★☆★JNSAメールマガジン 第93号 2016.8.26☆★☆

こんにちは
JNSAメールマガジン 第93号 をお届けします。

最近は「IoT」という言葉を耳にすることが非常に多くなりました。
JNSAでも今年の6月に「コンシューマ向けIoTセキュリティガイド」を公開し、 多数ダウンロードいただいています。

コンシューマ向けIoTセキュリティガイド
http://www.jnsa.org/result/iot/

今回のリレーコラムでは、IoTセキュリティWGリーダーである株式会社カス ペルスキーの松岡 正人様に、本ガイドが「コンシューマ向けIoT」の開発者 を対象とした「セキュリティガイド」となった理由とガイドの活用方法に ついてご寄稿いただきました。

【連載リレーコラム】
コンシューマ向けIoTセキュリティガイドラインを利用するために

(株式会社カスペルスキー|JNSA IoTセキュリティWGリーダー 松岡 正人)

2016年7月に発行した「コンシューマ向けIoTセキュリティガイド」がなぜ「コンシューマ向けIoT」の開発者を対象とした「セキュリティガイド」となったのか少し説明をしたいと思う。

Gartner社の2015年末に発表されたIoTの市場予測によれば、2020年には全世界で約250億台のIoT機器がインターネットに接続され、半数以上の130億台あまりはコンシューマ市場で利用されるとしている。

“Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016,Up 30 Percent From 2015”

http://www.gartner.com/newsroom/id/3165317

つまり、機器の利用者はセキュリティの専門家ではなく一般の消費者となり、法人ユーザーが利用する場合にはなんらかの機器の管理が行われると想像できるが、個人の利用者はいちいち管理するとは思えない。つまり、IoT機器が増えるということは利用者が管理してくれないという前提でそれらの機器の開発と提供を行うようにしなければならないのではないかというのが、私たちの結論なのである。たとえば遠隔地からスマートフォンなどで自宅の様子を確認することのできるネットワークカメラを利用するような場合、ペットの様子を確認したい、旅行中に異常のないことを確認したいなどの理由で利用することもあるかもしれない。しかし、悪意ある第三者がこのネットワークカメラにアクセスできるとしたらどうだろう。このような脅威を想定し、各々の対策を検討するためのたたき台として考えたのが「脅威一覧表」であり、サンプルとして理解していただきやすいように、一般的なコンシューマ向けの製品を題材に提案してみた。

さて、上記ネットワークカメラにおける脅威は「セキュリティガイド」の第3章「ベンダーとしてIoT デバイスを提供する際に検討すべきこと」の「脅威一覧表」を参照していただきたいのだが「攻撃者による干渉に起因する脅威」のうち「不正利用」などが相当すると思われる。

ネットワークカメラの不正利用に関して、ネットワークカメラの導入開始時と平常運用時とでは対策が異なることがわかると思う。たとえば、導入開始時では認証情報をメーカー出荷状態ではなく、利用者が変更しないと使い始めることができないように提案している、これは多くの場合ネットワークカメラに限らず、初期設定のまま使い始めることができるようになっていることで、簡単に第三者がインターネットに繋がったネットワークカメラにアクセスできる状況を改善するための提案である。また、ネットワークカメラの提供元が脆弱性対策用のパッチをリリースしていれば最新の状態にして運用を開始するように提案しているが、この作業をユーザーに強制的におこなわせるため、ネットワークカメラがソフトウェアの更新があることをユーザーに通知し、更新作業を行わなければ運用を開始できないようにするということである。

また、廃棄の時点で機器に記録されている情報やデータを第三者が容易に入手できないようにするため、対タンパ性を持つ製品を使用するように提案しているが、もしカメラで撮影した画像や動画を保持することのできる製品であれば、それらのデータを電磁気的に破壊、消去することのできる機能も含め検討する必要があるということでもある。

もちろん、私たちが提供しているガイドはあくまでも参考でしかない、このまま使っていただくのではなく対象となる機器やサービスやインフラの要件に応じ、私たちが想定している脅威の分類や機器の置かれている状態に変更を加え、実際の製品やサービスに即したガイドとして作り直していただくのが良いのではないかと思う。もちろん、当ワーキンググループに持ち込んでいただいて一緒に議論させていただくこともやぶさかではない。

IoT という新しい仕組みのもたらす最大の脅威は「アタックサーフェス」攻撃可能な箇所が劇的に増大することとそれらを管理する方法が確立されていないことだ。インターネット上の多種多様なサービスを利用することのできる機器が無造作に家庭の中に入り込んでいくことは悪意ある第三者を大いに利する可能性がある。そして、この問題を解決するのに個人利用者の意識改革を待っていては間に合わず、リスクを抑え込むためにはベンダーの工夫が先行する必要があるということなのである。


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★マイナンバー対応情報セキュリティ検討WGでは、8月31日(水)に勉強会を開催いたします。(会員限定)
  テーマ:マイナンバー制度の最新情報や動向、今後の展望
  講演者:楠 正憲氏
(ヤフー株式会社CISO Board|内閣官房政府CIO補佐官)
  日 時:8月31日(水)13:30-15:00
  場 所:ハロー貸会議室虎ノ門3F(東京都港区虎ノ門1-2-12)

★社会活動部会では、9月2日(金)にAI勉強会を開催いたします。(会員限定)
  テーマ:IBM Watsonのユースケースの現状と今後の期待
  講演者:田端 真由美様(日本IBM)
  日 時:9月2日(金) 17:00-18:30
  場 所:ハロー貸会議室虎ノ門3F(東京都港区虎ノ門1-2-12)

★「第6回 産学情報セキュリティ人材育成交流会」の参加申込み受付中!
 今回は大阪でサテライト会場も設けます。
 日時:2016年9月20日(火)14:00-19:00
 場所:東京大学本郷キャンパス(文京区本郷7-3-1)
    グランフロント大阪 北館タワーC 9F (サテライト会場)
 <交流会開催案内>
  http://www.jnsa.org/internship/event.html
 
「JNSAインターンシップ」参加企業も随時受付しております。
 ご興味ある企業ご担当者様は、事務局までご連絡下さい。

★9月10日(土)に弘前市で開催のSECCON「CTF for ビギナーズ 2016 弘前」 参加申込み受付中です。  
募集案内はSECCONサイトをご覧下さい。

【事務局からの連絡、お知らせ】
★受講者10万人突破記念!「情報セキュリティ理解度チェック」プレミアム版を限定20社に期間限定で無償提供いたします。ご興味ある方は事務局まで。

 情報セキュリティ理解度チェック・プレミアム
  http://slb.jnsa.org/eslb/#premium

☆コラムに関するご意見、お問い合わせ等はJNSA事務局まで
 お願いします。

*************************************
JNSAメールマガジン 第93号
発信日:2016年8月26日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.