9月30日のIoTセキュリティフォーラム2015の続きをメモメモ
■繋がるクルマITSにおけるセキュリティの運用管理について
一社 ITSサービス高度化機構 若宮氏
1.なぜ運用管理か
・システムのセキュリティは事業主体が決め、責任を持つ
責任の重さ、迅速・確実
責任分担、法的、社会的責任
関係する主体(エンティティ)の管理
信用構築、不信のしくみ
関係する主体の競争と協調、権利と義務
公共システム
現在と将来、維持と更新
→運用管理が重要、運用管理体制が重要
2.
(1).運用管理機関と各エンティティ(役割主体)の関係例
ITSフォーラム
(2).セキュリティーについて
・セキュリティーのしくみについては、公開していることしか話せません
・使用している暗号アルゴリズムの強度評価
→しくみとかも重要
・つながる仕組みは汎用か、専用か
汎用は便利だが、つながる脅威が絞りきれない
費用面ではどちらがよいか、事業者、関係者、利用者にとって
公開鍵と共通かぎ
公開鍵安価で高速・高性能チップ→いつ?
どちらも更新必要
移動する者の管理、できないことも前提
信用する仕組みで不信の仕組みも必要
将来保証できる完ぺきなセキュリティはつくれない
(3).セキュリティ検討イメージ(運転支援通信システム)
ITSフォーラム
車車間通信、路車間通信
運転支援通信システムにおける通信システム
(4).セキュリティ対策方針例
(5).電子署名方式の概要
(6).MAC方式の概要
(7).電子署名方式とMAC方式の特徴
(8).電子署名方式とMAC方式の特徴(コスト)
(9).共通かぎアルゴリズム適用時の鍵管理
複数の場合大きいと非現実
3.ITSについて
高度道路交通システム
4.ITSにおけるセキュリティの運用管理事例
・ETC及びETC2.0
サービスの広がり
紹介ビデオ
世界初の路社協調(ITSスポット)
センサーのかわり
ETC料金所における処理の概要
ショートレンジコミュニケーション
ASK,QPSK
ETC,ETC2.0無線通信のしくみ
2.0多目的利用のためのアプリケーション・サブレイヤ
・仕様書等の関連
法律
電波法
道交法
:
・ETCのセキュリティの概念
カード
車載機
路側機
セットアップ店:セキュリティ情報
管理内容:公開している
■IoTの現場で利用されるオープンソースのぜい弱とその対策
オープンソースの利用の広がり
Githubの出現によるオープンソースの増加
Gihub1000万プロじぇくと
そーすふぉーじの50倍
IoTにおけるオープンソースの利用
IoTにおけるセキュリティ事情
クルマもハッキングされる時代
オープンソースの品質→意外に高い
不具合/1000 セキュリティOWASP OP10
オープンソース 0.61 8.61
商用ソフト 0.76 0.5
オープンソースのぜい弱性
Hearbleed
ShellShock
Ghost
OpenSSLはどのくらいの人数で開発してる?
→Apacheは会社で開発したものをコントリビュート
OpenSSLは寄付(2000ドル)
Bashは・・・
CII
今後オープンソースの品質は改善
でも、自分たちで・・・
オープンソースの検出の難しさ
把握しているのは氷山の一角
→ライブラリが勝手にリンク
簡単にコピペ:簡単にぐぐれる
すたっくおーばーふろー:こぴぺ→そこにぜい弱性あったら?
オープンソースのぜい弱性の検出と管理
・パラリーダーPalamida
何が分かれば、ぜい弱性わかる?→コンポーネントとバージョン
Auto-WriteUP
・ファイルを変更されていた場合のぜい弱性の検出
ぜい弱性が検出されることが多いオープンソース
・zlib
・libpng
・OpenSSL
・glibc
・libxml2
・libtiff
→バージョンを管理
特定されたぜい弱性
未知のぜい弱性への対応
コミュニティ→NVD→PALAMIDA→ユーザー
コベリティ
・ソースコードそのまま見る
・主なCWE:現象ごとにできること
・コベリティスキャン
PalamidaとCoverityのぜい弱性検出対応
まとめ
・IoTでもオープンソースぜい弱性問題に
・バイナリ解析はPalamida
・未知のオープンソースのぜい弱性は発覚後すぐにわかるPalamida
・ソースコードではCoverity
■制御技術とIoTのセキュリティ連携について
CSSC
・自己紹介
・社会インフラを支える制御システムとは
計測と監視(収集)・制御(操作)
OT;プラント運用
自動車の主要部は制御システム
ECUがCANにつながっている
セキュリティは何を守るか?
ぜい弱性が残留
ドイツの製鉄所へのサイバー攻撃:操業停止
自動車のサイバーセキュリティに関係する事例
米食品、医薬品局が最初のサイバーセキュリティ関係の注意喚起発行
・防護ハードルの多重
サーバー攻撃のリスクを低減する4つの対策対策実施
アプリケーションのぜい弱性対策
基本ソフトOSのぜい弱性対策
アプリケーションに対するホワイトリスト
特権ユーザーの数を最小に
継続的な監視
人材育成と認知度向上
標準準拠・認証
ホワイトリスト
スィッチで
IIoT(インダストリアルのIoT)と連携した
社会インフラを支える制御システムの実現
→ビッグデータ
・標準
IEC62443
13標準中、6つが標準化済み
5認証進展中
IECが認証しようとしている WIB
ISA Secure
日本で日本語による世界共通
EDSA
増加する認証製品
つーるがある
・IoTセキュリティ評価認証の参考に
SDSA:ソフトウェア
機能が実装されているか
CRT:ロバストネス
ISCI認定の試験デバイス
6つの必須機能の評価→どれか1つ
制御システムからみた障害の例
フラッティング
必須機能の維持
対象プロトコル(6つ)
・IoT関係のセキュリティ参考資料
CSSCの活動
研究開発
サイバーセキュリティ演習
まとめ
ここまでで、帰ってきてしまったので、IoTセキュリティーフォーラムの話はここで終了
■繋がるクルマITSにおけるセキュリティの運用管理について
一社 ITSサービス高度化機構 若宮氏
1.なぜ運用管理か
・システムのセキュリティは事業主体が決め、責任を持つ
責任の重さ、迅速・確実
責任分担、法的、社会的責任
関係する主体(エンティティ)の管理
信用構築、不信のしくみ
関係する主体の競争と協調、権利と義務
公共システム
現在と将来、維持と更新
→運用管理が重要、運用管理体制が重要
2.
(1).運用管理機関と各エンティティ(役割主体)の関係例
ITSフォーラム
(2).セキュリティーについて
・セキュリティーのしくみについては、公開していることしか話せません
・使用している暗号アルゴリズムの強度評価
→しくみとかも重要
・つながる仕組みは汎用か、専用か
汎用は便利だが、つながる脅威が絞りきれない
費用面ではどちらがよいか、事業者、関係者、利用者にとって
公開鍵と共通かぎ
公開鍵安価で高速・高性能チップ→いつ?
どちらも更新必要
移動する者の管理、できないことも前提
信用する仕組みで不信の仕組みも必要
将来保証できる完ぺきなセキュリティはつくれない
(3).セキュリティ検討イメージ(運転支援通信システム)
ITSフォーラム
車車間通信、路車間通信
運転支援通信システムにおける通信システム
(4).セキュリティ対策方針例
(5).電子署名方式の概要
(6).MAC方式の概要
(7).電子署名方式とMAC方式の特徴
(8).電子署名方式とMAC方式の特徴(コスト)
(9).共通かぎアルゴリズム適用時の鍵管理
複数の場合大きいと非現実
3.ITSについて
高度道路交通システム
4.ITSにおけるセキュリティの運用管理事例
・ETC及びETC2.0
サービスの広がり
紹介ビデオ
世界初の路社協調(ITSスポット)
センサーのかわり
ETC料金所における処理の概要
ショートレンジコミュニケーション
ASK,QPSK
ETC,ETC2.0無線通信のしくみ
2.0多目的利用のためのアプリケーション・サブレイヤ
・仕様書等の関連
法律
電波法
道交法
:
・ETCのセキュリティの概念
カード
車載機
路側機
セットアップ店:セキュリティ情報
管理内容:公開している
■IoTの現場で利用されるオープンソースのぜい弱とその対策
オープンソースの利用の広がり
Githubの出現によるオープンソースの増加
Gihub1000万プロじぇくと
そーすふぉーじの50倍
IoTにおけるオープンソースの利用
IoTにおけるセキュリティ事情
クルマもハッキングされる時代
オープンソースの品質→意外に高い
不具合/1000 セキュリティOWASP OP10
オープンソース 0.61 8.61
商用ソフト 0.76 0.5
オープンソースのぜい弱性
Hearbleed
ShellShock
Ghost
OpenSSLはどのくらいの人数で開発してる?
→Apacheは会社で開発したものをコントリビュート
OpenSSLは寄付(2000ドル)
Bashは・・・
CII
今後オープンソースの品質は改善
でも、自分たちで・・・
オープンソースの検出の難しさ
把握しているのは氷山の一角
→ライブラリが勝手にリンク
簡単にコピペ:簡単にぐぐれる
すたっくおーばーふろー:こぴぺ→そこにぜい弱性あったら?
オープンソースのぜい弱性の検出と管理
・パラリーダーPalamida
何が分かれば、ぜい弱性わかる?→コンポーネントとバージョン
Auto-WriteUP
・ファイルを変更されていた場合のぜい弱性の検出
ぜい弱性が検出されることが多いオープンソース
・zlib
・libpng
・OpenSSL
・glibc
・libxml2
・libtiff
→バージョンを管理
特定されたぜい弱性
未知のぜい弱性への対応
コミュニティ→NVD→PALAMIDA→ユーザー
コベリティ
・ソースコードそのまま見る
・主なCWE:現象ごとにできること
・コベリティスキャン
PalamidaとCoverityのぜい弱性検出対応
まとめ
・IoTでもオープンソースぜい弱性問題に
・バイナリ解析はPalamida
・未知のオープンソースのぜい弱性は発覚後すぐにわかるPalamida
・ソースコードではCoverity
■制御技術とIoTのセキュリティ連携について
CSSC
・自己紹介
・社会インフラを支える制御システムとは
計測と監視(収集)・制御(操作)
OT;プラント運用
自動車の主要部は制御システム
ECUがCANにつながっている
セキュリティは何を守るか?
ぜい弱性が残留
ドイツの製鉄所へのサイバー攻撃:操業停止
自動車のサイバーセキュリティに関係する事例
米食品、医薬品局が最初のサイバーセキュリティ関係の注意喚起発行
・防護ハードルの多重
サーバー攻撃のリスクを低減する4つの対策対策実施
アプリケーションのぜい弱性対策
基本ソフトOSのぜい弱性対策
アプリケーションに対するホワイトリスト
特権ユーザーの数を最小に
継続的な監視
人材育成と認知度向上
標準準拠・認証
ホワイトリスト
スィッチで
IIoT(インダストリアルのIoT)と連携した
社会インフラを支える制御システムの実現
→ビッグデータ
・標準
IEC62443
13標準中、6つが標準化済み
5認証進展中
IECが認証しようとしている WIB
ISA Secure
日本で日本語による世界共通
EDSA
増加する認証製品
つーるがある
・IoTセキュリティ評価認証の参考に
SDSA:ソフトウェア
機能が実装されているか
CRT:ロバストネス
ISCI認定の試験デバイス
6つの必須機能の評価→どれか1つ
制御システムからみた障害の例
フラッティング
必須機能の維持
対象プロトコル(6つ)
・IoT関係のセキュリティ参考資料
CSSCの活動
研究開発
サイバーセキュリティ演習
まとめ
ここまでで、帰ってきてしまったので、IoTセキュリティーフォーラムの話はここで終了