Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今知りたい、IoTセキュリティの基礎から実務 【SORACOM Discovery 2023】

SORACOM
PRO
July 06, 2023
Technology
0
110

今知りたい、IoTセキュリティの基礎から実務 【SORACOM Discovery 2023】

社会のインフラとして定着しつつあるIoTは、クラウドとデバイスを通信でつなげるという「IT技術の組み合わせ」で構成されています。安定的につながることに加えて、気を配る必要があるのが「セキュリティ」です。本セッションでは、実践的な脆弱性診断を行っているGMOサイバーセキュリティ by イエラエをゲストにお迎えし、IoTセキュリティの基礎から今すぐ取り組みたい実務について、ソラコムの知見と共にご紹介します。

GMOサイバーセキュリティ by イエラエ株式会社 高度解析部 高度解析課 課長 三村 聡志
株式会社ソラコム ソリューションアーキテクト 松本 悠輔

SORACOM
PRO

July 06, 2023
Tweet

More Decks by SORACOM

See All by SORACOM
【SORACOM UG 東海】あらゆるモノがつながる社会へ、IoT と SORACOM
soracom
PRO
1
160
【SORACOM UG 広島】つながる社会へ!IoT プラットフォーム「SORACOM」
soracom
PRO
0
64
【SORACOM UG】SIM Deep Dive セキュアエレメント編
soracom
PRO
0
310
【SORACOM UG】(2024年度版) SIMってなんだ? ~セルラー通信がつながる仕組み、解説します~
soracom
PRO
0
280
【SORACOM UG ビギナーズ】つながる社会へ!IoTプラットフォーム「SORACOM」
soracom
PRO
1
55
社会のデジタル化を担う IoT とIoT プラットフォーム「SORACOM」
soracom
PRO
1
230
エバンジェリスト活動を7年やってきて見えてきた、コミュニティとエバンジェリストの関係
soracom
PRO
1
250
LLM + RAG を使った SORACOM Support Bot の裏側の歴史
soracom
PRO
1
810
SORACOM Update in Feb. 2024
soracom
PRO
0
340

Other Decks in Technology

See All in Technology
コードや知識を組み込む / Incorporate Code and knowledge
ks91
PRO
0
150
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
5
18k
web-application-security
matsuihidetoshi
1
200
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
1
1.8k
今日からできる!簡単 .NET 高速化 Tips -2024 edition-
xin9le
7
4.3k
Documentação de Produtos: Artefatos essenciais na prática
rigolon
1
180
uvを使ってストレスフリーな Python開発をしよう!
r74tech
0
210
Rustで「プリズモイダル法」を利用して「土量計算」をガチでやる
nokonoko1203
1
330
認知症フレンドリーテックとスタックチャン
naokiuc
0
300
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
3k
一生覚えておきたい「システム開発=コミュニケーション」〜初めての実務案件振り返りLT〜
maimyyym
2
340
Cypress or Playwright?
rainerhahnekamp
0
180

Featured

See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Making the Leap to Tech Lead
cromwellryan
125
8.5k
Agile that works and the tools we love
rasmusluckow
325
20k
A Tale of Four Properties
chriscoyier
152
22k
Reflections from 52 weeks, 52 projects
jeffersonlam
345
19k
Code Reviewing Like a Champion
maltzj
515
39k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
14
8.3k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
22
1.6k
Into the Great Unknown - MozCon
thekraken
15
1k
Being A Developer After 40
akosma
67
580k
From Idea to $5000 a Month in 5 Months
shpigford
378
45k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
34
6k

Transcript

  1. 今知りたい、IoTセキュリティの 基礎から実務 GMOサイバーセキュリティ by イエラエ株式会社 高度解析部 高度解析課 課長 三村 聡志

    様 株式会社ソラコム ソリューションアーキテクト 松本 悠輔

  2. 本日のハッシュタグ #SORACOM @SORACOM_PR fb.com/soracom.jp youtube.com/@SORACOM_Japan instagram.com/soracom.official 使用例 他には… • #SORACOM

    IoTやDXの話を聞きにきた • キーノートは2日目! #SORACOM #SORACOM の検索で、最新情報が!

  3. セッション概要 社会のインフラとして定着しつつあるIoTは、クラウドとデバ イスを通信でつなげるという「IT技術の組み合わせ」で構成 されています。安定的につながることに加えて、気を配る必 要があるのが「セキュリティ」です。本セッションでは、実践的 な脆弱性診断を行っているGMOサイバーセキュリティ by イ エラエをゲストにお迎えし、IoTセキュリティの基礎から今す ぐ取り組みたい実務について、ソラコムの知見と共にご紹介

    します。

  4. 自己紹介 松本悠輔(Yusuke Matsumoto) ソリューションアーキテクト 経歴: • インフラエンジニア • Webエンジニア •

    IoTエンジニア 好きなサービス:SORACOM Junction SORACOM本の一部執筆を 担当しています!

  5. 三村聡志(Satoshi Mimura) 高度解析部 高度解析課 課長 経歴: マルウェア解析やアプリケーション・ カーネルドライバ開発業務に従事した後、 現在はハードウェアの脆弱性診断業務に従事。 SECCON Beginners

    初代リーダー。 SECCON 実行委員。2023年より実行委員長。 落語と風呂が趣味。Twitter : @mimura1133 その他: GIAC GREM, GNFA, GCFA, GCPN. 東京電機大学非常勤講師、等

  6. GMOサイバーセキュリティ by イエラエ株式会社 ・2013年2月22日設立 ・従業員数:200名 ・本社所在地:東京都渋谷区 ・事業内容:  サイバーセキュリティ事業/システム開発事業/  AI事業/その他自社開発SaaSサービスの運用 セキュリティテストの累計実績は6000件以上!

    国内トップクラスのホワイトハッカーが 多数在籍するサイバーセキュリティの会社です。
  7. None

  8. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  9. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  10. IoT市場の概況 ※1 総務省情報通信白書より ※2 IDC Japan『国内IoT市場 産業分野別予測、2021年~2025年』より 国内IoT市場における2020年から2025年までの 支出額予測(2020年は見込み値)※2 世界のIoTデバイス数の推移及び予測

    ※1

  11. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  12. 実際に起きたIoTセキュリティインシデントの例 • 野鳥に取り付けたGPSトラッカーからSIMを抜き取られて後日高額請求された • 設備監視のWebカメラが乗っ取られてしまった • IoTデバイスが乗っ取られて他者への攻撃の踏み台にされてしまった 参考 https://www.soumu.go.jp/main_content/000722477.pdf

  13. •事業スピードが低下 •レピュテーション低下 •お客様への説明と対応 •システム的な修正の対応 •人的被害 インシデントが起きると・・・? ©2023 SORACOM, INC 回復不可能なトラブルが発生する可能性がある

  14. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  15. 発生する前に出来る対策 現状を「把握する」 有事に「備える」

  16. 発生する前に出来る対策 現状を「把握する」 下記の実施: ・脅威モデリング ・脆弱性診断 ・ペネトレーション  テスト 有事に「備える」 下記の構築・準備: ・インシデント対応

    ・運用体制 ・監視体制

  17. 現状を「把握する」 現状を「把握する」 設計資料・その他の資料から現状の可視化をする  → 脅威モデリング 網羅的に既知の攻撃を試してチェックをする  → 脆弱性診断 未知の攻撃・潜在的な脆弱性を発見する  → ペネトレーションテスト

  18. 脅威モデリングによる現状の可視化 保護すべき資産が 「どのような性質」を持ち 「どのようなリスク」があるか 可視化を行う

  19. 脆弱性診断・ペネトレーションテスト 可視化された問題点の 影響の把握 潜在的な問題点の発見 ペネトレーションテスト  → 深さ重視 / 未知の脆弱性 脆弱性診断

     → 広さ重視 / 網羅性

  20. 理想型として 現状を 「把握する」 有事に 「備える」 安全を 「設計する」 知見を交換し 良いモノを 作っていく

  21. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  22. 今日のIoTにおける守るべき対象 1. IoT デバイス → 機微情報の漏洩 → 意図しないユーザによる操作 / 乗っ取り

    2. 通信 → 通信の改ざん / 機微情報の漏洩 3. クラウド → 機微情報の漏洩 → 意図しないユーザによる操作 / デバイス制御乗っ取り

  23. IoT デバイスの守るべき点 ・保存される個人情報の漏えい ・保存される鍵やパスワードの漏えい ・ユーザなりすましによる命令の実行   ・ファームウェアアップデート機能を用いた  悪意あるファームウェアへの書き換え ・入出力の脆弱性を悪用した任意コード実行 ①

    重要情報の漏えい ② 不正なユーザによる操作 ③ デバイスの制御のっとり

  24. IoT 通信の守るべき点 ・保存される個人情報の漏えい ・保存される鍵やパスワードの漏えい ① 重要情報の漏えい

  25. クラウドに対する守るべき点 ・保存される個人情報の漏えい ・保存される鍵やパスワードの漏えい ・ユーザなりすましによる命令の実行 ・デバイスなりすましによる命令の実行   ・クラウドの設定不備によるなりすまし ・クラウド経由での IoTデバイスへの侵入 ①

    重要情報の漏えい ② 不正なユーザによる操作 ③ クラウドの制御のっとり ④ デバイスの制御のっとり

  26. 脅威モデリングとペネトレーションテスト 脅威モデリング  → 書類ベースで問題点を洗い出す  → 網羅性が高い ペネトレーションテスト  → 実際に攻撃をすることで脆弱性を洗い出す  →

    仕様外の挙動、仕様漏れの脆弱性を発見出来る

  27. 脆弱性診断・ペネトレーションテスト(再掲) 可視化された問題点の 影響の把握 潜在的な問題点の発見 ペネトレーションテスト  → 深さ重視 / 未知の脆弱性 脆弱性診断

     → 広さ重視 / 網羅性

  28. IoT ペネトレーションテスト 機器の分解からファームウェアの解析まで 多面的な評価を実施し 現状のセキュリティ対策の有効性やリスクの可視化を実施 ハードウェアテスト 0100101010 0110010101 ソフトウェア解析 インタフェーステスト

  29. 実際の診断風景 機器の分解、解析を実際に行って評価をしています。

  30. IoT デバイスの脆弱性診断例 ・機器から機微情報を抽出可能かのテスト ・デバッグポート等の露出有無   ・ファームウェアアップデートの検証 ・不正なプログラムの実行可否   ・多数の命令を短期間で送付した場合に  意図した挙動を行うかどうか

    ・意図しない通信路の露出等 ① ハードウェアテスト ② ソフトウェア解析 ③ インタフェーステスト

  31. IoT 通信の脆弱性診断例 ・通信路が暗号化されているかどうか ・暗号方式および使い方が安全かどうか ① 情報の暗号化 ・既知パスワードの利用がないか ②認証・認可の不備

  32. クラウドの脆弱性診断例 ・不必要なサービスが設定されていないか ・設定漏れ等がないか ① クラウドの設定不備 ・既知パスワードの利用がないか ・不必要な権限の保持がされていないか ②認証・認可の不備 ③APIの脆弱性調査

  33. 脆弱性評価をまとめると、、、 守るべきは下記3点: IoT デバイス / 通信 / クラウド どうやって可視化するか: 脅威モデリング

    (仕様から網羅的に探る) ペネトレーションテスト (実際の攻撃で探る) 弊社等の技術を持った診断会社の観点で リスクを正しく把握・可視化してものづくりに活かしてほしい

  34. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  35. どういう人が好まれるか  ・集中して好きなことが出来る人  ・ものごとの仕組みを知るのが好きな人  ・心配性な人 / やさしい人  ・善悪を客観的に判断出来る人 → スキルより、本質が先。

  36. 育成はどうするか 弊社視点: ・まずやらせてみる  →チップを焦がす、壊す等々     勉強用に用意した機器をとことん触らせる ・コンピュータ基礎を振り返ってもらう  →基礎部分がないと詰まってしまう ・怖がらせない、楽しませる  →教える側も楽しむ。発見を喜ぶ。

  37. GMOサイバーセキュリティbyイエラエへのお問合せは コーポレートサイトよりご連絡ください。 https://gmo-cybersecurity.com/ 各種脆弱性診断・ペネトレーションテスト/ セキュリティコンサルティング/デジタルフォレンジック/ その他セキュリティ関連サービスなど

  38. None