★☆★JNSAメールマガジン 第151号 2018.11.30 ☆★☆

こんにちは
JNSAメールマガジン 第151号 をお届けします。

JNSAでは、来年3月にサンフランシスコで開催される「RSA Conference 2019」にて、会員企業8社によるジャパンパビリオンを出展することが決まりました。昨年のシンガポールで開催された「INTERPOL World 2017」でのジャパンパビリオンから大きく一歩前進です。2020年にはさらに規模を拡大していきたいと考えています。
「RSA Conference 2019」に参加される方はぜひジャパンパビリオンにもお立ち寄り下さい。

さて今回のメールマガジンはNTTコミュニケーションズ株式会社の小山覚氏に「電気通信事業法等の一部改正とIoTセキュリティの関係とは?」をご寄稿いただきました。

【連載リレーコラム】
電気通信事業法等の一部改正とIoTセキュリティの関係とは?

NTTコミュニケーションズ株式会社 情報セキュリティ部長
小山 覚

インターネットサービスプロバイダ(以下プロバイダ)が関わるIoT等のセキュリティ対策の話をさせていただきたい。
後世から見れば、2018年はプロバイダ等がIoTのセキュリティ対策や、サイバー攻撃対策が大きく動き出した年となるかもしれない。それほど法律が大きく動いた。「電気通信事業法とNICT法が一部改正*1」され、そしてIoTのセキュリティ対策を行う際の「通信の秘密」に配慮した対策方法の考え方「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第3次取りまとめ*2」などが出そろったのだ。

*1:http://www.soumu.go.jp/main_content/000536856.pdf
*2:http://www.soumu.go.jp/main_content/000575399.pdf

この法改正等が何にどう影響していくのか、条文を読んだだけでピンとくる人は少ない。そこで今回はメルマガの紙面をお借りして、法改正の背景や意味合いについて、通信分野に関わる「個人」としての意見を述べさせていただきたい。

早速脱線するようで恐縮だが、サイバー攻撃対策の悩みについて、中小企業や個人ユーザからは、何から手を付けてよいのか分からない。どうせ難しい対策ならプロバイダがネットワーク上でサイバー攻撃をブロックしてくれれば良いのに・・・インターネットの黎明期はそんな意見をよく耳にした。

多くの方がイメージしているモデルが上水道である。飲用可能な水を供給するため、取水した水を浄化・消毒するのと同じように、インターネットのバックボーンで攻撃をブロックしてしまえば、ユーザは楽してコストも安くなるのではないか。

たしかに一理ある考え方だが、浄水場での対策が全ての利用者に効果がある水道と比較して、インターネットの場合は「浄化・消毒」といっても、利用するアプリやアクセスするサイトの複雑な組み合わせと、巧妙化する攻撃手法に追従しなければならない。万能薬的なサイバー攻撃対策サービスの提供は難しそうだ。

プロバイダがやって効果がありそうな対策は、強いて言えば、DDoS攻撃のブロックや、感染したPC等が共通的にアクセスするC&Cサーバへの通信のブロックなどだろうか。しかし、これらは既にセキュリティ対策サービスとしてビジネスが行われている。仮にプロバイダがサービス提供する場合も、民間の有償サービスをプロバイダが代表で購入して、利用者の割り勘でコスト回収するモデルでは、あまり魅力的なサービスとはなりえない。

ところがIoTが普及し事情が違ってきた。
2016年に監視カメラ等に感染するボットネット「Mirai」が1Tbpsを超えるDDoS攻撃を発生させ世界を震撼させた。脆弱なIDとパスワード約60通りの組み合わせのリストを使って、端末への不正なログインとボットの感染が行われ、約50万台のIoT機器が乗っ取らたのだった。
マルウェアに感染しないためには、IoT機器の「パスワード変更・ファームウェアの更新・マルウェア駆除・アクセス制限」などの基本的な対策をしっかり行う必要があるが、実際の問題として、既に世界中にばらまかれ、管理者不在に近い野良IoTに対して対策の徹底は難しい。

ITの時代はWindowsアップデートやウィルス対策ソフトのパターンファイルの更新を呼びかけてきた。啓発活動を行ってユーザの責任を問うこともできたが、いまは少し事情が違っている。そもそも野良状態のIoT機器の所有者に管理者としての自覚を持ってもらえるのかどうかも疑わしい。仮に個人ユーザのIoT端末がマルウェアに感染して、第三者へのDDoS攻撃に加担していたとしても、監視カメラやセンサ等のIoTの機能に影響がなければ、自発的にセキュリティの点検をしようと思う人はなかなかいない。せめて脆弱なIoT機器の所有者に注意喚起することができれば、対策を進めるトリガにはなるかもしれない・・・

この状態を看過すると将来に禍根をきっと残す。多くの関係者のジレンマを救うように今般の「電気通信事業法とNICT法が一部改正*1」を行って頂いたと、私は理解しているし、他国に先がけての立法化の素早い動きに感謝している。
そして、通信事業者がIoTのセキュリティ対策に乗り出す場合の法的な側面からの注意点を整理したのが「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第3次取りまとめ*2」である。

この法改正等を踏まえて進んでいく対策は、例えばNICTが簡単なID・パスワードでログイン可能なIoT機器を調査し、その情報をプロバイダに通知し注意喚起などの対策を行うような取り組みが既に準備段階に入っている。
この調査はいわるゆる「パスワードアタック」に相当し、恐らく「不正アクセス禁止法違反」に相当する可能性がある。しかし調べなければ対策は進まない・・・これでは、攻撃者有利な状況が継続し、セキュリティ対策も進まない、まさにジレンマである。今回はNICTが適切な方法でパスワードを打ち込んで脆弱な機器を調査する場合に限って、不正アクセス禁止法の適応の例外となる。
未来永劫ではなく5年間限定ではあるが、日本は野良IoT対策を進める上で、重要な武器を手にしたことになる。

また、脆弱なIoT機器の所有者への注意喚起で終わるのではなく、実際に攻撃が発生した際は複数のプロバイダ間での攻撃情報の共有を行う仕組みも準備される。その中核的な役割を果たす「認定協会*3」が設立され、円滑な攻撃情報の共有や、攻撃命令を出すC&Cサーバ等の調査研究などを行っていくビジョンが示されている。このような取り組みがいよいよ動き出す。

*3:認定協会は正式には「認定送信型対電気通信設備サイバー攻撃対処協会」です。
http://www.soumu.go.jp/main_content/000536857.pdf

他国に先駆けての取り組みは、始まったばかりである。
通信事業者やIoT機器メーカなど、様々な関係者の理解と協力が得られるよう、私も微力を尽くしていきたい。

 

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★SECCON CTF大会|カンファレンスが開催されます。
 お申込受付が始まりました。多くの皆様のご参加お待ちしております。
 SECCONカンファレンス 開催日:2018年12月22日(土)〜23日(日)
 SECCON CTF(国際CTF大会)開催日:2018年12月22日(土)〜23日(日)
 SECCON CTF(国内CTF大会)開催日:2018年12月23日(日)
 会 場:AKIBA SQUARE 秋葉原コンベンションホール
     「SECCON2018」サイトで参加登録をご案内しております。
     https://2018.seccon.jp

★社会活動部会では、「社会、業界、個人をとりまく一年のモヤモヤを
振り返り、明日への希望を見いだす3時間」と題して、3つのテーマで
ディスカッションを行う車座拡大忘年会を開催いたします。
日程:12月10日(月)17:45−21:00
会場:AP虎ノ門貸会議室
会費:2,000円(領収証発行、軽食と飲物付き)
参加希望の会員企業の方は、JNSA事務局< office@jnsa.org >まで。

【事務局からのお知らせ】
★JNSA共催イベント「Security Day 2018」参加申込み受付中です。
 日時:2018年12月21日(金)
 場所:KKRホテル熱海 (静岡県熱海市春日町7-39)
 <プログラムはこちらをご覧下さい>
http://www.securityday.jp/

★JNSA構成団体となっております第4回「辻井重男セキュリティ論文賞」の
論文募集中です。応募者以外の方(例えば指導教員など)からの他薦も
歓迎します。多くの皆様の応募をお待ちしております。
募集期間:2019年1月18日(金)まで
<詳細は以下をご覧ください>
http://www.jssm.net/wp/?page_id=3627

★「Network Security Forum 2019(NSF2019)」を開催いたします。
プログラム詳細は12月公開予定です。
日 程:2019年1月22日(火)
会 場:ベルサール神保町
(千代田区西神田3-2-1住友不動産千代田ファーストビル南館)

★JNSAソリューションガイドをリニューアルしました! 
セキュリティ製品・サービスの検索にぜひご活用下さい。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do

★JNSAは、(ISC)2やSANSの代理店として、会員企業の方へトレーニングの
割引販売を行っております。受講の際にはぜひ事務局までご連絡下さい。
SANS2月トレーニングの受付を開始いたしました!

★家庭や学校からインターネットにアクセスする一般利用者を対象とした
「インターネット安全教室」を全国各地で行っています。
開催に興味のある方は、こちらからお問合せ下さい。
https://www.ipa.go.jp/security/keihatsu/net-anzen.html

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第151号
発信日:2018年11月30日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.