いまからでも遅くない！IoTセキュリティー

Transcript

1. いまからでも遅くない！ IoTセキュリティー入門 2023年5月17日 17:00-18:00

2. None
3. None

4. • • •

5. 途中退出される場合も アンケートへのご回答をお願いいたします。 ※ slido.comで #dojo20230517pm を検索

6. Global Markets - Cloud Platform Sales / © 2023 IBM

   Corporation 6 スマートデバイスの事を考えると、 どんな事を思い浮かびますか？

7. Global Markets - Cloud Platform Sales / © 2023 IBM

   Corporation 7 Columbus, L. (2016) Roundup of internet of things forecasts and market estimates, 2016, Forbes. Forbes Magazine. Available at: https://www.forbes.com/sites/louiscolumbus/2016/11/27/roundup-of-internet-of-things-forecasts-and-market-estimates-2016/?sh=4239cd5a292d (Accessed: February 19, 2023).

8. Global Markets - Cloud Platform Sales / © 2023 IBM

   Corporation 8 Columbus, L. (2016) Roundup of internet of things forecasts and market estimates, 2016, Forbes. Forbes Magazine. Available at: https://www.forbes.com/sites/louiscolumbus/2016/11/27/roundup-of-internet-of-things-forecasts-and-market-estimates-2016/?sh=4239cd5a292d (Accessed: February 19, 2023).

9. 9 • センサーやモーターなどのコンポーネントで世界と 接しながらがネットワークを使って繋がっている デバイスやエンドポイント • 日常的なコンシューマーデバイス以外にもビジネスでも 使われてる • 医療

   • 物流 • 清掃

10. 10 情報セキュリティの基本原則 参照：IBM 3 key ideas to help drive compliance

    in the cloud https://www.ibm.com/blogs/cloud-computing/2018/01/16/drive-compliance-cloud/ Availability 可用性 Integrity 保全性 Confidentiality 機密性

11. Image: flaticon.com 人と重要なアセット（資産） データ アプリケーション エンドポイント ネットワーク 境界 クラウド

12. Global Markets - Cloud Platform Sales / © 2023 IBM

    Corporation 12 “A useful way to think of IoT technological progression is what happens when the network extends not to the last mile or last inch endpoint but to the last micron, where virtual and digital become physical.” – Practical Internet of Things Security Russel, B. and Duren, D. V., 2018

13. 社内 PC DB サーバー クラウド API AP アプリ IOT WFH・リモートPC

    モバイル WWW ハッカー ハッカー ハッカー Global Markets - Cloud Platform Sales / © 2023 IBM Corporation 13

14. OSI ・ TCP/IPネットワークモデルと主なセキュリティー課題 Global Markets - Cloud Platform Sales /

    © 2023 IBM Corporation OSI Application アプリケーション層 (HTTP,FTP,DNS,POP,SMTPなど） Presentation プレゼンテーション層 (SMTP/FTP/TELNETなど) Session セッション層 (TLS/NetBIOSなど) Transport トランスポート層 (TCP/UDP/Netwareなど Network ネットワーク層 (IP,ARP,RARP,ICMPなど) Data Link データリンク層 (PPP, Ethernet,など） Physical 物理層 (RS232,UTP,無線） TCP/IP Application Transport Internet Link 主な課題 アクセス管理と承認、気密データ管理、セッション化管理、DDOS 攻撃、SQLインジェクション、Phishing、XSSスクリプトなど SSLリクエストの問題、SSLトンネリング経由のHTTP攻撃、 SSLハイジャックなど SSL,TLSの強化、IPSECを使ったセッション層の確保、 Man-in-the－Middle攻撃など Endpoint確認と確保、不正インターネットアクセス、SmurfやSYN Flood攻撃（DDOS）など パケットスニファー、IPアドバイススプーフィング、 ICMP攻撃など ARPスプーフィング、MAC Floodingやネットワークスイッチや ブリッジに対しての攻撃など インフラの安全性、バックアップ、災害対策、 アクセスコントロール、環境管理など

15. Global Markets - Cloud Platform Sales / © 2023 IBM

    Corporation 15 Heterogeneity(異質性) Inter-connectivity (総合的な接続性） Ubiquity(偏在性） Security Standards(規制や基準） IoTセキュリティー 課題のフォーカスエリア IoTデバイスとシステムは複数のコンポーネント で作られていることで1つのシステムで複数の 第三者が関係される事 IoTデバイスとシステムの偏在性によって 世界と接することが可能で、場合によって 人の命にも影響する事が可能 1つのシステムで複数の通信プロトコルが利用され、 データの通信、処理と保管の課題 IoTデバイスとシステムが正しくデザインされて いない場合、機能の侵入的・侵略的な面によって 個人の権利やプライバシーに影響される恐れ

16. 16 • IoTデバイスやシステムの導入が増加していく中でそれら得ている データやビジネスや日常生活への影響も大きくなっている。 • IoTデバイスやシステムへの影響はデジタル面の脅威だけではなく物理 的な脅威からの恐れもある。 • 一般的なサイバーセキュリティー課題以外に物理的な安全性や セキュリティーエンジニアリングも検討範囲に入る。

    • 業務プロセスと技術的なアプローチには規制的なチャレンジ だけではなく、コストやTime-to-marketもバランスしながら 考えていく事によってのチャレンジ

17. Global Markets - Cloud Platform Sales / © 2023 IBM

    Corporation 17 今後の為に備えたアプローチや考え方

18. 18 • Fault Tree Analysisなどで脅威や攻撃 の範囲や手段を理解する事。 • IoTの脆弱性検知ツールやAttack Surface Managementツールの利用

    • 既存のIoTセキュリティー評価モデル の見直し： • スケーリング • データ収集や利用にあたるプライバシー 課題 • 利用者のセキュリティーや個人責任に対す る知識 • 偵察と悪用のリスク評価 Image Source: Wikipedia.org https://en.wikipedia.org/wiki/Fault_tree_analysis

19. 19 • EDRやSIEMやSOARソリューションの導入 • 第三者ソリューションやコンポーネントの責任範囲やセキュリティー エンジニアリングとセキュリティー規制や基準への教育 Image Source: TechTarget.com https://www.techtarget.com/iotagenda/tip/A-comprehensive-

    view-of-the-4-IoT-architecture-layers • IoTアーキテクチャのレイヤーに 寄り添った対策。例： • Analytics/Visualization • 暗号化、PKIプロトコルなど • Application • ポリシーと権限設定、 アンチウィルス、EDR対策など • Network • 認証管理、IoT用のネットワーク

20. 20 • 安全性とプライバシーをフォーカスしたIoTデバイスやシステムの デザイン。主なフォーカスポイント： • セキュリティーとプライバシー向けのデバイスとシステムのテストと検証 • 規制に合わせたコンプライアンス • セキュリティー機能やレジリエンシー機能の組み込み

    • 物理的とソフトウェア的なアーキテクチャ観点のセキュリティーと プライバシー • 処理とリサイクリング • Time-to-marketとコストと効率性と環境への影響のバランス

21. 21 • IoTデバイスやシステムの導入に 当たっての技術的・物理的な限界 を理解した上で対策やリスク削減 方法 • 主なリスク削減ポイント • プライバシー

    • コンプライアンス関連のモ ニタリング • インシデント対応と分析 Image Source: Practical Internet of Things Security Russel, B. and Duren, D. V., 2018

22. 22 • IoTデバイスやシステムが周りの背系とどのように接しているかを把握 し、デジタルの世界とどうつながっているかを理解する事 • 不正アクセス • 物理的なダメージと劣化 • システム動詞の連携を最小限にする

    • 法的な責任の範囲 • エンドユーザーとしての権利とサステナビリティー • Right to Repair • 計画的な陳腐化 • リサイクルと再利用

23. 23 • IoTセキュリティーは一般的なサイバーセキュリティー課題以外にプラ イバシーや安全性やセキュリティーエンジニアリング課題も含められる • 新しい法律や規制が生まれていく事で参考になるガイドはあるが、組織 うやテクニカル・ビジネス方やエンドユーザーの間でのAwareness向上 も大事 • 良いセキュリティー状態を保つために以下のコンセプトを含めた総合的

    なアプローチが大事： • 技術的なソリューション • Knowledge TransferとAwareness向上 • 規制的なコンプライアンス • 既存の業務プロセスの改善
24. None

25. 25 Closing 本日は当セミナーにご参加いただきありがとうございました。 アンケート回答のご協力をお願いいたします。 slido.com #dojo20230517pm Global Markets - Cloud

    Platform Sales / © 2023 IBM Corporation

26. Global Markets - Cloud Platform Sales / © 2023 IBM

    Corporation