Vdoo Vision

ビドゥビジョン
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Vdoo Vision

ビドゥビジョン

made in japanの危機に立ち向かえ
進むIoT化、今必要なサイバーセキュリティの
トレンドを考察!

必見!攻撃者が狙うIoT組込デバイスへの侵入シナリオ

サイバーセキュリティの重要性は高まるなか、IoTデバイスを製造する企業は年々増加するセキュリティリスクへの対策を強化することが求められている。そんななか、IoTの最新情勢について解説しながら、IoTセキュリティ技術トレンドやソリューションについて紹介するオンラインセミナー「made in japanの危機に立ち向かえ 進むIoT化、今必要なサイバーセキュリティのトレンドを考察!」が、2021年3月17日に日刊工業新聞社の主催で開催された。そんなセミナーの概要について紹介していく。

  • 産業分野におけるサイバーセキュリティ政策 ~IoT関連を中心に~

冒頭の基調講演には、経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐 上田 翔太氏が登壇し、海外におけるIoTをはじめとしたセキュリティに関する動向をはじめ、サプライチェーン全体のサイバーセキュリティを強化するために経済産業省が取り組んでいる政策の最新状況を説明した。

サイバーセキュリティの現状と海外の動き

昨今はIoT機器への攻撃が目立ち始めており、汎用的なものから特定機器の脆弱性を悪用するものへと攻撃対象や手法が拡大している状況にある。具体的には、2016年に猛威を振るったMirai亜種による攻撃をはじめ、TCP/IP Stackの脆弱性として話題となった「Ripple20」や「AMNESIA:33」に対する懸念、正規のアップデートサーバに対してマルウェアを仕込むことで数十万の端末がマルウェアに感染した攻撃、ランサムウェアによる制御システムへの被害、フロリダ州水道局施設への不正アクセス、カーナビなど車載機器をはじめとした自動車の脆弱性、米国企業が開発した電気手術器における脆弱性などだ。「ネットワークにつながるIoT機器に潜む脆弱性によって、人命にかかわる施設や機器に対しても被害が懸念される状況にあり、注視していく必要がある」と上田氏は語る。

サイバーセキュリティに関連した海外の動きでは、米国や欧州などはもちろん、民間団体からもIoT機器を対象にしたセキュリティ機能についての基準が提供されている状況にあるという。例えば米国では、IoT機器を管理する組織向けの推奨事項をまとめたNISTIR 8228に対して、IoT機器の製造者に推奨される6つのサイバーセキュリティに関連する活動を整理したNISTIR 8259があり、6つのコアセキュリティ機能を定義したNISTIR 8259Aに続き、シリーズ化されたドラフトが公開されている。また、CSDE(Council for Securing Digital Economy)やBSA(The Software Alliance)といった民間団体からも、IoTセキュリティに関するさまざまな提言が登場している状況にあるという。

欧州に関しても、ETSI(European Telecommunications Standards Institute)からEN303 645として消費者向けIoTセキュリティに関する行動規範が策定され、現時点では推奨事項として定められているが、将来的には義務化される可能性についても言及されている。ほかにも、2019年4月に欧州理事会で採択されたCybersecurity Actに基づきENISA(European Network and Information Security Agency:欧州ネットワーク・情報セキュリティ機関)が産業分野別に候補スキームを欧州委員会に提案、順次認証フレームワークが策定される予定となっているという。

産業サイバーセキュリティ研究会における活動

そんな海外動向に対して、日本では経済産業省のサイバーセキュリティ課がさまざまな活動を進めている。産業サイバーセキュリティ研究会という勉強会の下、制度・技術・標準化に関するワーキンググループ1、経営・人材・国際に関するワーキンググループ2、サイバーセキュリティビジネス化に関するワーキンググループ3がそれぞれ活動を行っている。

なかでも、ワーキンググループ1の活動の中心になるものが、「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」だ。サイバー空間とフィジカル空間の高度な融合によってサイバー攻撃の起点の拡散などが懸念される「Society5.0」に対して、CPSFでは産業社会を3つの層に整理したうえでセキュリティ確保の考え方を明確にしている。具体的には、企業間のつながりとなる第1層、フィジカル空間とサイバー空間のつながりとなる第2層、そしてサイバー空間のつながりとなる第3層だ。この第2層において、IoTがフィジカル空間とサイバー空間を転写する機能として果たすことになるという。

ただし、CPSFは250ページを超える長大なものであり、ある程度、分野共通的な事項をまとめた構成となっている一方で、産業分野によっては守るべきものやリスクに違いが存在することも多い。そこで、上田氏が担当するワーキンググループ1では、産業分野毎にサブワーキンググループ(SWG)を設置し、それぞれの産業分野の事情を考慮したガイドラインの策定を行う活動を行っていると説明する。

具体的には、ビルや電力、防衛産業、自動車産業、スマートホーム、宇宙産業の6つの産業分野別のSWGにおいてガイドラインを作成する一方で、産業分野共通の課題に対しては第2層(IoT)および第3層(データ)、そしてソフトウェアの3つのタスクフォース(TF)にて議論する形でCPSFに基づくセキュリティ対策を具体化、推進する活動を行っている状況にあるという。

最後に、ワーキンググループ3で推進しているProven in Japanにおける製品のセキュリティ検証サービスの信頼性向上や検証ビジネス活性化を目的とした、機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きの作成など、幅広い活動内容について紹介し、基調講演を締めくくった。

  • 「加速するDXとセキュリティ」 ~ワークスタイル変化と守るべきセキュリティ~

続いて基調講演として登壇したのが、一般社団法人 重要生活機器連携セキュリティ協議会(CCDS:Connected Consumer Device Security Council)代表理事の荻野 司氏だ。CCDSは、機器の各分野におけるセキュリティに関する国内外の動向調査やセキュリティ設計プロセスの開発、検証方法のガイドライン開発・策定・国際標準化の推進、そしてセキュリティに関する人材育成や普及啓発活動を行っている団体だ。

オープンソースに潜むリスクと情報キャッチアップの必要性

最初にIoTセキュリティを前提に、家庭内に存在するIoT機器としてのエントリーポイントと攻撃者の視点について語った。「最近ではテレワーク環境が広がっているが、ワークスタイルの変化とともにリスクが顕在化している」と荻野氏。具体的には、自宅から企業内のサーバにアクセスする際に利用されるSSL-VPNの脆弱性について触れ、日本ではすでに公開されている脆弱性パッチを適用していないケースが多く、Bad Packets社が行ったスキャンによる脆弱性調査では、2020年1月の段階で日本では394の脆弱性が残っている状況にあるという。「海外で指摘されている脆弱性について、製品における脆弱性をいかにトレースしていくか、そして見つかった脆弱性に関しては自らで防ぐような行動を取る必要がある」と荻野氏は力説する。

またSSL-VPN製品のような通信機器だけでなく、お掃除ロボットなどにも脆弱性が潜んでおり、ハードウェアコンポーネントを紐解いてバイナリーハッキングする手法もすでに紹介されているのが現実だという。「製品のなかにはLinuxが使われているものもあり、結果としてオープンソースの脆弱性を狙ってくるので、気を付けなければいけない」と指摘。さらに、前機種で対応した脆弱性に対して、新たな機種では塞ぎ切れていないといった事例も報告されており、オープンソースの情報をきちんとキャッチアップしていくことの重要性を説いた。

また、Ripple20を例にサプライチェーンのリスクについて触れながら、多くの組み込み系の機器・システムへの影響が懸念されることから、すでにバグフィックスされている情報をもとにどう対処すべきか、しっかり確認すべきだと力説する。

開発メーカーについては、過去の製品も含めて全製品に対してバージョン確認が必要なだけでなく、OEM製品であれば開発元への問い合わせも必要となるという。さらに、脆弱性の可能性があるか判別つかない場合は、脆弱性スキャナやソフトウェアBOM検査ツールにて調査し、報告されている脆弱性に対してエクスプロイトできるかどうか、専門業者に依頼する必要が出てくることになると指摘。いずれにせよ、サプライチェーンにおいてオープンソースを使っているかどうかなどトラッキングできる環境づくり、もっといえばサプライチェーンにおけるリスクを網羅的に考えながらシステムとして組み上げて調達すべきだと力説する。「政府調達の際のガイドラインがもとになってサプライチェーンリスク対応のための仕様書策定手引きが存在しているが、実施者の業態や特徴、規模に合わせた具体的な指針は個別に作成する必要がある」と荻野氏。

ガイドライン作成やマーク発行などCCDSが取り組む活動

米国や欧州など世界的な動きでは、当初のガイドライン作成から、今は法規制に向けた動きが加速している状況にあり、欧州ではETSIの13要件をもとにしたフレームワークづくりが、米国でもNIST IR 8259に関してファイナライズの文書がすでに出されており、かなりの部分が法制化、もしくは規制が策定される段階にあるという。

この流れを受けて、CCDSでもIPAやNISCのガイドラインに沿って開発指針を作成しており、各分野別のガイドランを作成している状況にある。また、IoT機器として最低限守るべき要件をまとめ、2019年からトライアルとしてサーティフィケーションマークの発行を開始しているという。「機器の特性に応じて最低限守るべき要件を制定した。製品分野別の要件、生命・財産に関わる要件、そしてIoT機器としての共通要件に区分している。特に、つながる機器としての最低限のマナーとしてのミニマム要求要件を設定している。各区分は、それぞれの度合いを星マークで示す仕組みとなっている」と荻野氏。CCDSでは、要件を策定してサーティフィケーションのマークを提供するだけでなく、Rasberry Piなどを用いて検証できる仕組みも開発するなど、CCDSとしての活動についても詳しく説明した。「我々がこの1年で発表した報告書は5文書にわたっており、ホームページ上に掲載している。ぜひ参照してほしい」と最後に締めくくった。

  • マクニカネットワークスが提供するIoTセキュリティソリューション~IoTデバイスのセキュリティ診断Vdoo Visionを活用した某製造メーカー取り組み事例~

続いては、マクニカネットワークスの第3営業統括部 第2営業部 第1課 主幹 吉原 雄一および第1技術統括部セキュリティサービス室 主席 山﨑 剛弥が登壇し、同社が提供するIoTセキュリティソリューションの概要ともに、IoTセキュリティ「Vdoo Vision」の紹介や具体的な事例について語った。

マクニカネットワークスが行うIoTセキュリティにおける支援状況

冒頭で吉原から、世界の最先端テクノロジーを駆使して顧客に最適なIT環境を提供している同社について触れたうえで、具体的なIoTセキュリティの取り組みについて山﨑が続けて説明。「IoTセキュリティはデバイス中心の対策をイメージされている方が多いが、ネットワーク接続が前提となっているため、エッジのIoTデバイスだけでなく、クラウドサービスやモバイルアプリケーションも含めてセキュリティ対策やその検討が必要になる」と説明する。そんなクラウドサービスやモバイルアプリケーションにまで目が行き届かない、コネクティッドデバイスを製造するメーカーに対して、マクニカグループにて支援できることについて説明した。

まずは、開発・運用領域における支援として、開発のV字モデルにおけるソリューションを例に挙げ、開発前の要件定義や基本設計時での脅威分析に役立つスパイレントや監視したファームウェアを丸ごと診断できるVdooソリューション、IoTデバイスが連携するさまざまなAPIに関する特有の脅威に対するSwagger分析、ファジングやダイナミックアナリティクスといった動的解析サービスなども提供していると説明。実装に関しては、コード管理行うGitHub EnterpriseやCI/CDライフサイクルの自動化、バイナリ管理など開発支援のソリューションも提供しているという。コンテナを利用したマイクロサービスでアプリケーションを実装するケースも増えていることから、ビルドしたコンテナイメージに実装上の問題がないかチェックするサービスや、フィールドにデバイスをデプロイした後に外部からの攻撃を検知、防御するエージェントを提供するセキュリティソリューション、デバイスをセキュアに効率よく管理するセキュリティプラットフォームなども手掛けているという。

クラウドサービス領域については、IoTデバイスの制御や監視、情報収集に利用されるクラウドサービスに関する対策の重要性についても語る。「クラウドへの不正アクセスなどが発生するとIoTデバイスに対する乗っ取りなどの可能性も出てきてしまう。IoTデバイスの情報を取集してモニタリングしている場合には、クラウドに問題が発生すれば危険な予兆に気付くことができなくなることも。またテスト環境が簡単に用意できるクラウドだけに、テスト環境に対してのセキュリティ対策も見逃せない」と山﨑。もちろん、AWSやGoogle Cloud のようなパブリッククラウドにおけるセキュリティ設定がおろそかになってしまい、コンテンツが改ざんされたという事例も出てきており、 CSPM(Cloud Security Posture Management)と呼ばれるソリューションも注目されていると説明する。

工場関連のソリューションとしても、従来は閉じた環境で独自のプロトコルが利用されてきた産業機器がIP化する動きが増えており、オフィスのネットワークとの接続や汎用コンピュータを使って設備を制御するケースも増加、産業用制御機器を狙った攻撃も増えてきていると警鐘を鳴らす。「産業用制御機器をコントロールするデバイスに関しては、アプリケーション制御機能を用いて意図しないプロセスの実行を阻止するなどの対策が必要」と説明する山﨑。またアセットなどの通信が可視化できてない工場のネットワークにおいては、トラフィックをモニタリングすることで機器や通信の可視化を行い、異常な通信が発生していないかどうかを見極めることも重要だと語る。

そしてデータ分析に関しても、サイバー攻撃の有無の調査やインシデント発生時の調査を行うための、インフラシステムのログやセキュリティのログを分析するソリューションが必要だと語る。サービス系のログについては、AIを駆使して収集したログを分析することでサービスレベルを向上させるといったことにも貢献できる一方で、プライバシー規制にも対応が必要であり、ログ分析時のプライバシー強化に貢献するソリューションも登場している状況にあるという。

ファームウェア診断を実現する「Vdoo Vision」とは?

続いて、IoTデバイスを製造する企業に役立つセキュリティソリューション「Vdoo Vision」の詳細について説明した。

IoTデバイスの多くがLinuxやAndoridベースで開発されており、OSSの脆弱性を狙った攻撃に対するリスクが高まるなか、サプライチェーンリスクにも配慮しなければいけない。そこで、開発した製品にどんなリスクが潜んでいるかチェックできる枠組みが求められているという。実際に製品を製造する企業では、製品セキュリティ強化に向けてさまざまな診断手法を採用しており、Webアプリケーション脆弱性スキャナなどの動的診断やOSS管理ツール、ソースコード診断など静的診断のツールなどを駆使しているのが現状だと説明。そんなセキュリティ強化の一助となるのが、ファームウェア診断が可能なVdoo Visionだ。

具体的には、各種ガイドラインへの準拠状況やBOMなどの構成要素・ライセンス一覧の可視化、対策が必要なCVEの表示、OSSなど調達ソフトの脆弱性確認、デバイス設計上のセキュリティ問題点の指摘などが可能なソリューションとなっている。「調査方法は、バイナリーベースのファームウェアを診断プラットフォームにアップロードするだけで、数十分ほどで診断結果を出力することが可能。Vdoo社がこれまでに解析した2万以上のファームウェアやペネトレーションテストの結果から得た彼らのナレッジがこのエンジンに蓄積されている」と吉原。なかでも、セキュア設定の確認や各種セキュリティガイドラインの適用度チェックなどが可能となっており、製品内のリスクというものを可視化する第一歩として便利なツールだと力説する。

導入ユーザから学ぶVdoo Visionの有用性

その後、Vdoo Visionを実際に活用している国内通信機器メーカーのセキュリティ担当がシークレットゲストとして登場し、顧客向けの機器に脆弱性が発見され、その対策に向けての取り組みについて説明した。具体的には、開発ステップごとにセキュリティ対策が実施できるよう社内の設計手順を作成する際に、一般的なセキュリティ要求を参考にしながら、この設定手順にVdoo Visionの指摘内容を加味していったという。「Vdoo Visionのおかげで対策の優先度が明確になり、貴重な開発リソースを的確に配分することができた。診断時もファームウェアをアップロードするだけで、貴重な試作品を活用せずとも操作手順を診断員に伝える負担もない。診断時にソフトウェアのバージョンやライセンス情報が含まれる部品書となるBOMが出力されるため、脆弱性の定期的な監視や不要なモジュールの発見、削除も容易になった」と評価のコメントを寄せている。

  • セキュア開発への取り組み 安心・安全な「モノづくり」の実現にむけて

最後にNECプラットフォームズ株式会社 セキュリティ事業推進室 室長 澤田 利幸氏が登壇し、同社が取り組む「セキュア開発」の考え方や、これからのモノづくりに必要なセキュリティ対策と開発ツールの関連性などについて語った。

NECプラットフォームズの位置づけとIoTのリスク

最初に、NECグループにおける主要生産会社として、ICTのコンポーネントからシステムまで、官民問わず幅広い顧客に必要な製品を生産しており、NECのロゴがついている多くのハードウェアを開発生産している企業としての概要を説明したうえで、「ICT機器などが根ざしている今の社会において、全てのモノづくり企業が“安全・安心”を提供することが社会の要請として求められている」と澤田氏。性能・利便性・コストパフォーマンスもちろん全て重要だが、安全安心に使えることが大前提にあるという。

そして今回のテーマとなっているIoT機器に関する技術は世の中をますます豊かにしているが、セキュリティ上の脅威を生み出す悪意のあるハッカーにとってもやりやすい時代になっていると指摘。「以前は監視カメラにハッキングされても、カメラが停止する、映像を盗み見されるという被害が主流だったが、今はカメラを踏み台にして連携するシステムを意図的に誤作動させるといったことも起こりうる」と警鐘を鳴らす。

そんな状況のなか、法整備も進んでいる。著作権法の改正にともなうセキュリティ目的でのリバースエンジニアリングの合法化や電気通信事業法に基づくIoT機器の技術基準適合認定などだ。公的な活動以外にも、企業側がバグバウンティ(脆弱性報奨金制度)を設置するなど、市販製品の脆弱性を見つけ出す活動も進みつつあるという。

セキュリティ強化に向けた3つの施策

そんななかで同社では、セキュリティの観点で3つの施策を推進していると説明する。それが、脆弱性のない製品を開発、生産して市場に送り出す「セキュア開発」、生産環境となる工場のセキュリティ強化や、不正部品の混入防止、情報漏洩対策などの「セキュア生産」、そして脆弱性への対策や万一のインシデント発生時の体制を強化する「PSIRT」だ。「ただし、製品セキュリティを高めるといっても、社内の反応はそれぞれで、なかなかうまく事が進まないのが現実」と澤田氏。

そこで同社では、製品領域ごとにセキュリティレベルが千差万別だった状況を改善すべく、製品セキュリティの推進部門を共通部門として新設し、ガバナンスを強化することを推進している。また、業界に複数存在する評価モデルを活用してセキュリティ成熟度を測定し、セキュア開発に必要な社内ルールや組織体制強化に役立てているという。あわせて、もともとグループで持っていた開発基準をベースに、OWASPやMicrosoft、NISTなどのフレームワークを参考しながら、セキュア開発を進めるための自社独自の開発基準や手順を現在策定していると説明した。

これらの活動においては、脆弱性診断やペネトレーションテストなどを行うためのツールや外部支援の重要性についても触れている。実際には、IoTデバイスの脆弱性診断に関しては、マクニカネットワークスが提供するVdoo Visionを活用して分析を行いながら、国際的なセキュリティ規格への適合度も測定するなど、同社が推進するセキュリティ活動に大いに役立っていると最後に語った。

お問い合わせ先

マクニカネットワークス株式会社
Vdoo 担当

045-476-2010