いまからでも遅くない！IoTセキュリティー

by Virtual62

Slide 1

Slide 1 text

いまからでも遅くない！ IoTセキュリティー入門 2023年5月17日 17:00-18:00

Slide 2

Slide 2 text

No content

Slide 3

Slide 3 text

No content

Slide 4

Slide 4 text

• • •

Slide 5

Slide 5 text

途中退出される場合もアンケートへのご回答をお願いいたします。 ※ slido.comで #dojo20230517pm を検索

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Global Markets - Cloud Platform Sales / © 2023 IBM Corporation 7 Columbus, L. (2016) Roundup of internet of things forecasts and market estimates, 2016, Forbes. Forbes Magazine. Available at: https://www.forbes.com/sites/louiscolumbus/2016/11/27/roundup-of-internet-of-things-forecasts-and-market-estimates-2016/?sh=4239cd5a292d (Accessed: February 19, 2023).

Slide 8

Slide 8 text

Global Markets - Cloud Platform Sales / © 2023 IBM Corporation 8 Columbus, L. (2016) Roundup of internet of things forecasts and market estimates, 2016, Forbes. Forbes Magazine. Available at: https://www.forbes.com/sites/louiscolumbus/2016/11/27/roundup-of-internet-of-things-forecasts-and-market-estimates-2016/?sh=4239cd5a292d (Accessed: February 19, 2023).

Slide 9

Slide 9 text

9 • センサーやモーターなどのコンポーネントで世界と接しながらがネットワークを使って繋がっているデバイスやエンドポイント • 日常的なコンシューマーデバイス以外にもビジネスでも使われてる • 医療 • 物流 • 清掃

Slide 10

Slide 10 text

10 情報セキュリティの基本原則参照：IBM 3 key ideas to help drive compliance in the cloud https://www.ibm.com/blogs/cloud-computing/2018/01/16/drive-compliance-cloud/ Availability 可用性 Integrity 保全性 Confidentiality 機密性

Slide 11

Slide 11 text

Image: flaticon.com 人と重要なアセット（資産）データアプリケーションエンドポイントネットワーク境界クラウド

Slide 12

Slide 12 text

Global Markets - Cloud Platform Sales / © 2023 IBM Corporation 12 “A useful way to think of IoT technological progression is what happens when the network extends not to the last mile or last inch endpoint but to the last micron, where virtual and digital become physical.” – Practical Internet of Things Security Russel, B. and Duren, D. V., 2018

Slide 13

Slide 13 text

Slide 14

Slide 14 text

OSI ・ TCP/IPネットワークモデルと主なセキュリティー課題 Global Markets - Cloud Platform Sales / © 2023 IBM Corporation OSI Application アプリケーション層 (HTTP,FTP,DNS,POP,SMTPなど） Presentation プレゼンテーション層 (SMTP/FTP/TELNETなど) Session セッション層 (TLS/NetBIOSなど) Transport トランスポート層 (TCP/UDP/Netwareなど Network ネットワーク層 (IP,ARP,RARP,ICMPなど) Data Link データリンク層 (PPP, Ethernet,など） Physical 物理層 (RS232,UTP,無線） TCP/IP Application Transport Internet Link 主な課題アクセス管理と承認、気密データ管理、セッション化管理、DDOS 攻撃、SQLインジェクション、Phishing、XSSスクリプトなど SSLリクエストの問題、SSLトンネリング経由のHTTP攻撃、 SSLハイジャックなど SSL,TLSの強化、IPSECを使ったセッション層の確保、 Man-in-the－Middle攻撃など Endpoint確認と確保、不正インターネットアクセス、SmurfやSYN Flood攻撃（DDOS）などパケットスニファー、IPアドバイススプーフィング、 ICMP攻撃など ARPスプーフィング、MAC Floodingやネットワークスイッチやブリッジに対しての攻撃などインフラの安全性、バックアップ、災害対策、アクセスコントロール、環境管理など

Slide 15

Slide 15 text

Global Markets - Cloud Platform Sales / © 2023 IBM Corporation 15 Heterogeneity(異質性) Inter-connectivity (総合的な接続性） Ubiquity(偏在性） Security Standards(規制や基準） IoTセキュリティー課題のフォーカスエリア IoTデバイスとシステムは複数のコンポーネントで作られていることで1つのシステムで複数の第三者が関係される事 IoTデバイスとシステムの偏在性によって世界と接することが可能で、場合によって人の命にも影響する事が可能 1つのシステムで複数の通信プロトコルが利用され、データの通信、処理と保管の課題 IoTデバイスとシステムが正しくデザインされていない場合、機能の侵入的・侵略的な面によって個人の権利やプライバシーに影響される恐れ

Slide 16

Slide 16 text

16 • IoTデバイスやシステムの導入が増加していく中でそれら得ているデータやビジネスや日常生活への影響も大きくなっている。 • IoTデバイスやシステムへの影響はデジタル面の脅威だけではなく物理的な脅威からの恐れもある。 • 一般的なサイバーセキュリティー課題以外に物理的な安全性やセキュリティーエンジニアリングも検討範囲に入る。 • 業務プロセスと技術的なアプローチには規制的なチャレンジだけではなく、コストやTime-to-marketもバランスしながら考えていく事によってのチャレンジ

Slide 17

Slide 17 text

Slide 18

Slide 18 text

18 • Fault Tree Analysisなどで脅威や攻撃の範囲や手段を理解する事。 • IoTの脆弱性検知ツールやAttack Surface Managementツールの利用 • 既存のIoTセキュリティー評価モデルの見直し： • スケーリング • データ収集や利用にあたるプライバシー課題 • 利用者のセキュリティーや個人責任に対する知識 • 偵察と悪用のリスク評価 Image Source: Wikipedia.org https://en.wikipedia.org/wiki/Fault_tree_analysis

Slide 19

Slide 19 text

19 • EDRやSIEMやSOARソリューションの導入 • 第三者ソリューションやコンポーネントの責任範囲やセキュリティーエンジニアリングとセキュリティー規制や基準への教育 Image Source: TechTarget.com https://www.techtarget.com/iotagenda/tip/A-comprehensive- view-of-the-4-IoT-architecture-layers • IoTアーキテクチャのレイヤーに寄り添った対策。例： • Analytics/Visualization • 暗号化、PKIプロトコルなど • Application • ポリシーと権限設定、アンチウィルス、EDR対策など • Network • 認証管理、IoT用のネットワーク

Slide 20

Slide 20 text

20 • 安全性とプライバシーをフォーカスしたIoTデバイスやシステムのデザイン。主なフォーカスポイント： • セキュリティーとプライバシー向けのデバイスとシステムのテストと検証 • 規制に合わせたコンプライアンス • セキュリティー機能やレジリエンシー機能の組み込み • 物理的とソフトウェア的なアーキテクチャ観点のセキュリティーとプライバシー • 処理とリサイクリング • Time-to-marketとコストと効率性と環境への影響のバランス

Slide 21

Slide 21 text

21 • IoTデバイスやシステムの導入に当たっての技術的・物理的な限界を理解した上で対策やリスク削減方法 • 主なリスク削減ポイント • プライバシー • コンプライアンス関連のモニタリング • インシデント対応と分析 Image Source: Practical Internet of Things Security Russel, B. and Duren, D. V., 2018

Slide 22

Slide 22 text

22 • IoTデバイスやシステムが周りの背系とどのように接しているかを把握し、デジタルの世界とどうつながっているかを理解する事 • 不正アクセス • 物理的なダメージと劣化 • システム動詞の連携を最小限にする • 法的な責任の範囲 • エンドユーザーとしての権利とサステナビリティー • Right to Repair • 計画的な陳腐化 • リサイクルと再利用

Slide 23

Slide 23 text

23 • IoTセキュリティーは一般的なサイバーセキュリティー課題以外にプライバシーや安全性やセキュリティーエンジニアリング課題も含められる • 新しい法律や規制が生まれていく事で参考になるガイドはあるが、組織うやテクニカル・ビジネス方やエンドユーザーの間でのAwareness向上も大事 • 良いセキュリティー状態を保つために以下のコンセプトを含めた総合的なアプローチが大事： • 技術的なソリューション • Knowledge TransferとAwareness向上 • 規制的なコンプライアンス • 既存の業務プロセスの改善