Slide 1

Slide 1 text

今知りたい、IoTセキュリティの 基礎から実務 GMOサイバーセキュリティ by イエラエ株式会社 高度解析部 高度解析課 課長 三村 聡志 様 株式会社ソラコム ソリューションアーキテクト 松本 悠輔

Slide 2

Slide 2 text

本日のハッシュタグ #SORACOM @SORACOM_PR fb.com/soracom.jp youtube.com/@SORACOM_Japan instagram.com/soracom.official 使用例 他には… • #SORACOM IoTやDXの話を聞きにきた • キーノートは2日目! #SORACOM #SORACOM の検索で、最新情報が!

Slide 3

Slide 3 text

セッション概要 社会のインフラとして定着しつつあるIoTは、クラウドとデバ イスを通信でつなげるという「IT技術の組み合わせ」で構成 されています。安定的につながることに加えて、気を配る必 要があるのが「セキュリティ」です。本セッションでは、実践的 な脆弱性診断を行っているGMOサイバーセキュリティ by イ エラエをゲストにお迎えし、IoTセキュリティの基礎から今す ぐ取り組みたい実務について、ソラコムの知見と共にご紹介 します。

Slide 4

Slide 4 text

自己紹介 松本悠輔(Yusuke Matsumoto) ソリューションアーキテクト 経歴: • インフラエンジニア • Webエンジニア • IoTエンジニア 好きなサービス:SORACOM Junction SORACOM本の一部執筆を 担当しています!

Slide 5

Slide 5 text

三村聡志(Satoshi Mimura) 高度解析部 高度解析課 課長 経歴: マルウェア解析やアプリケーション・ カーネルドライバ開発業務に従事した後、 現在はハードウェアの脆弱性診断業務に従事。 SECCON Beginners 初代リーダー。 SECCON 実行委員。2023年より実行委員長。 落語と風呂が趣味。Twitter : @mimura1133 その他: GIAC GREM, GNFA, GCFA, GCPN. 東京電機大学非常勤講師、等

Slide 6

Slide 6 text

GMOサイバーセキュリティ by イエラエ株式会社 ・2013年2月22日設立 ・従業員数:200名 ・本社所在地:東京都渋谷区 ・事業内容:  サイバーセキュリティ事業/システム開発事業/  AI事業/その他自社開発SaaSサービスの運用 セキュリティテストの累計実績は6000件以上! 国内トップクラスのホワイトハッカーが 多数在籍するサイバーセキュリティの会社です。

Slide 7

Slide 7 text

No content

Slide 8

Slide 8 text

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 • セキュリティ人材の育成

Slide 9

Slide 9 text

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 • セキュリティ人材の育成

Slide 10

Slide 10 text

IoT市場の概況 ※1 総務省情報通信白書より ※2 IDC Japan『国内IoT市場 産業分野別予測、2021年~2025年』より 国内IoT市場における2020年から2025年までの 支出額予測(2020年は見込み値)※2 世界のIoTデバイス数の推移及び予測 ※1

Slide 11

Slide 11 text

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 • セキュリティ人材の育成

Slide 12

Slide 12 text

実際に起きたIoTセキュリティインシデントの例 • 野鳥に取り付けたGPSトラッカーからSIMを抜き取られて後日高額請求された • 設備監視のWebカメラが乗っ取られてしまった • IoTデバイスが乗っ取られて他者への攻撃の踏み台にされてしまった 参考 https://www.soumu.go.jp/main_content/000722477.pdf

Slide 13

Slide 13 text

•事業スピードが低下 •レピュテーション低下 •お客様への説明と対応 •システム的な修正の対応 •人的被害 インシデントが起きると・・・? ©2023 SORACOM, INC 回復不可能なトラブルが発生する可能性がある

Slide 14

Slide 14 text

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 • セキュリティ人材の育成

Slide 15

Slide 15 text

発生する前に出来る対策 現状を「把握する」 有事に「備える」

Slide 16

Slide 16 text

発生する前に出来る対策 現状を「把握する」 下記の実施: ・脅威モデリング ・脆弱性診断 ・ペネトレーション  テスト 有事に「備える」 下記の構築・準備: ・インシデント対応 ・運用体制 ・監視体制

Slide 17

Slide 17 text

現状を「把握する」 現状を「把握する」 設計資料・その他の資料から現状の可視化をする  → 脅威モデリング 網羅的に既知の攻撃を試してチェックをする  → 脆弱性診断 未知の攻撃・潜在的な脆弱性を発見する  → ペネトレーションテスト

Slide 18

Slide 18 text

脅威モデリングによる現状の可視化 保護すべき資産が 「どのような性質」を持ち 「どのようなリスク」があるか 可視化を行う

Slide 19

Slide 19 text

脆弱性診断・ペネトレーションテスト 可視化された問題点の 影響の把握 潜在的な問題点の発見 ペネトレーションテスト  → 深さ重視 / 未知の脆弱性 脆弱性診断  → 広さ重視 / 網羅性

Slide 20

Slide 20 text

理想型として 現状を 「把握する」 有事に 「備える」 安全を 「設計する」 知見を交換し 良いモノを 作っていく

Slide 21

Slide 21 text

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 • セキュリティ人材の育成

Slide 22

Slide 22 text

今日のIoTにおける守るべき対象 1. IoT デバイス → 機微情報の漏洩 → 意図しないユーザによる操作 / 乗っ取り 2. 通信 → 通信の改ざん / 機微情報の漏洩 3. クラウド → 機微情報の漏洩 → 意図しないユーザによる操作 / デバイス制御乗っ取り

Slide 23

Slide 23 text

IoT デバイスの守るべき点 ・保存される個人情報の漏えい ・保存される鍵やパスワードの漏えい ・ユーザなりすましによる命令の実行   ・ファームウェアアップデート機能を用いた  悪意あるファームウェアへの書き換え ・入出力の脆弱性を悪用した任意コード実行 ① 重要情報の漏えい ② 不正なユーザによる操作 ③ デバイスの制御のっとり

Slide 24

Slide 24 text

IoT 通信の守るべき点 ・保存される個人情報の漏えい ・保存される鍵やパスワードの漏えい ① 重要情報の漏えい

Slide 25

Slide 25 text

クラウドに対する守るべき点 ・保存される個人情報の漏えい ・保存される鍵やパスワードの漏えい ・ユーザなりすましによる命令の実行 ・デバイスなりすましによる命令の実行   ・クラウドの設定不備によるなりすまし ・クラウド経由での IoTデバイスへの侵入 ① 重要情報の漏えい ② 不正なユーザによる操作 ③ クラウドの制御のっとり ④ デバイスの制御のっとり

Slide 26

Slide 26 text

脅威モデリングとペネトレーションテスト 脅威モデリング  → 書類ベースで問題点を洗い出す  → 網羅性が高い ペネトレーションテスト  → 実際に攻撃をすることで脆弱性を洗い出す  → 仕様外の挙動、仕様漏れの脆弱性を発見出来る

Slide 27

Slide 27 text

脆弱性診断・ペネトレーションテスト(再掲) 可視化された問題点の 影響の把握 潜在的な問題点の発見 ペネトレーションテスト  → 深さ重視 / 未知の脆弱性 脆弱性診断  → 広さ重視 / 網羅性

Slide 28

Slide 28 text

IoT ペネトレーションテスト 機器の分解からファームウェアの解析まで 多面的な評価を実施し 現状のセキュリティ対策の有効性やリスクの可視化を実施 ハードウェアテスト 0100101010 0110010101 ソフトウェア解析 インタフェーステスト

Slide 29

Slide 29 text

実際の診断風景 機器の分解、解析を実際に行って評価をしています。

Slide 30

Slide 30 text

IoT デバイスの脆弱性診断例 ・機器から機微情報を抽出可能かのテスト ・デバッグポート等の露出有無   ・ファームウェアアップデートの検証 ・不正なプログラムの実行可否   ・多数の命令を短期間で送付した場合に  意図した挙動を行うかどうか ・意図しない通信路の露出等 ① ハードウェアテスト ② ソフトウェア解析 ③ インタフェーステスト

Slide 31

Slide 31 text

IoT 通信の脆弱性診断例 ・通信路が暗号化されているかどうか ・暗号方式および使い方が安全かどうか ① 情報の暗号化 ・既知パスワードの利用がないか ②認証・認可の不備

Slide 32

Slide 32 text

クラウドの脆弱性診断例 ・不必要なサービスが設定されていないか ・設定漏れ等がないか ① クラウドの設定不備 ・既知パスワードの利用がないか ・不必要な権限の保持がされていないか ②認証・認可の不備 ③APIの脆弱性調査

Slide 33

Slide 33 text

脆弱性評価をまとめると、、、 守るべきは下記3点: IoT デバイス / 通信 / クラウド どうやって可視化するか: 脅威モデリング (仕様から網羅的に探る) ペネトレーションテスト (実際の攻撃で探る) 弊社等の技術を持った診断会社の観点で リスクを正しく把握・可視化してものづくりに活かしてほしい

Slide 34

Slide 34 text

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 • セキュリティ人材の育成

Slide 35

Slide 35 text

どういう人が好まれるか  ・集中して好きなことが出来る人  ・ものごとの仕組みを知るのが好きな人  ・心配性な人 / やさしい人  ・善悪を客観的に判断出来る人 → スキルより、本質が先。

Slide 36

Slide 36 text

育成はどうするか 弊社視点: ・まずやらせてみる  →チップを焦がす、壊す等々     勉強用に用意した機器をとことん触らせる ・コンピュータ基礎を振り返ってもらう  →基礎部分がないと詰まってしまう ・怖がらせない、楽しませる  →教える側も楽しむ。発見を喜ぶ。

Slide 37

Slide 37 text

GMOサイバーセキュリティbyイエラエへのお問合せは コーポレートサイトよりご連絡ください。 https://gmo-cybersecurity.com/ 各種脆弱性診断・ペネトレーションテスト/ セキュリティコンサルティング/デジタルフォレンジック/ その他セキュリティ関連サービスなど

Slide 38

Slide 38 text

No content