★☆★JNSAメールマガジン 第99号 2016.11.18 ☆★☆
今年のSECCON(http://2016.seccon.jp)で唯一社会人の方も参加できるSECCONオンライン予選「SECCON 2016 Online CTF」の登録がスタートしています。
国籍、性別、年齢、チーム人数問わずどなたでも参加可能です。本格的に決勝大会を目指す方も、これからCTFをやってみたいという方もぜひトライしてみてください。
日 程 :2016年12月10日(土)15:00〜11日(日)15:00 (JST) 日本時間
会 場 :インターネット環境があればどこでも参加可能です。
参加登録:http://2016.seccon.jp/news/#124
さて、今回のリレーコラムでは、10月26日に開催しました「IoTセキュリティセミナーIoTの未来とセキュリティの課題」について、主催のIoTセキュリティWGメンバーである長坂啓司様にご寄稿いただきました。
( IoTセキュリティWG/日本プロセス株式会社 長坂啓司氏)
2016年10月26日にJNSA IoTセキュリティWG主催のセミナー「IoTセキュリティセミナーIoTの未来とセキュリティの課題」が、日本IBM本社セミナールームにて行なわれました。
IoTセキュリティWGでは、2016年6月に「コンシューマ向けIoT セキュリティガイド」を発行しました。また、2016年は様々な組織・団体が多様なIoTセキュリティのガイドラインを発行しています。このセミナーでは、バラエティに富んだ講演者とIoTおよびIoTセキュリティに関連する6団体によるパネルディスカッションを通じて、IoTの本格普及に向けて重要となるIoTセキュリティの現状と未来を示すことを目的としました。
当日はIoTセキュリティに対する世間の注目を表す通り、180名以上の参加者が集まり、熱気にあふれたセミナーとなりました。
日本のIoTマルウェア研究の第一人者である吉岡准教授の観測成果では、ネットワーク上のIoT機器は多くの攻撃にさらされており、既にIoT機器がマルウェア感染してそこから別の機器への攻撃が起きているとのことです。具体的には吉岡氏が設置した機器には2016年1月から6月の期間で60万台(60万IPアドレス)から500種類に及ぶ攻撃アクセスがあり、その攻撃元は、監視カメラやWi-Fiルータ、デジタルレコーダなどを中心に、駐車管理システムや太陽光発電システムなどのシステム、さらにはMRIなどの医療機器なども出始めているようです。
そして、それらの感染した機器を利用したDDoS攻撃も行われていて、リオ五輪の際には500Gbpsクラスの攻撃が実際に行われたということでした。
また、telnetポート以外にもシステムメンテナンス用のWebインターフェースが、誤ってインターネットからアクセスできて非常に脆弱な状態になっていることがあるそうです。特に、ルータなどではオンラインマニュアルにID、パスワードが記載されている場合もあり、とても危険だとの話がありました。
情報システムの世界では常識である、telnetポートを閉じる、インターネットに公開するページを限定するといった基本的なルールがIoT機器では守られておらず、既にマルウェア感染が広がっているという実態を聞き、特にその数字にびっくりしました。吉岡氏からはこの状況をメーカーの自助努力だけで改善することは難しいという話があり、諸団体が連携して早急にセキュリティ対策の取組みを進めていく必要があると感じました。
太田氏はPepperとともに生活しており、今回の講演ではそのロボットパートナーとしての生活で直面した課題がいくつも紹介されました。Pepperと一緒に新幹線に乗る、Pepperと一緒に車椅子用エレベータに乗るといったことで、どのような問題が起き、どのように解決されたのか(されなかったのか)を詳しく、そして楽しく説明して頂きました。
モノでもヒトでもペットでもない生命体としてのロボットが社会に溶け込んでいくためには、既存社会に存在するルールを変えていく必要があります。IoTでも、これまでパソコン、スマホの中にあったインターネット(サイバー空間)が現実世界に入ってくることで、これまでのルール、常識を変えなければならないところが出てくるはずです。今回紹介されたエピソードは、IoTでも形を変えて起きうる話でとても興味深かったです。
IoTセキュリティWGが約2年間議論してつくりあげた「コンシューマ向けIoTセキュリティガイド」の概説として、なぜターゲットコンシューマ向けIoT機器のセキュリティをターゲットなのかが説明されました。その答えは、IoT機器の数が膨大で管理しきれなくなり、そして攻撃者の立場で考えると特に管理が難しく無防備になるコンシューマ向けの機器が攻撃対象になりやすいと考えたからとのことでした。
「コンシューマ向けIoTセキュリティガイド」は、2016年に発行された他のIoTセキュリティガイドラインと似ているところ、違うところがありますが、その立ち位置がとてもよく分かりました。
2016年にIoTセキュリティガイドラインを発行した団体(IPA、CSAジャパン、CCDS、JNSA IoTセキュリティWG)とIoT機器を開発する組込み分野の業界団体(JASA)、セキュリティインシデント対応の中央組織(JPCERT/CC)が一堂に会した、日本でほぼはじめてのパネルディスカッションとなりました。パネルディスカッションでは、それぞれの団体の立場でIoTの未来とセキュリティについて熱い意見が飛び交いました。
パネルディスカッションで私が特に感銘を受けたのは、「IoTは人類の明るい未来であり、その未来をセキュリティの問題でふたをするようなことはあってはならない」という各団体の強い想いでした。
パネルディスカッションで私が特に感銘を受けたのは、「IoTは人類の明るい未来であり、その未来をセキュリティの問題でふたをするようなことはあってはならない」という各団体の強い想いでした。
「リソースの限られたIoT機器でどのようにセキュリティを担保するのか」、「システムを知り尽くした内部の人間が攻撃者にならないためにどうするか」、「情報システムの常識を知らない新しいIoT機器製造者、IoTシステム運用者にどうセキュリティ意識を伝えていくか」、「まだ議論が尽くされていないIoTのプライバシーの問題をどうするか」、「IoT機器がセキュリティ事故を引き起こしたときの責任の所在はユーザーになるのか、メーカーにあるのか」など、様々なIoTセキュリティの課題があり、その対策のためにやるべきことはまだまだたくさんあるということがパネルディスカッションでは示されました。
ただ、各パネラーには、これらの問題に対して後向きになるのではなく、あくまでも人類に新しい価値を生み出すIoTがよりよい発展をしていくために、セキュリティが足かせにならないように各団体の得意分野で活動していくという意志がみなぎっていました。私もIoTセキュリティWGの一員として、今後とも微力を尽くしていきたいと思いました。
【部会・WG便り】
★JNSA組織で働く人間が引き起こす不正・事故対応WG(内部不正WG)では、インタビュー連載を公開しました。ぜひご覧下さい
。
「日本の人事と内部不正(第4回)(株式会社日立ソリューションズ編)」
https://www.jnsa.org/result/2016/surv_soshiki/index.html
★JNSAセキュリティしんだん(22)を公開しました。ぜひご覧下さい。
「クレジットカード決済のセキュリティについて考える」
-クレジットカードセキュリティのスタンダード(PCIDSS)-
https://www.jnsa.org/secshindan/
★JNSA西日本支部では、勉強会「インシデントレスポンス体験セミナー」を開催いたします。参加申込み受付中です!
日時:2016年11月29日(火) 18:40受付開始、19:00開始
会場:株式会社サーバーワークス 大阪オフィス
阪急梅田駅/JR大阪駅/地下鉄御堂筋線中津駅
講演者:株式会社神戸デジタル・ラボ 松本悦宜氏
★ソリューションガイドWGでは、IPA「2016年版10大脅威」に対応した検索ページを公開しました。
<JNSAソリューションガイド>
https://www.jnsa.org/JNSASolutionGuide/
ページ右側の「トピックから検索」よりご利用ください。
★「第6回 産学情報セキュリティ人材育成交流会」の参加申込み受付中!
日時:2016年12月3日(土)15:00-20:00
場所:東京大学本郷キャンパス(文京区本郷7-3-1)
グランフロント大阪 北館タワーC 9F (サテライト会場)
<プログラムはこちらをご覧下さい>
https://www.jnsa.org/internship/event.html
【事務局からの連絡、お知らせ】
★JNSA共催イベント「SecurityDay 2016」参加申込み受付中です。
日時:2016年12月22日(木)
場所:東KKRホテル熱海(静岡県熱海市春日町7-39)
<プログラムはこちらをご覧下さい>
http://securityday.jp/ ★JNSAが関係しているセキュリティイベントはこちらに順次掲載しています。
ぜひご覧下さい。
https://www.jnsa.org/security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第99号
発信日:2016年11月18日
発行: JNSA事務局
*************************************