IPA、IoT開発のセキュリティ設計ガイドを公開 - 具体的な手法/事例を掲載

[2016/05/13 08:00] ブックマーク ブックマーク

IPA(情報処理推進機構)は5月12日、「IoT開発におけるセキュリティ設計の手引き」を公開した。同手引きでは、IoT(Internet of Things)を5つの構成要素に分類し、各要素について課題を抽出・整理。また、4つの分野においてIoTシステムの具体的な事例を挙げ、その脅威分析と対策検討の実施例を図解している。付録として、IoTシステムのセキュリティを実現する暗号化技術に関して、その安全性を確認するためのチェックリストなどが掲載されている。

“IoTモデル”を設定し、攻撃シナリオベースで脅威を分析

IPAセキュリティセンター 情報セキュリティ 技術ラボラトリー 研究員 辻宏郷氏

IPAセキュリティセンター 情報セキュリティ 技術ラボラトリー 研究員の辻宏郷氏

「今、注目を集めるIoTは、今後さらに普及することが見込まれます。ただし、多種多様なモノがネットワークにつながることで発生する脅威は多岐に渡っており、それらに対するセキュリティ対策には不十分さ、責任範囲の曖昧さなど、現状さまざまな課題があります」と説明するのは、IPAセキュリティセンター 情報セキュリティ 技術ラボラトリー 研究員の辻宏郷氏だ。

企業は、これまで想定していなかったモノがネットワークに繋がれる可能性を踏まえ、そのリスクや被害、対策を考慮しておかなければならない。とはいえ、具体的にどうやって進めれば良いのかわからず、手探り状態の企業も多いのが実情だ。

そこでIPAでは、IoTを「サービス提供サーバ・クラウド」、「中継機器」、「システム」、「デバイス」、「直接相互通信するデバイス」の構成要素に分類し、”IPAのIoTモデル”を設定した。「機器に応じて性質が異なり、脅威も対策も異なるので、まずは最初にこうしたモデルを定義した」(辻氏)のだという。

各要素における課題の抽出・整理にあたっては、防止したい被害を列挙したうえで、それらの被害を生じさせる攻撃シナリオを洗い出し、そうした攻撃を抑止するための対策を検討する流れになっている。

具体的な例として、辻氏はネットワークカメラシステムの例を紹介した。自宅などに設置して遠隔から室内の様子を確認できるネットワークカメラにおいて、防止したい被害としては、画像の盗み見や改ざんをされたり、本来のユーザーが閲覧できなくされたりといったものが考えられる。

「例えば『盗み見される』という被害ベースで考える場合、どういう攻撃をされると盗み見される可能性があるのかを検討し、さらにその攻撃の実施方法を掘り下げるといった具合に検討していきます」(辻氏)

攻撃ツリーを用いたネットワークカメラに対する脅威分析の例/出典:IPA『IoT開発におけるセキュリティ設計の手引き』

脅威分析の結果に基づいて対策を考えるにあたっては、実装対象のリソース(CPUの処理能力やメモリ容量など)や投入可能なコスト、インシデント発生時の影響度などを十分に考慮することが必要だ。

辻氏は、「ポイントとなるのは、脆弱性対策です。脆弱性は開発段階でできるだけ排除することも大切ですが、運用段階で見つかることも少なくありません。そのため運用段階においても、脆弱性情報の収集はもちろん、対策情報をユーザーに周知したり、更新ソフトウェアを適用したりといった対応が必要です。手引きでは、こうした内容についても解説しています」と説明した。

具体的に示された4つの分析・対策事例

手引きでは、IoTシステムの具体的な脅威分析・対策検討の実施例として「デジタルテレビ」、「ヘルスケア機器とクラウドサービス」、「スマートハウス」、「コネクテッドカー」の事例が図解されている。

各図解では、システムの全体像において、脅威が想定される個所とそれに対応する認証/暗号化技術、OTA(Online Trust Alliance)/OWASP(The Open Web Application Security Project)の公開するセキュリティ要件が明示されている。

スマートハウスの脅威と対策の検討例/出典:IPA『IoT開発におけるセキュリティ設計の手引き』

「記載されているすべての対策を実施しなければいけない、というわけではありません。システム構成などに応じて検討していくうえで、参考にしていただければと考えています」(辻氏)

なお、この手引きは、今年3月24日にIPAが公開したIoT製品の開発指針「つながる世界の開発指針」に対し、具体的なセキュリティ設計と実装を実現するものとして位置付けられており、付録には17の開発指針との対応表も掲載されている。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

【連載】IoTアーキテクチャ設計入門 [1] IoTとは? - 本質と価値に迫る

【連載】IoTアーキテクチャ設計入門 [1] IoTとは? - 本質と価値に迫る

多様なデバイスから大量のデータを受け取るIoTでは、これまでのシステムにはなかった要件がいくつも出てきます。構築・見積もりの指令を受け、困惑する技術者も多いのではないでしょうか。そうした方々にヒントを提示するべく、本連載では、IoTシステムを構築するうえでの基本や注意点について解説していきます。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
対話システムをつくろう! Python超入門
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
PowerShell Core入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る