Vdoo Vision

ビドゥビジョン
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Vdoo Vision

ビドゥビジョン

最新情報!IoT組込デバイスセキュリティを取り巻く現状 ~NIST SP800-171への準拠性を示す情報セキュリティ格付の動向~

最新情報!IoT組込デバイスセキュリティを取り巻く現状

2020年11月26日にオンラインにて開催されたWebセミナー「最新情報!IoT組込デバイスセキュリティを取り巻く現状~NIST SP800-171への準拠性を示す情報セキュリティ格付の動向~」。本セミナーでは、IoT組込デバイスセキュリティを取り巻く現状について紹介しながら、株式会社アイ・エス・レーティングの三好 眞氏からは情報セキュリティ格付に関する動向について、そしてビドゥジャパン株式会社の伊藤 俊明氏からはIoTセキュリティに関する脆弱性診断やエージェント型の対策ツールを提供するVdoo社ソリューションについて詳しく語っていただいた。今回は、そんなセミナーの模様をお伝えする。

1.IoT組込デバイスセキュリティを取り巻く現状

冒頭では、マクニカネットワークスにてIoT(Internet of Things)セキュリティを担当する髙瀬 日菜が登壇。IoTデバイスの広がりから、今IoTデバイスに求められているセキュリティの実態について解説した。

広がるIoTデバイスの実態

IoTデバイスの広がりについては、2014年の段階に比べて倍以上のIoTデバイス市場に展開されており、自宅はもちろん、医療現場や製造現場、自動車領域などあらゆる領域にIoTデバイスが活用されている。昨今大きな潮流となっている、ICT活用を通じてビジネスモデルや組織を変革するDXへの取り組みでも、IoTがよく利用されている状況にあると説明した。日本においては、サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する人間中心の社会と「Society 5.0」実現に向けた活動が活発化しており、そのキーテクノロジーの1つとしてIoTが位置付けられていることも、IoTデバイスの普及に大きく拍車をかけていると語る。

Society 5.0の社会では、IoTで全ての人とモノがつながることでさまざまな知識や情報が共有され、今までにない新たな価値を生み出すことが可能となるが、サイバーとフィジカルを高度に融合させる際には、安全に配慮した環境づくりが何よりも求められる。その意味においても、これまでの物理的な安全としてのセーフティだけでなく、サイバーリスク対策としてのセキュリティという2種類の安全を届ける義務が出てくると力説する。

高まるIoTデバイスに対する脅威

あらゆる領域で技術革新が進むにつれて、外部からの脅威もこれまで以上に高まっており、IoTに関する脆弱性を悪用した攻撃もより高度化しているのが現状だ。IoTデバイスをターゲットにした「Mirai」と呼ばれるマルウェアによって、大規模なDDoS攻撃の起点としてIoTデバイスが利用された事例はご存じの方も多いことだろう。また、重要インフラに利用されているIoTに深刻な影響を与えるとされる脆弱性群「Ripple20」やIoTの通信で利用されるBluetooth Low Energyの脆弱性群「SweynTooth」など、数多くの脆弱性が毎年のように公表されており、当然ながら攻撃リスクもより高いものになってきていると言わざるを得ない。

技術革新と並行し攻撃リスクも増加

高まるIoTデバイスに対する脅威

IIoT/OTシステムにおけるセキュリティに関する第三者機関の調査でも、事件、事故の発生を経験、もしくは事故にはならなかったが危険を感じたことがあると30%が回答しているとこから、IoTに関連したセキュリティ被害も対岸の火事ではなくなってきていることが分かるだろう。それでも、6割以上の企業でセキュリティ対策への予算は全体の10%未満だと回答しており、人や予算、運用面での課題も実際にあると現在の状況について高瀬は概観する。

IoTセキュリティへの取り組みが進まない背景

では、現実な課題に直面しながらも、十分な取り組みが行われていない背景には何があるのだろうか。攻撃や被害の具体的なイメージがつかめていないケースもあれば、何を基準に対応するべきなのかが不明瞭なケースもあるだろう。もちろん、IoTセキュリティに役立つソリューションや組織的な対応に必要な環境づくりが十分に整備されていないことも要因の1つに挙げられるという。

具体的なインシデントの身近な例では、IoT開発でよく利用される「Raspberry Pi」に関連したものが分かりやすい。2019年6月にNASAで発生したインシデントでは、職員が持ち込んだRaspberry PiからNASAのネットワークに侵入し、火星探査ミッションに関連する500MBあまりのデータが漏洩したことが明らかになっている。これは、ネットワーク管理者がRaspberry Piに対して適切なレビューを行っておらず、セキュリティ設定やプログラム更新なども実施されなかった結果、約10か月もの間侵入に気づかなかったのだ。

同じようなインシデントは、工場の現場や開発現場でも大いに起こりうる話であり、こういったインシデント自分事ととしてとらえていくことが求められてくる。ただし、実際には高度な対策を実施する必要があるかといえば、一概には言えない。パスワードを適切に管理したうえで暗号強度を高め、アクセス管理を行うといった、まずは基本的なところから取り組むべきだと力説する。

IoTセキュリティに関するマクニカネットワークスの取り組み

マクニカネットワークでは、ITセキュリティで培ったセキュリティナレッジをフル活用し、半導体商社としての強みを生かすことで、組込現場に対するモノづくりのセキュア化を支援していると高瀬はアピールする。

具体的には、現状把握から対策洗い出し、そしてガイドライン改定を通じて開発スキームに適応する一連の流れのなかで、社内の開発ガイドラインにセキュリティ項目を追加するといった活動支援を行っている。また、社内のセキュア実装の浸透を加速できる仕組みづくりや説明した社内のセキュリティ設計ガイドラインの作成、もっと詳細に開発フェーズでの診断、修正、効果測定できるツールの適用といった、セキュア化に向けた環境づくりも手掛けているなど、モノづくりのセキュア化につながる取り組みを行っている状況だ。

さらに、IoTデバイス向けのリスク診断として、特定のツールを用いてセキュリティ診断を実施することで、契約不要で保険が付いてくるサイバー保険の提供を開始するなど、さまざまな各種ソリューションを提供しているという。IoTセキュリティに関して課題をお持ちの方は、ぜひマクニカネットワークにお声掛けいただきたいと締めくくった。

2.NIST SP800-171への準拠性を示す情報セキュリティ格付の動向

続いて登壇したのは、株式会社アイ・エス・レーティングの三好氏だ。セキュリティ水準を見るための格付を実施している同社の役割から、その格付における動向などについて解説した。

IoTセキュリティにおけるNIST SP800-171の重要性

現在IoTを含めたセキュリティ基準については、日本においてもさまざまな基準のなかで標的型攻撃をはじめとしたサイバー攻撃への対策が織り込まれているが、具体的な技術的・物理的対策まで言及しているものは少ないと三好氏は指摘する。そこで注目されているのが、すでに重要インフラ事業者や防衛庁の調達などの場面で導入が進みつつある、米国基準としての「NIST SP800-171」だ。今ではセキュリティ対策について説明責任を果たせる体制づくりが急務となっているが、これまでのようにPDCAを回していくといった運用に関するもの、つまりは人的あるいは組織的セキュリティ対策の取り組みが中心だったものから、今ではもう少し技術的・物理的対策が求められているようになっているという。その内容にまで踏み込んでいるのが、NIST SP800-171というわけだ。

実は、セキュリティ観点を織り込んだIT機器の調達基準に関して、全省庁の統一指針を示すとデジタル庁から説明が行われており、政府のIT調達のセキュリティ基準がはっきりしてくるなかで、技術的物理的対策に関して求められる水準が見えてくるはずだという。

一方で、すでに防衛庁ではNIST SP800-171の基準を採用することが決まっており、まさに新情報セキュリティ基準への移行を進めているところだ。この新情報セキュリティ基準の核となるのがNIST SP800-171となるわけだが、従来はサイバー攻撃を防御する対策がその中心で、攻撃された後の対策については技術的物理的なところまで言及しているものがなかった。しかし、NIST SP800-171では原因の特定から防御、検知、さらには、対策、復旧という一連の流れが求められてくることになってくると指摘する。

セキュリティにおける格付け

NIST SP800-171が注目されるなかで、同社では格付の水準を「NIST SP800-171に対応したセキュリティ対策の強度」への準拠性を示すことで格付を実施しているという。具体的な格付の基準については、高いレベルから「AAA」「AA」「A」「BBB」と続いており、重要インフラや防衛関連、金融関連など高セキュリティエリアで利用する運用業務やそこに組み込まれたIoT機器は、少なくともAA以上が求められてくると語る。

同社がこのような格付を行っているのは、サプライチェーン全体において、格付や第三者による証明書といった一度評価された結果をうまく活用し、社会的コストをおさえながら、よりよいセキュリティレベルの社会の実現を目指しているためだ。防衛関連でも重要インフラ関連でもサプライチェーンは存在しており、複数の一次サプライヤーからの要求水準に対応する二次サプライヤーにおいては、格付というセキュリティ評価のよりどころがあることで、一次サプライヤーごとの対応が不要になるわけだ。

セキュリティ対策の格付事例

ここでNIST SP800-171に対応したセキュリティ対策の強度への準拠性を示した格付事例として、自社の複合機やプリンタに対する格付を依頼した富士ゼロックスの事例を紹介した。富士ゼロックスでは、人的、組織的な対応にとどまらず、自動的な回復昨日までも含めた技術的・物理的対応まで踏み込んでおり、同社の格付における最高評価となるAAAを獲得している。パスワード管理といった基本的な対策はもちろん、複合機の起動時に改ざんを検知したり、内部的に保有するホワイトリストにないものが動いた時点でアラームを上げたりといった仕組みが複合機内に実装されている。実装されたのは複合機だが、これもIoTデバイスの1つとしてとらえることもできると三好氏。

この格付獲得については、日経新聞をはじめいくつかのメディアで取り上げられたが、三好氏が驚いたのは富士ゼロックスの社長自ら記者会見を実施したこと。まさにセキュリティを企業における経営課題としてとらえていることの表れではないかと指摘する。つまり、非機能要件としての対策というよりも、品質管理の延長線上、つまり本業の延長線上にセキュリティ対策を実施することで、同社の顧客にアピールすることに成功したことになるという。

最後に、同社が行っている格付・第三者証明のプロセスについて紹介した。実際には、事前アンケートからインタビュー、現場実施も含めて短い場合は1か月ほど、長い場合でも3か月ほどのプロセスで評価が実施されるという。セキュリティ基準の格付に興味がある方はご検討してみてはいかがだろうか。

3.Vdoo社ソリューション紹介

最後に登壇したのが、2020年に日本法人が設置された、IoTセキュリティにおける豊富な知見を持つビドゥジャパン株式会社の伊藤氏だ。もともとVdoo社はイスラエルのテルアビブに本社を置くIoTセキュリティソリューションを提供する会社で、イスラエル国防軍のサイバーセキュリティ部隊の責任者を務めていたアサフ・カラス氏のノウハウを商用化したのが創業のきっかけだと説明する。日本企業ではNTTドコモやMS&ADから出資を受けているという。

Vdoo社の強み

同社の強みは、IoTセキュリティや組込セキュリティに関する豊富な知見を有していることだろう。多くのゼロデイに関する脆弱性を検知した活動が評価され、情報セキュリティにおける脆弱性やインシデントについて固有の名前や番号を付与したリストとなるCVE(Common Vulnerabilities and Exposures)を採番する権限を有しているほどだ。

日本国内でも協業を進めており、コンシューマ向けのIoTデバイスに関するセキュリティを推進する一般社団法人重要生活機器連携セキュリティ協会(CCDS)に対しては簡易診断サービスを提供している。そしてMS&ADインシュアランスグループには、同グループが手掛けるサイバー保険に関するIoTデバイスの脆弱性診断のツールを提供し、実際の保険料算定に活用される予定であると説明する。

Vdoo社が提供するソリューション

次に、Vdoo社が提供する2つのソリューション「Vision」と「ERA」について紹介した伊藤氏。通常のIoTデバイスには、企画から設計、開発、テストを経て、製造、出荷、運用保守、そして廃棄という製品のライフライクルが存在しているが、セキュリティ・バイ・デザインを実現するべく、企画からテストまでの段階で、デバイスに対するセキュリティ自動診断を行うのがVisionだ。そしてIoTデバイスが出荷された後でも外部からのサイバー攻撃を自動的に防御するエージェント型のソリューションがERAと呼ばれるものになる。これら2つのソリューションを提供することで、製品の企画から出荷された後まで一気通貫でIoTデバイスに対するセキュリティ支援が可能になっているという。

【Vision】
Visionは、IoTセキュリティに関して多くの企業が抱えている課題を解決できるソリューションだ。通常では、脆弱性が公表されるたびに自社のIoTデバイスの影響度を調査したり、そもそもガイドラインに準拠しているかどうかを調査したりする作業に多くの労力が必要となる。また、デバイスの設計上でセキュリティ上の欠陥がないか把握するためにはノウハウが必要で、OSSの利用状況といったデバイスの部品構成(BOM情報)を把握することも苦労している企業が多い。そんな課題にこたえてくれるのがVisionというソリューションだ。

Visionは脆弱性診断のためのソリューションとなっており、デバイスのファームウェアをVisionのポータル経由でアップロードしすることで自動的に解析が行われ、およそ30分から1時間後にはその診断結果が表示される。Visionの特徴は、バイナリ形式でのやり取りとなるため、ソースコードをアップロードする必要がなく、機密情報となるソースコードを外部に持ち出す必要がない点だ。もちろん、国内にクラウド環境を用意しているため、輸出規制などにも抵触する必要がないと伊藤氏は力説する。

Visionが提供する機能は、大きく6つあるという。「脆弱性の診断」「BOMの提示」「ライセンスの管理」「マルウェアスキャン」「デバイス設計上のセキュリティ問題点の指摘」「各種ガイドラインへの準拠状況の診断」などだ、

脆弱性の診断については、Visionが診断した脆弱性の情報のなかからそのデバイスに関係性の高いものを優先的にピックアップし表示してくれるため、全ての脆弱性に対応する必要はない。また、一般的なCVSSスコアだけに頼らず、独自のアルゴリズムでそのデバイス固有の影響度を表示することが可能となっている。脆弱性の概要やその修正方法の解説、脆弱性に関連した攻撃情報も掲載されるため、世の中の状況も分かりやすく把握できるようになっている。

またBOMの提示については、IoTデバイスで利用されているソフトウェアの情報やバージョン情報をはじめ、関連するハードウェア情報、ラインセンス管理情報なども提示されるため、自社で利用しているOSSに関する各種制約事項も含めて把握できるようになる。ほかにも、IoTデバイスに対するマルウェアスキャンや設計上のセキュリティ問題の指摘、各種ガイドラインに対する準拠状況も可視化することができる。ガイドラインについては現在国内外16種類に対応しているが、要望があれば適宜追加している状況にあるという。

【ERA】
ERAは、Embedded Runtime Agentの略で、IoTデバイス内に組み込んで常時動作するエージェントソリューション。デバイスの動作に影響しないよう軽量のエージェントがデバイス内に組み込まれることになるが、Vdooにてデバイス構成情報を自動診断し、起こりうる攻撃パターンを分析したうえでテーラーメイドによるエージェントが自動作成されることになる。

ERAには、攻撃をブロックするための6つのレイヤーが備わっており、外部からの攻撃に対して多層防御が可能となり、既知はもちろん未知の脅威に対しても防御することが可能だ。万一脆弱性のある状態のまま出荷された場合でも、外部からの攻撃がブロックできるだけでなく、改修困難なデバイスに対して仮想パッチ的に利用することも可能となるという。

具体的には、IoTデバイスで使われる脆弱性を突く攻撃をブロックする「Vul Guard」やデバイスの中のファイルやフォルダを変更や削除から保護する「File Guard」、予め決められたコードのみを実行させる「Execution Guard」、プロセス停止監視など重要なプロセスを起動させ実行することでデバイスの完全性と機能の継続性を保護する「Termination Guard」、CPUやメモリなどリソースを監視する「Resource Guard」、異常なネットワークアクティビティや設定などを、振る舞いをもとに検知する「Network Guard」がERAには実装されている。

ERAを実装する際の設定はシンプルで、アラート通知やプロセスおよび攻撃を遮断するといった処理が設定できるだけでなく、シグニチャが不要なため運用に関しても負担がない。IoTデバイスの特性を理解したうえで最適なポリシーをVdooがデフォルトで提示してくれるため、選択していくだけで最適なセキュリティポリシーが設定できる点も大きな特徴だという。

今後もさまざまな場面で有益なIoTデバイスが市場に登場してくることは間違いない。自社でもIoTデバイスによってビジネスをドライブさせていこうと考えている企業も少なくないが、一方でセキュリティ対策はビジネスにおける重要なファクターの1つだろう。だからこそ、NIST SP800-171といったセキュリティ基準の動向に注視しながら、IoTデバイス開発におけるセキュアな環境づくりに向けて、マクニカネットワークスが有する知見や各種ソリューションを有効活用してはいかがだろうか。

お問い合わせ先

マクニカネットワークス株式会社
Vdoo 担当

045-476-2010