今知りたい、IoTセキュリティの基礎から実務【SORACOM Discovery 2023】

今知りたい、IoTセキュリティの基礎から実務 GMOサイバーセキュリティ by イエラエ株式会社高度解析部高度解析課課長三村聡志
様株式会社ソラコムソリューションアーキテクト松本悠輔

本日のハッシュタグ #SORACOM @SORACOM_PR fb.com/soracom.jp youtube.com/@SORACOM_Japan instagram.com/soracom.official 使用例他には… • #SORACOM
IoTやDXの話を聞きにきた • キーノートは2日目！ #SORACOM #SORACOM の検索で、最新情報が！

セッション概要社会のインフラとして定着しつつあるIoTは、クラウドとデバイスを通信でつなげるという「IT技術の組み合わせ」で構成されています。安定的につながることに加えて、気を配る必要があるのが「セキュリティ」です。本セッションでは、実践的な脆弱性診断を行っているGMOサイバーセキュリティ by イエラエをゲストにお迎えし、IoTセキュリティの基礎から今すぐ取り組みたい実務について、ソラコムの知見と共にご紹介
します。

自己紹介松本悠輔（Yusuke Matsumoto）ソリューションアーキテクト経歴： • インフラエンジニア • Webエンジニア •
IoTエンジニア好きなサービス：SORACOM Junction SORACOM本の一部執筆を担当しています！

三村聡志（Satoshi Mimura）高度解析部　高度解析課課長経歴：マルウェア解析やアプリケーション・カーネルドライバ開発業務に従事した後、現在はハードウェアの脆弱性診断業務に従事。 SECCON Beginners
初代リーダー。 SECCON 実行委員。2023年より実行委員長。落語と風呂が趣味。Twitter : @mimura1133 その他: GIAC GREM, GNFA, GCFA, GCPN. 東京電機大学非常勤講師、等

GMOサイバーセキュリティ by イエラエ株式会社・2013年2月22日設立・従業員数：200名・本社所在地：東京都渋谷区・事業内容：　サイバーセキュリティ事業/システム開発事業/ 　AI事業/その他自社開発SaaSサービスの運用セキュリティテストの累計実績は6000件以上！
国内トップクラスのホワイトハッカーが多数在籍するサイバーセキュリティの会社です。

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は？ • システムの脆弱性評価 •
セキュリティ人材の育成

IoT市場の概況 ※1 総務省情報通信白書より ※2 IDC Japan『国内IoT市場産業分野別予測、2021年～2025年』より国内IoT市場における2020年から2025年までの支出額予測（2020年は見込み値）※2 世界のIoTデバイス数の推移及び予測
※1

実際に起きたIoTセキュリティインシデントの例 • 野鳥に取り付けたGPSトラッカーからSIMを抜き取られて後日高額請求された • 設備監視のWebカメラが乗っ取られてしまった • IoTデバイスが乗っ取られて他者への攻撃の踏み台にされてしまった参考 https://www.soumu.go.jp/main_content/000722477.pdf

発生する前に出来る対策現状を「把握する」有事に「備える」

発生する前に出来る対策現状を「把握する」下記の実施：・脅威モデリング・脆弱性診断・ペネトレーション　テスト有事に「備える」下記の構築・準備：・インシデント対応
・運用体制・監視体制

現状を「把握する」現状を「把握する」設計資料・その他の資料から現状の可視化をする　→　脅威モデリング網羅的に既知の攻撃を試してチェックをする　→　脆弱性診断未知の攻撃・潜在的な脆弱性を発見する　→　ペネトレーションテスト

脅威モデリングによる現状の可視化保護すべき資産が「どのような性質」を持ち「どのようなリスク」があるか可視化を行う

脆弱性診断・ペネトレーションテスト可視化された問題点の影響の把握潜在的な問題点の発見ペネトレーションテスト　→ 深さ重視 / 未知の脆弱性脆弱性診断
　→ 広さ重視 / 網羅性

理想型として現状を「把握する」有事に「備える」安全を「設計する」知見を交換し良いモノを作っていく

今日のIoTにおける守るべき対象 1. IoT デバイス → 機微情報の漏洩 → 意図しないユーザによる操作 / 乗っ取り
2. 通信 → 通信の改ざん / 機微情報の漏洩 3. クラウド → 機微情報の漏洩 → 意図しないユーザによる操作 / デバイス制御乗っ取り

IoT デバイスの守るべき点・保存される個人情報の漏えい・保存される鍵やパスワードの漏えい・ユーザなりすましによる命令の実行　・ファームウェアアップデート機能を用いた　悪意あるファームウェアへの書き換え・入出力の脆弱性を悪用した任意コード実行 ①
重要情報の漏えい ② 不正なユーザによる操作 ③ デバイスの制御のっとり

IoT 通信の守るべき点・保存される個人情報の漏えい・保存される鍵やパスワードの漏えい ① 重要情報の漏えい

クラウドに対する守るべき点・保存される個人情報の漏えい・保存される鍵やパスワードの漏えい・ユーザなりすましによる命令の実行・デバイスなりすましによる命令の実行　・クラウドの設定不備によるなりすまし・クラウド経由での IoTデバイスへの侵入 ①
重要情報の漏えい ② 不正なユーザによる操作 ③ クラウドの制御のっとり ④ デバイスの制御のっとり

脅威モデリングとペネトレーションテスト脅威モデリング　→ 書類ベースで問題点を洗い出す　→ 網羅性が高いペネトレーションテスト　→ 実際に攻撃をすることで脆弱性を洗い出す　→
仕様外の挙動、仕様漏れの脆弱性を発見出来る

脆弱性診断・ペネトレーションテスト(再掲) 可視化された問題点の影響の把握潜在的な問題点の発見ペネトレーションテスト　→ 深さ重視 / 未知の脆弱性脆弱性診断
　→ 広さ重視 / 網羅性

IoT ペネトレーションテスト機器の分解からファームウェアの解析まで多面的な評価を実施し現状のセキュリティ対策の有効性やリスクの可視化を実施ハードウェアテスト 0100101010 0110010101 ソフトウェア解析インタフェーステスト

実際の診断風景機器の分解、解析を実際に行って評価をしています。

IoT デバイスの脆弱性診断例・機器から機微情報を抽出可能かのテスト・デバッグポート等の露出有無　・ファームウェアアップデートの検証・不正なプログラムの実行可否　・多数の命令を短期間で送付した場合に　意図した挙動を行うかどうか
・意図しない通信路の露出等 ① ハードウェアテスト ② ソフトウェア解析 ③ インタフェーステスト

IoT 通信の脆弱性診断例・通信路が暗号化されているかどうか・暗号方式および使い方が安全かどうか ① 情報の暗号化・既知パスワードの利用がないか ②認証・認可の不備

クラウドの脆弱性診断例・不必要なサービスが設定されていないか・設定漏れ等がないか ① クラウドの設定不備・既知パスワードの利用がないか・不必要な権限の保持がされていないか ②認証・認可の不備 ③APIの脆弱性調査

脆弱性評価をまとめると、、、守るべきは下記3点： IoT デバイス / 通信 / クラウドどうやって可視化するか：脅威モデリング
(仕様から網羅的に探る) ペネトレーションテスト (実際の攻撃で探る) 弊社等の技術を持った診断会社の観点でリスクを正しく把握・可視化してものづくりに活かしてほしい

どういう人が好まれるか　・集中して好きなことが出来る人　・ものごとの仕組みを知るのが好きな人　・心配性な人 / やさしい人　・善悪を客観的に判断出来る人 → スキルより、本質が先。

育成はどうするか弊社視点：・まずやらせてみる　→チップを焦がす、壊す等々　　　　勉強用に用意した機器をとことん触らせる・コンピュータ基礎を振り返ってもらう　→基礎部分がないと詰まってしまう・怖がらせない、楽しませる　→教える側も楽しむ。発見を喜ぶ。

GMOサイバーセキュリティbyイエラエへのお問合せはコーポレートサイトよりご連絡ください。 https://gmo-cybersecurity.com/ 各種脆弱性診断・ペネトレーションテスト/ セキュリティコンサルティング/デジタルフォレンジック/ その他セキュリティ関連サービスなど

今知りたい、IoTセキュリティの基礎から実務【SORACOM Discovery 2023】

今知りたい、IoTセキュリティの基礎から実務【SORACOM Discovery 2023】

SORACOM
PRO

More Decks by SORACOM

Other Decks in Technology

Featured

Transcript

今知りたい、IoTセキュリティの基礎から実務 GMOサイバーセキュリティ by イエラエ株式会社高度解析部高度解析課課長三村聡志

本日のハッシュタグ #SORACOM @SORACOM_PR fb.com/soracom.jp youtube.com/@SORACOM_Japan instagram.com/soracom.official 使用例他には… • #SORACOM

自己紹介松本悠輔（Yusuke Matsumoto）ソリューションアーキテクト経歴： • インフラエンジニア • Webエンジニア •

三村聡志（Satoshi Mimura）高度解析部　高度解析課課長経歴：マルウェア解析やアプリケーション・カーネルドライバ開発業務に従事した後、現在はハードウェアの脆弱性診断業務に従事。 SECCON Beginners

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は？ • システムの脆弱性評価 •

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は？ • システムの脆弱性評価 •

IoT市場の概況 ※1 総務省情報通信白書より ※2 IDC Japan『国内IoT市場産業分野別予測、2021年～2025年』より国内IoT市場における2020年から2025年までの支出額予測（2020年は見込み値）※2 世界のIoTデバイス数の推移及び予測

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は？ • システムの脆弱性評価 •

•事業スピードが低下 •レピュテーション低下 •お客様への説明と対応 •システム的な修正の対応 •人的被害インシデントが起きると・・・？ ©2023 SORACOM, INC 回復不可能なトラブルが発生する可能性がある

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は？ • システムの脆弱性評価 •

発生する前に出来る対策現状を「把握する」有事に「備える」

発生する前に出来る対策現状を「把握する」下記の実施：・脅威モデリング・脆弱性診断・ペネトレーション　テスト有事に「備える」下記の構築・準備：・インシデント対応

脅威モデリングによる現状の可視化保護すべき資産が「どのような性質」を持ち「どのようなリスク」があるか可視化を行う

脆弱性診断・ペネトレーションテスト可視化された問題点の影響の把握潜在的な問題点の発見ペネトレーションテスト　→ 深さ重視 / 未知の脆弱性脆弱性診断

理想型として現状を「把握する」有事に「備える」安全を「設計する」知見を交換し良いモノを作っていく

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は？ • システムの脆弱性評価 •

今日のIoTにおける守るべき対象 1. IoT デバイス → 機微情報の漏洩 → 意図しないユーザによる操作 / 乗っ取り

IoT 通信の守るべき点・保存される個人情報の漏えい・保存される鍵やパスワードの漏えい ① 重要情報の漏えい

脅威モデリングとペネトレーションテスト脅威モデリング　→ 書類ベースで問題点を洗い出す　→ 網羅性が高いペネトレーションテスト　→ 実際に攻撃をすることで脆弱性を洗い出す　→

脆弱性診断・ペネトレーションテスト(再掲) 可視化された問題点の影響の把握潜在的な問題点の発見ペネトレーションテスト　→ 深さ重視 / 未知の脆弱性脆弱性診断

実際の診断風景機器の分解、解析を実際に行って評価をしています。

IoT 通信の脆弱性診断例・通信路が暗号化されているかどうか・暗号方式および使い方が安全かどうか ① 情報の暗号化・既知パスワードの利用がないか ②認証・認可の不備

脆弱性評価をまとめると、、、守るべきは下記3点： IoT デバイス / 通信 / クラウドどうやって可視化するか：脅威モデリング

アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は？ • システムの脆弱性評価 •

どういう人が好まれるか　・集中して好きなことが出来る人　・ものごとの仕組みを知るのが好きな人　・心配性な人 / やさしい人　・善悪を客観的に判断出来る人 → スキルより、本質が先。

今知りたい、IoTセキュリティの基礎から実務 【SORACOM Discovery 2023】

今知りたい、IoTセキュリティの基礎から実務 【SORACOM Discovery 2023】

More Decks by SORACOM

Other Decks in Technology

Featured

Transcript

今知りたい、IoTセキュリティの基礎から実務【SORACOM Discovery 2023】

今知りたい、IoTセキュリティの基礎から実務【SORACOM Discovery 2023】