連載「IoTのセキュリティリスクを考える」#03 重要生活機器連携セキュリティ協議会 伊藤公祐事務局長、緒方日佐男氏(ATM-SWG主査)、三上清一氏(車載器SWG主査)生活関連IoT機器のセキュリティをどう守るか(後編)

牧野武文

December 26, 2017 08:00
by 牧野武文

重要生活機器連携セキュリティ協議会(CCDS)は、車載器、IoTゲートウェイ、金融端末(ATM)、決済端末(POS)の4分野の製品についてのセキュリティガイドラインを公開している。従来のガイドラインは、セキュリティに対する考え方の指針を示したものが多かったが、CCDSのガイドラインは評価手順の考え方など具体的なところにまで踏み込んだものになっている。CCDSはこのようなガイドラインを作成した背景について、CCDSの伊藤公祐事務局長に聞いた。

実行できるガイドラインが求められている

CCDSが公表したガイドラインの特徴として、ガイドラインに有り勝ちな理想論に終始するのではなく、現場に受け入れられるように、具体的で実践的な内容にしていることが挙げられる。豊富な事例を要所で示すだけでなく、現場が困るであろうポイントで考え方の方向性を示しており、例えば、セキュリティ評価検証の具体的なプロセス評価手順を策定するためのポイントについて触れるといった具合である。

CCDSがガイドラインを作成するにあたり、最も気を配ったのが「絵に描いた餅」にならないようにすることだった。セキュリティ対策は、コストと時間をかけてやった方が、製品のセキュリティは高くなる。しかし、IoT機器のメーカーは大企業ばかりでなく、またIoT機器それぞれの単価も決して高いものではない。理想的なガイドラインを押し付けても、結局、誰も利用しないということになりかねない。「メーカーができないことを押し付けても意味がないので、ひな形はメーカーの方々に作ってもらったのです。これなら自分たちでもできるというものを出していただいた。べき論でやっても、結局、現実には実行できないガイドラインになってしまうからです」。

しかし伊藤氏は公開したガイドラインでは、まだまだ不十分で、これが「決定版」というよりも、各分野の開発者、メーカーが製品のセキュリティを考えるきっかけになってほしいという。

分野により異なるセキュリティを取り巻く業界事情

もっとも、分野毎にセキュリティを取り巻く業界事情が異なっており、どの分野でも同じやり方でガイドラインの策定・公表を勧められるわけではない。
 
「公表したガイドラインの作成の主体になってくださったメーカーは、海外へ輸出する、あるいは海外展開を考えているところが多いのです。海外では、セキュリティはどうなっているのかと問われることが多く、メーカーの方々も以前から、ガイドラインを作るべきだというモチベーションがありました。今後、そういう協力をいただけるメーカーの方々と連携をして、ガイドラインの分野を増やしていきたいと考えています」

また、セキュリティに対する環境も分野によって異なっている問題もある。例えば、その分野に突出した規模の企業がある場合、その企業は業界と連携してセキュリティ対策をしていくよりも、自社内にセキュリティセンターを設置し、独自にセキュリティ対策をしていくケースもある。セキュリティも製品品質の一部分と考える戦略で、このような企業が、業界全体にセキュリティ対策のノウハウを公開するかどうかは、その企業の戦略次第になる。

関係者の危機意識を喚起する車載分野

それでは、ガイドラインの対象となった各分野の特徴をみていこう。前述のとおり、CCDSのガイドラインは車載、IoTゲートウェイ、金融端末(ATM)、決済端末(POS)の4つの分野を対象に策定されている。車載では個性的な取組として「べからず集〜失敗しないための事例集〜」という別冊を策定している。これは、観念的なべき論に留まるのではなく、具体的な失敗事例を豊富に示すことにより、なぜその取組が必要なのか、どのようにすればよかったのかといった点について、読者にイメージが沸くようにしている。例えば、「パスワードは変更できるようになっていますか?」という項目では、自動車に搭載された無線LANのアクセスポイントのパスワードが脆弱だったために解読されてしまったが、仕様上パスワードが変更できなかったため、無線LANを使用しないようにユーザーに呼びかけるしかなかったという事例が紹介されている。


CCDSの公開したセキュリティガイドラインは、具体性に富んでいる。具体的な評価手順を策定する際の考え方から、セキュリティ検証ツールの一覧評価など、参考になる情報が多い。CCDS「IoTセキュリティ評価検証ガイドラインRev 1.0」より引用。


セキュリティガイドラインの他にも、より読みやすい「べからず集」も公開している。一問一答形式のFAQで、インシデント事例なども掲載され、読み物としても面白い。セキュリティエンジニアの研修などにも利用できそうだ。CCDS「べからず集車載器編〜失敗しないための事例集〜」より引用。

車載のリーダーを務めた三上清一氏は「具体的な攻撃手法がセキュリティカンファレンスや論文で発表されたとしても、それは研究発表用のものであって実際にそんな攻撃は現実のものにならないと考える人が多いのです。具体的な事例が関係者の意識を高めるきっかけになればと考えました」という。特に自動車の中には、車検制度下で比較的管理の行き届いたデバイスと、アフターマーケットで設置されたユーザー任せのデバイスが混在している。「管理者目線から抜け落ちがちなところに意識してもらうことに気を配った」と三上氏はいう。

方向転換を模索する金融端末(ATM)分野

金融端末(ATM)のリーダーを務めた緒方日佐男氏はいう。「従来、ATMは閉鎖ネットワークにあるため、管理可能な環境下で管理強化する方向で対処しようとしてきました。しかしながら、『金銭の詰まった箱』という非常に特殊な存在であることから、特に海外で内部犯行も含めた様々な攻撃に晒されており、IoT機器と同様にアンマネージドな環境にあることを前提にセキュリティを考える必要があります」。つまり、管理で守る方向性から、管理で守り切れないことを前提に仕組みで守ることを考える方向への転換を模索している。

その上で、これまでの外壁で内部を守る発想から、外壁で全てを守りきれないことを前提に、重要部分を絞り込み、そこを徹底して守る発想に変えていくべきだと緒方氏はいう。

意外な盲点がある決済系、MFPのセキュリティ

さらに、意外なことに決済系機器の分野も、セキュリティ対応はまだまだこれからだという。一般にPOSなどはクレジットカード業界のセキュリティ基準PCI DSSに対応することが求められているため、セキュリティ対策は進んでいると思われがちだが、伊藤氏はそこに盲点があるという。「確かにクレジットカード周りでは、PCI DSSという厳格なセキュリティ基準があり、そこはどのメーカーもしっかりやっています。しかし、では、クレジットカードと関係のない部分はどうかというと、今まで、基準やガイドラインのようなものはありませんでした。各メーカーが独自の判断で対策を行っている状況です」。

なお、MFP(マルチファンクションペリフェラル、いわゆる複合プリンターなど)も似た状況にあるという。MFPの場合、コモンクライテリア(CC)という国際的なセキュリティ基準があり、これをクリアしていないと、海外の政府などは調達製品リストにも入れてくれない。そのため、多くのMFPメーカーが、CC認証を取得した製品を開発している。

しかし、一方でIoT検索エンジンShodanなどで検索すると、無数のMFPが見つかる。「CCでは設置条件に前提があるんです。ファイヤーウォールで守られているとか、イントラネットでしか設置しないという前提で、認証を取ります。ですから、利用者(あるいは設置業者)が不適切な設置をした場合、セキュリティに関して無防備になってしまうのです」。

メーカーとしては、対応しなければ製品がまったく売れなくなる厳格なセキュリティ基準に対応することで手一杯になり、その基準の外の部分はかえって手付かずにならざるを得ない事情がある。

「セキュリティも製品品質のひとつ」という考え方を広めたい

伊藤氏は、CCDSの目的をこう語る。「メーカーは、セーフティー(機能安全)に対応する意識はとても高く、PL法でも規定されています。しかし、セキュリティについてはPL法にも規定はなく、メーカーの意識も高いとは言えませんでした。ここを底上げしていかなければならない。まずメーカーを動かそう。セキュリティに対する意識を高めてもらおう。それがCCDSの大きな目標です」

伊藤氏は、日本企業のセキュリティ意識は、世界各国と比べて、高いとは言えないが、低いとも言えないという。「欧米の自動車メーカーなど、一部の例を除けば、世界各国、横並びの状態ではないか」
しかし、日本はセキュリティの分野で世界をリードできる可能性を持っている。「セキュリティも製品品質のひとつと考え、高品質な製品を提供するという考え方は、日本企業にはなじみやすい考え方です。他国の企業は、あまりそういう考え方をしません。日本特有の丁寧なモノづくりにセキュリティを加えることで、国際的な消費者の信頼を得ていくことはできると思います」。

技術が国際化し、日本企業といっても、海外拠点、海外企業と連携しながら国際的なモノづくりを進めている。もはや「日本のモノづくり」という言葉自体が意味を失おうとしている。しかし、伊藤氏の指摘する「ユーザビリティを損なわないセキュリティ」は、日本製品の新たな特長を生み出す鍵になるかもしれない。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…

中国ホワイトハッカーのお給料はおいくら万円?

April 10, 2018 08:00

by 牧野武文

中国のセキュリティエンジニアは、どのくらいの給料をもらっているのか。中国情報安全評価センターは、「中国情報安全従業員現状調査報告(2017年版)」(PDF)を公開した。これによるとITの急速な発展により、中国の産業地図に変化が起きていることが明らかになった。 中国でも男性が多い職業 中国で急成長をす…