日本実務出版 「安全と管理」「展示会情報」「セキュリティ産業年鑑」「防犯機器情報」  
 
セキュリティ関連会社INDEX
機器部門別情報
検知器部門
伝送装置部門
緊急通報装置部門
出入管理部門
バイオメトリクス部門
錠前部門
ホームセキュリティ部門
情報セキュリティ部門
クラウドセキュリティ部門
映像監視システム部門
映像機器(カメラ)部門
映像機器(レコーダー)部門
映像機器(レンズ他)部門
雷害対策・電源装置部門
ロス防止機器部門
無線通信機・システム部門
警備関連部門
防犯機器・装置部門
防災機器・装置部門
トータルセキュリティ部門
その他機器部門
市場別情報
学校のセキュリティ
重要施設のセキュリティ
ビル・オフィスのセキュリティ
金融機関のセキュリティ
商業施設のセキュリティ
工場のセキュリティ
公共施設のセキュリティ
医療機関のセキュリティ
ホームセキュリティ
地域防犯
企業情報
TOPIC
震災支援
TOPIC
TOPIC
新着情報
TOPIC
SECURITY SHOW 2015
危機管理産業展2014
テロ対策特殊装備展'14
第9回オフィスセキュリティEXPO
第13回自動認識総合展
情報セキュリティEXPO 2010
第15回「震災対策技術展」横浜
出版書籍
防犯・防災専門サイト「セキュリティナビ」
 

「IoT開発におけるセキュリティ設計の手引き」を公開
4分野のIoTの脅威分析と対策検討の実施例を図解

 IPA(独立行政法人情報処理推進機構)セキュリティセンターは、今後のIoTの普及に備えて、IoT機器および、その使用環境で想定されるセキュリティ上の脅威に対し、事業者(開発者)の備えが急務であると考え、「IoT開発におけるセキュリティ設計の手引き」を作成し、公開した。
 家電、自動車、玩具、産業機器など多種多様な「モノ」がネットワークを介してつながるIoT(モノのインターネット)では、「つながること」で発生する脅威に対するセキュリティ対策の不十分さや、責任分界の曖昧さなど様々な問題がある。
 2015年3月には、店舗や住宅内に設置されたWebカメラの映像・音声を第三者が見聞き可能となっている現状が指摘されたが、問題はこれにとどまらず、Webカメラの映像を改ざんされる、あるいは、閲覧不能にされるといった脅威も存在している。
 同年5月には、スマートハウスの管理する情報を見られたり、家庭内機器を遠隔操作される可能性も指摘された。
 さらには、脆弱性を利用することで、インターネット越しにサーバ上の投与する薬や投薬量を改ざんすることが可能となる他、コネクテッドカーにおいては、脆弱性を攻撃することで、ブレーキ、ステアリング、エアコン等への干渉が可能となる脅威が存在している。
 本書は、IoT開発においてセキュリティ設計を担当する者に向けた手引きで、IoTセキュリティ設計において行う、脅威分析・対策検討・脆弱性への対応方法を解説、セキュリティを検討する上で参考となる、IoT関連のセキュリティガイドを紹介している。
 また、今まで蓄積してきた知見を基に、「デジタルテレビ」「ヘルスケア機器とクラウドサービス」「スマートハウス」「コネクテッドカー」の4分野を具体的なIoTシステムの事例として、脅威分析と対策検討の実施例を図解している。
 この図解では、脅威が想定される箇所と、認証や暗号化など該当する対策を明確化するとともに、業界のセキュリティガイドで述べられている要件との対応を示している。

◆スマートハウス
 「スマートハウス」における各機器の情報を不正に取得された場合、個人情報の漏えいという脅威に加えて、取得したデータ(消費電力や施錠状況)を悪用して、不在と分かった場合に遠隔操作で施錠解除し、家屋に浸入される恐れがある。
 家庭内機器を不正に遠隔操作されると、電気やガスの無駄使いといった金銭的被害や、最悪の場合、火災や宅内冠水といった物理的な被害を生じる危険性がある。
 スマートハウスにおいては、情報漏えい対策に加えて適切に遠隔操作が行われるための対策の実装が重要である。
 即ち、第三者による家庭内機器の許可なき遠隔操作を防止するための対策(不正アクセス対策)や、正規の利用者による正当な遠隔操作妨害を受けないための対策(DoS対策)の実装が望まれる。
 下図は、網羅的にセキュリティ要件を整理することが困難な組織や、今後IoTビジネスを摸索する組織にとって、安全な製品・サービスへの検討の材料になると考えられる。


 さらに、IoTシステムのセキュリティを実現する上で根幹となる暗号技術に関して、実装した暗号技術の安全性を客観的に確認するためのチェックリストを付録として作成。
 開発者はこれを参照して暗号技術の利用・運用方針を明確化し、その安全性を評価することが容易になる。
 なお、本書は去る3月24日に発表したIoT製品を安全に開発するための17の開発指針に対し、具体的なセキュリティ設計と実装を実現するための手引きの位置づけ。
 手引きの公開に合わせ、17の開発指針との対応表も公開した。

IPA(独立行政法人情報処理推進機構)セキュリティセンター
      情報セキュリティ技術ラボラトリー
      TEL 03-5978-7527 E-Mail vuln-inq@ipa.go.jp

https://www.ipa.go.jp/security/iot/iotguide.html

2016年5月30日発信

 
 
会社案内お問い合わせ