Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今知りたい、IoTセキュリティの基礎から実務 【SORACOM Discovery 2023】

Avatar for SORACOM SORACOM
PRO
July 06, 2023
Technology
0
210

今知りたい、IoTセキュリティの基礎から実務 【SORACOM Discovery 2023】

社会のインフラとして定着しつつあるIoTは、クラウドとデバイスを通信でつなげるという「IT技術の組み合わせ」で構成されています。安定的につながることに加えて、気を配る必要があるのが「セキュリティ」です。本セッションでは、実践的な脆弱性診断を行っているGMOサイバーセキュリティ by イエラエをゲストにお迎えし、IoTセキュリティの基礎から今すぐ取り組みたい実務について、ソラコムの知見と共にご紹介します。

GMOサイバーセキュリティ by イエラエ株式会社 高度解析部 高度解析課 課長 三村 聡志
株式会社ソラコム ソリューションアーキテクト 松本 悠輔
Avatar for SORACOM

SORACOM
PRO

July 06, 2023
Tweet

More Decks by SORACOM

See All by SORACOM
投資家様向けビジネス概要
Avatar for SORACOM soracom
PRO
0
32
IoT でできること・取り組み方「後付け IoT」「組み込み IoT」と、IoTやSORACOMの仲間が共に学び交流するコミュニティ「SORACOM UG」
Avatar for SORACOM soracom
PRO
0
310
APIファーストで実現する運用性の高い IoT プラットフォーム: SORACOMのアプローチ
Avatar for SORACOM soracom
PRO
0
1.5k
IoTシステムの運用効率化に取り組もう! ― 回線管理とデバイス設定を自動化するための SORACOM API とプラットフォーム機能の活用
Avatar for SORACOM soracom
PRO
0
110
SORACOM のアーキテクチャと挑戦のフィールド
Avatar for SORACOM soracom
PRO
1
980
Technical Writing Meetup vol.39
Avatar for SORACOM soracom
PRO
2
970
今だからこそ振り返る、生成AIの基礎とこれからの使い道 ― デバイスから生成AIを使うには
Avatar for SORACOM soracom
PRO
0
70
【SORACOM UG】SORACOM におけるユーザーコミュニティの重要性とこれから
Avatar for SORACOM soracom
PRO
2
590
AWS Lambda と Amazon SQS で「わかった気になれる」FreeRTOS 入門
Avatar for SORACOM soracom
PRO
2
770

Other Decks in Technology

See All in Technology
Oracle Audit Vault and Database Firewall 20 概要
Avatar for oracle4engineer oracle4engineer
PRO
3
1.7k
実践! AIエージェント導入記
Avatar for 森本タカヒロ 1mono2prod
0
160
AIのAIによるAIのための出力評価と改善
Avatar for たまねぎ chocoyama
2
540
Fabric + Databricks 2025.6 の最新情報ピックアップ
Avatar for Ryoma Nagata ryomaru0825
1
130
Amazon Bedrockで実現する 新たな学習体験
Avatar for Kazuki Maeda kzkmaeda
1
520
BrainPadプログラミングコンテスト記念LT会2025_社内イベント&問題解説
Avatar for BrainPad brainpadpr
1
160
Microsoft Build 2025 技術/製品動向 for Microsoft Startup Tech Community
Avatar for Toru Makabe torumakabe
2
260
AWS Summit Japan 2025 Community Stage - App workflow automation by AWS Step Functions
Avatar for matsuihidetoshi matsuihidetoshi
1
250
“社内”だけで完結していた私が、AWS Community Builder になるまで
Avatar for nagisa_53 nagisa53
1
360
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 完全版 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming - Expanded
Avatar for HASEGAWA Tomoki tomzoh
4
3.1k
rubygem開発で鍛える設計力
Avatar for Tomohiro Hashidate joker1007
2
190
_第3回__AIxIoTビジネス共創ラボ紹介資料_20250617.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
150

Featured

See All Featured
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
346
40k
Scaling GitHub
Avatar for Zach Holman holman
459
140k
KATA
Avatar for Megan Lloyd mclloyd
29
14k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
181
53k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
24
1.7k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
138
34k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
337
57k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.4k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
31
1.2k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
94
14k
Designing for Performance
Avatar for Lara Hogan lara
609
69k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
28
5.4k

Transcript

  1. 今知りたい、IoTセキュリティの 基礎から実務 GMOサイバーセキュリティ by イエラエ株式会社 高度解析部 高度解析課 課長 三村 聡志

    様 株式会社ソラコム ソリューションアーキテクト 松本 悠輔

  2. 本日のハッシュタグ #SORACOM @SORACOM_PR fb.com/soracom.jp youtube.com/@SORACOM_Japan instagram.com/soracom.official 使用例 他には… • #SORACOM

    IoTやDXの話を聞きにきた • キーノートは2日目! #SORACOM #SORACOM の検索で、最新情報が!

  3. セッション概要 社会のインフラとして定着しつつあるIoTは、クラウドとデバ イスを通信でつなげるという「IT技術の組み合わせ」で構成 されています。安定的につながることに加えて、気を配る必 要があるのが「セキュリティ」です。本セッションでは、実践的 な脆弱性診断を行っているGMOサイバーセキュリティ by イ エラエをゲストにお迎えし、IoTセキュリティの基礎から今す ぐ取り組みたい実務について、ソラコムの知見と共にご紹介

    します。

  4. 自己紹介 松本悠輔(Yusuke Matsumoto) ソリューションアーキテクト 経歴: • インフラエンジニア • Webエンジニア •

    IoTエンジニア 好きなサービス:SORACOM Junction SORACOM本の一部執筆を 担当しています!

  5. 三村聡志(Satoshi Mimura) 高度解析部 高度解析課 課長 経歴: マルウェア解析やアプリケーション・ カーネルドライバ開発業務に従事した後、 現在はハードウェアの脆弱性診断業務に従事。 SECCON Beginners

    初代リーダー。 SECCON 実行委員。2023年より実行委員長。 落語と風呂が趣味。Twitter : @mimura1133 その他: GIAC GREM, GNFA, GCFA, GCPN. 東京電機大学非常勤講師、等

  6. GMOサイバーセキュリティ by イエラエ株式会社 ・2013年2月22日設立 ・従業員数:200名 ・本社所在地:東京都渋谷区 ・事業内容:  サイバーセキュリティ事業/システム開発事業/  AI事業/その他自社開発SaaSサービスの運用 セキュリティテストの累計実績は6000件以上!

    国内トップクラスのホワイトハッカーが 多数在籍するサイバーセキュリティの会社です。
  7. None

  8. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  9. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  10. IoT市場の概況 ※1 総務省情報通信白書より ※2 IDC Japan『国内IoT市場 産業分野別予測、2021年~2025年』より 国内IoT市場における2020年から2025年までの 支出額予測(2020年は見込み値)※2 世界のIoTデバイス数の推移及び予測

    ※1

  11. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  12. 実際に起きたIoTセキュリティインシデントの例 • 野鳥に取り付けたGPSトラッカーからSIMを抜き取られて後日高額請求された • 設備監視のWebカメラが乗っ取られてしまった • IoTデバイスが乗っ取られて他者への攻撃の踏み台にされてしまった 参考 https://www.soumu.go.jp/main_content/000722477.pdf

  13. •事業スピードが低下 •レピュテーション低下 •お客様への説明と対応 •システム的な修正の対応 •人的被害 インシデントが起きると・・・? ©2023 SORACOM, INC 回復不可能なトラブルが発生する可能性がある

  14. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  15. 発生する前に出来る対策 現状を「把握する」 有事に「備える」

  16. 発生する前に出来る対策 現状を「把握する」 下記の実施: ・脅威モデリング ・脆弱性診断 ・ペネトレーション  テスト 有事に「備える」 下記の構築・準備: ・インシデント対応

    ・運用体制 ・監視体制

  17. 現状を「把握する」 現状を「把握する」 設計資料・その他の資料から現状の可視化をする  → 脅威モデリング 網羅的に既知の攻撃を試してチェックをする  → 脆弱性診断 未知の攻撃・潜在的な脆弱性を発見する  → ペネトレーションテスト

  18. 脅威モデリングによる現状の可視化 保護すべき資産が 「どのような性質」を持ち 「どのようなリスク」があるか 可視化を行う

  19. 脆弱性診断・ペネトレーションテスト 可視化された問題点の 影響の把握 潜在的な問題点の発見 ペネトレーションテスト  → 深さ重視 / 未知の脆弱性 脆弱性診断

     → 広さ重視 / 網羅性

  20. 理想型として 現状を 「把握する」 有事に 「備える」 安全を 「設計する」 知見を交換し 良いモノを 作っていく

  21. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  22. 今日のIoTにおける守るべき対象 1. IoT デバイス → 機微情報の漏洩 → 意図しないユーザによる操作 / 乗っ取り

    2. 通信 → 通信の改ざん / 機微情報の漏洩 3. クラウド → 機微情報の漏洩 → 意図しないユーザによる操作 / デバイス制御乗っ取り

  23. IoT デバイスの守るべき点 ・保存される個人情報の漏えい ・保存される鍵やパスワードの漏えい ・ユーザなりすましによる命令の実行   ・ファームウェアアップデート機能を用いた  悪意あるファームウェアへの書き換え ・入出力の脆弱性を悪用した任意コード実行 ①

    重要情報の漏えい ② 不正なユーザによる操作 ③ デバイスの制御のっとり

  24. IoT 通信の守るべき点 ・保存される個人情報の漏えい ・保存される鍵やパスワードの漏えい ① 重要情報の漏えい

  25. クラウドに対する守るべき点 ・保存される個人情報の漏えい ・保存される鍵やパスワードの漏えい ・ユーザなりすましによる命令の実行 ・デバイスなりすましによる命令の実行   ・クラウドの設定不備によるなりすまし ・クラウド経由での IoTデバイスへの侵入 ①

    重要情報の漏えい ② 不正なユーザによる操作 ③ クラウドの制御のっとり ④ デバイスの制御のっとり

  26. 脅威モデリングとペネトレーションテスト 脅威モデリング  → 書類ベースで問題点を洗い出す  → 網羅性が高い ペネトレーションテスト  → 実際に攻撃をすることで脆弱性を洗い出す  →

    仕様外の挙動、仕様漏れの脆弱性を発見出来る

  27. 脆弱性診断・ペネトレーションテスト(再掲) 可視化された問題点の 影響の把握 潜在的な問題点の発見 ペネトレーションテスト  → 深さ重視 / 未知の脆弱性 脆弱性診断

     → 広さ重視 / 網羅性

  28. IoT ペネトレーションテスト 機器の分解からファームウェアの解析まで 多面的な評価を実施し 現状のセキュリティ対策の有効性やリスクの可視化を実施 ハードウェアテスト 0100101010 0110010101 ソフトウェア解析 インタフェーステスト

  29. 実際の診断風景 機器の分解、解析を実際に行って評価をしています。

  30. IoT デバイスの脆弱性診断例 ・機器から機微情報を抽出可能かのテスト ・デバッグポート等の露出有無   ・ファームウェアアップデートの検証 ・不正なプログラムの実行可否   ・多数の命令を短期間で送付した場合に  意図した挙動を行うかどうか

    ・意図しない通信路の露出等 ① ハードウェアテスト ② ソフトウェア解析 ③ インタフェーステスト

  31. IoT 通信の脆弱性診断例 ・通信路が暗号化されているかどうか ・暗号方式および使い方が安全かどうか ① 情報の暗号化 ・既知パスワードの利用がないか ②認証・認可の不備

  32. クラウドの脆弱性診断例 ・不必要なサービスが設定されていないか ・設定漏れ等がないか ① クラウドの設定不備 ・既知パスワードの利用がないか ・不必要な権限の保持がされていないか ②認証・認可の不備 ③APIの脆弱性調査

  33. 脆弱性評価をまとめると、、、 守るべきは下記3点: IoT デバイス / 通信 / クラウド どうやって可視化するか: 脅威モデリング

    (仕様から網羅的に探る) ペネトレーションテスト (実際の攻撃で探る) 弊社等の技術を持った診断会社の観点で リスクを正しく把握・可視化してものづくりに活かしてほしい

  34. アジェンダ • IoTを取り巻く状況 • IoT関連のセキュリティインシデント実例 • セキュリティインシデントが発生する前にできる対策は? • システムの脆弱性評価 •

    セキュリティ人材の育成

  35. どういう人が好まれるか  ・集中して好きなことが出来る人  ・ものごとの仕組みを知るのが好きな人  ・心配性な人 / やさしい人  ・善悪を客観的に判断出来る人 → スキルより、本質が先。

  36. 育成はどうするか 弊社視点: ・まずやらせてみる  →チップを焦がす、壊す等々     勉強用に用意した機器をとことん触らせる ・コンピュータ基礎を振り返ってもらう  →基礎部分がないと詰まってしまう ・怖がらせない、楽しませる  →教える側も楽しむ。発見を喜ぶ。

  37. GMOサイバーセキュリティbyイエラエへのお問合せは コーポレートサイトよりご連絡ください。 https://gmo-cybersecurity.com/ 各種脆弱性診断・ペネトレーションテスト/ セキュリティコンサルティング/デジタルフォレンジック/ その他セキュリティ関連サービスなど

  38. None