beach $600,000 (6/17頃)

Ryukに感染 Ryukに感染 Ryukに感染

Emotet感染Download

Click

フロリダの悪夢： 1度ならず2度までも


Source : https://www.msspalert.com/cybersecurity-breaches-and-attacks/3rd-florida-cyberattack-village-of-key-biscayne-reports-data-

breach/

Key Biscayne $600,000 (6/27頃)

Source : https://www.msspalert.com/cybersecurity-breaches-and-attacks/ransomware/lake-city-florida-pays-hackers/

Lake City $460,000 (6/25頃)

2度あることは3度ある

画像診断結果をマルウェアが改変

❖ PACSネットワークの脆弱性 CTスキャンやMRIの画像に偽のガン腫瘍を追加，腫瘍の削除が可能

院内PACSネットワークが暗号化されていない


Source : https://gigazine.net/news/20190404-fake-cancerous-ct-malware/

出荷前のAndroidデバイスが既にTriadaに感染

❖ Googleの指摘する感染経路サプライチェーンによる感染

Androidプロジェクトに含まれていない独自機能の搭載◼顔認証によるデバイスロック解除，等


Source : https://gigazine.net/news/20190607-triada-found-phones-before-shipped/

Android OSでPNGファイルを表示しただけでハッキングされる


Source : https://gigazine.net/news/20190207-android-hacked-looking-png-image/

Source : https://thehackernews.com/2019/02/hack-android-with-image.html

1000以上のAndroidアプリが個人情報を搾取


Source : https://gigazine.net/news/20190709-android-apps-steal-data-without-permission/

Source : https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf

IoT市場動向と国政府の取り組み

日本の産業が目指す姿であるConnected Industriesの狙い


事業所・工場，技術・技能等の電子データ化は進んでいるが，それぞれバラバラに管理されている従来

ものづくり，自動走行，ロボット，ドローン，ヘルスケア，バイオなど分野別取組み産学官における議論喚起・検討標準化，データ利活用，IT人材，サイバーセキュリティ，人工知能，知財制度など横断的取組み

データがつながり，有効活用により，技術革新，生産性向上，技能伝承などを通じて課題解決へ将来

出典：経済産業省『Connected Industriesの具体例』

事業所間・部門間のデータがつながり生産性が向上

製品・サービスのデータが生産者などとつながりサービスが向上

技能がデータ化され後世に継承

人とAI/ロボットがつながり働きやすい職場に

データがAIにより比較検証分析され技術が進歩

Connected IndustriesはMade In Japan，産業用ロボット，カイゼンに続く，日本の新たな強みに

地域・中小企業に展開

AI, IoTによる経済成長へのインパクト

❖総務省は，AI, IoT活用の進展による市場規模の実質GDPの押し上げ効果は，2030年で132兆円と予測


出典：内閣官房情報通信技術(IT)総合戦略室『IT戦略に関する基本データ集』

IoTデバイスの成長

❖ IoTデバイス数は2020年には世界中で400億を超える見込み❖今後，「自動車・輸送機器」，「医療」，「産業用途」等分野の高成長を予測



サイバー攻撃の状況

❖ サイバー攻撃の回数は 5年間で10倍以上に急増❖ IoT機器を狙ったサイバー攻撃が半数以上



実現に向けた課題：セキュリティ対策


◼機密管理等のセキュリティ対策について，十分な対策をとれていない企業が全体の約7割。また，「そうした対策の必要性を感じない」企業が5.2%も存在し，セキュリティ対策への感度の向上及び対策の推進が必要

◼企業が実施しているセキュリティ対策としては，「情報へのアクセスや持ち出しなどへの制限の設定」，「担当者の設置」，「意思決定者･責任者の明確化」，「ガイドラインの策定」の順で割合が高く，データの取扱ルールの設定や体制構築が対策の中心

出典：経済産業省『”Connected Industries”推進に向けた我が国製造業の課題と今後の取組』

資料：経済産業省調べ(17年12月)


実現に向けた課題：サイバーセキュリティ対策


◼ サイバーセキュリティ上の問題に対して，全体の3/4に及ぶ企業が不安を感じると回答。他方，不安を感じない企業について，その理由として中小企業は「自社はターゲットになると思えないため」が多く，危機意識が低い可能性

◼ サイバーセキュリティ対策は，現在は「データ等のバックアップ」「ソフトウェアや設備の導入」等に重点。今後は，「社員の訓練･研修や人材確保」「適切な管理体制の構築」など体制面の充実の方向性が顕著

出典：経済産業省『”Connected Industries”推進に向けた我が国製造業の課題と今後の取組』




安全なIoTシステムのためのセキュリティに関する一般的枠組（概要）


◼ IoT(Internet of Things)システムは，従来の情報セキュリティの確保に加え，新たに安全確保が重要

◼ セキュリティ・バイ・デザインの思想で設計・構築・運用されることが不可欠

◼ 安全なIoTシステムが具備すべき一般要求事項としてのセキュリティ要件の基本的要素を明らかにしたもの

目的

安全なIoTシステムのためのセキュリティに関する一般的な枠組み（個別分野の標準のテンプレート）

自動車電力農業鉄道医療

分野固有の要求事項

内閣官房内閣サイバーセキュリティセンター(NISC) 平成28年8月26日発行

◼ 一つのIoTシステムリスクが他のIoTシステムに波及する可能性➡ System of Systemsとしての捉え方◼ 機密性，完全性，可用性に加え，安全性の要件確保

検討の視点

◼ 関係者間の相互理解及び相互信頼の下，ネットワーク側モノ側が一体となりシステム全体としてセキュリティ確保を図ることが必要

◼ セキュリティ・バイ・デザインを基本原則とし，システム稼働前に確認検証できる仕組が必要

◼ 基本方針の設定，リスク評価，システム設計，システム構築，運用・保守の各段階の要件定義が必要

基本原則

出典：内閣サイバーセキュリティセンター『我が国のサイバーセキュリティ政策の概要』を基に作成

◼ 法令等要求事項の明確化◼ IoTシステムの構成をモデル化し，モデルを参照しながらセキュリティ要件を議論

◼ リスクアセスメントを活用しセキュリティ対策や実装方法等の明確化◼ 普遍的な性能要求と有効な手段の具体的方法を示す仕様要求の適用

◼ 技術革新を前提とした段階的・継続的アプローチ，など

取組方針

IoTセキュリティガイドライン

❖ セキュリティ・バイ・デザインを基本原則とし，IoT機器やシステム，サービスの提供にあたってのライフサイクル（方針，分析，設計，構築・接続，運用・保守）における指針を定めるとともに，一般利用者のためのルールを定めたもの


指針主な要点

方針 IoTの性質を考慮した基本方針を定める ◼経営者がIoTセキュリティにコミットする ◼内部不正やミスに備える

分析 IoTのリスクを認識する ◼守るべきものを特定する ◼つながることによるリスクを想定する

設計守るべきものを守る設計を考える◼つながる相手に迷惑をかけない設計をする◼不特定の相手とつなげられても安全安心を確保できる設計をする

◼安全安心を実現する設計の評価・検証を行う

構築・接続ネットワーク上での対策を考える◼機能及び用途に応じて適切にネットワーク接続する◼初期設定に留意する

◼認証機能を導入する

運用・保守安全安心な状態を維持し，情報発信・共有を行う

◼出荷・リリース後も安全安心な状態を維持する◼出荷・リリース後もIoTリスクを把握し，関係者に守ってもらいたいことを伝える

◼IoTシステム・サービスにおける関係者の役割を認識する◼脆弱な機器を把握し，適切に注意喚起を行う

一般利用者のためのルール◼問合せ窓口やサポートがない機器やサービスの購入・利用を控える◼初期設定に気をつける

◼使用しなくなった機器については電源を切る◼機器を手放す時はデータを消す

出典：IoT推進コンソーシアム『IoTセキュリティガイドラインver1.0概要』

経済産業省平成28年7月5日発行

コネクテッド・インダストリーズ税制の創設


◼一定のサイバーセキュリティ対策が講じられたデータ連携・利活用により，生産性を向上させる取組について，それに必要となるシステムや，センサー・ロボット等の導入に対して，特別償却30％又は税額控除3％（賃上げを伴う場合は5％）を措置

◼事業者は当該取組内容に関する事業計画を作成し，主務大臣が認定。認定計画に含まれる設備に対して，税制措置を適用（適用期限は，2020年度末まで）

【計画認定の要件】①データ連携・利活用（いずれか満たすこと）◼ 社外データやこれまで取得したことのないデータを社内データと連携

◼ 企業の競争力上重要なデータをグループ企業間や事業所間で連携

②セキュリティ面必要なセキュリティ対策が講じられていることをセキュリティの専門家(登録セキスペ等)が担保

③生産性向上目標投資年度から一定期間において，以下のいずれも達成見込みがあること◼ 労働生産性：年平均伸率２％以上◼ 投資利益率：年平均15％以上

➢ 認定された事業計画に基づいて行う設備投資について，以下の措置を講じる。

【対象設備の例】データ収集機器(センサー等)，データ分析により自動化するロボット・工作機械，データ連携・分析に必要なシステム(サーバ，AI，ソフトウェア等)，サイバーセキュリティ対策製品等

最低投資合計額：5,000万円*註：計画の認定に加え，継続雇用者給与等支給額の対前年度増加率≧３％を満たした場合。

課税の特例の内容

対象設備特別償却税制控除

ソフトウェア器具備品機械装置

30%

3%(法人税額の15%を限度)

5% *註

(法人税額の20%を限度)

出典：経済産業省『”コネクテッド・インダストリーズ税制について』

平成30年6月創設

ヘルスケア機器とクラウドサービスの脅威と対策の検討例出典： IPA 『IoT開発におけるセキュリティ設計の手引き』

❖ ネットワーク対応ヘルスケア機器とクラウドサービスの連携個人のヘルスケアデータを一元管理するIoTシステムにおける脅威と対策の検討例

❖対策が必要な箇所の例ヘルスケア機器

PC・スマートフォン

クラウドサービス

通信路

ホームルーター


スマートハウスの脅威と対策の検討例出典： IPA 『IoT開発におけるセキュリティ設計の手引き』

❖ スマートハウス家庭内エネルギー利用を最適に制御する住宅

❖対策が必要な箇所の例ホームルータ

室内の無線通信

室外に設置された機器

通信路

クラウドサービス


Secure Home Platformのご紹介

Secure Home Platformの特長IoT機器含むホームネットワークを保護する


製品構成

1

管理用モバイルアプリルーター

ソフトウェアクラウドサービス

主な特長

⚫悪意のあるウェブサイトへのアクセスを阻止

⚫自動検出されたデバイスは即時に保護

⚫保護者機能でカテゴリブロック

⚫ IoTデバイスもエージェント不要で保護

⚫管理用モバイルアプリから，リアルタイムでモニタリング

2 3

ホームネットワーク環境


Internet

Laptop

Secure Home Platform

ゲーム

Smart TV

Smart 冷蔵庫

Smart 電器

ベビーモニター

Global Threat Intelligence

通常時の接続不正サイトへの接続時

DNSクエリ通常サイトのレスポンス

サイト接続

不正サイトのレスポンス

End User ClientManagement

Management

タブレット

Secure Home Platformの標準機能


▪モバイル管理アプリ (Android/iOS)

▪デバイスの管理 (Finger Printing)

▪ウェブサイト評価

▪ IoTデバイスセキュリティ強化

▪脆弱性スキャン

▪保護者機能

▪デバイスのアクセス拒否設定

▪ユーザーへのメッセージング

まとめ

サイバー空間における脅威の動向とIoTのセキュリティへのアプローチまとめ


IoTは今後の日本の経済成長を牽引する重要な取り組みであるその反面，サイバーセキュリティ対策への意識は希薄である

組み込み機器に対する危機は増大し，被害額も高騰している

汎用OSを持たないIoT機器への対策も必要

IoTのセキュリティは，デバイスそのもののセキュリティに加えSystem of Systemsの考えでのアプローチが求められている

第8回IoT Security OEM Partner Forum - McAfee · 18/07/2019 · 第8回IoT Security OEM Partner...

Documents

Transcript of 第8回IoT Security OEM Partner Forum - McAfee · 18/07/2019 · 第8回IoT Security OEM Partner...