CodeZine(コードジン)

特集ページ一覧

IoTのセキュリティ設計って、どこから学んだらいいの?

OWASPでビルトイン・セキュリティ 第8回

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2017/03/31 14:00

目次

OWASP Internet of Things Project

 現在、さまざまな団体がIoTのセキュリティに関する検討を行っており、各団体でIoT関連のセキュリティガイドを公開しています。このガイドラインでは、Online Trust Alliance(OTA)やGSM Association(GSMA)が公開しているIoTのセキュリティガイドが取り上げられていることに加え、OWASPが運営しているOWASP Internet of Things Projectも大きく取り上げられています。

 OWASP Internet of Things Projectでは製造業者、開発者、消費者(利用者)の3つの観点からIoTに関わるセキュリティ上の問題を検討しており、以下に示す複数のサブプロジェクトに分割されています。

  • IoT Attack Surface Areas Project
  • IoT Testing Guides Project
  • IoT Vulnerabilities Project
OWASP IoT Projectのストラクチャ
OWASP IoT Projectのストラクチャ

 「OWASPでビルトイン・セキュリティ」の第5回で解説した「Top 10 IoT Vulnerabilities」は、OWASP Internet of Things Projectによる成果です。「Top 10 IoT Vulnerabilities」では、IoTにおいて生じる可能性が高いと考えられる、脆弱性の原因となり得る10の事項について整理されています。

 OWASP Internet of Things Projectでは、「Top 10 IoT Vulnerabilities」の他にも、前述したようなサブプロジェクトからさまざまな成果物が公開されています。本稿公開時点での代表的な成果物を以下に示します。

表3 OWASP Internet of Things Projectにおける代表的な成果物
名称 内容
IoT Attack Surface Areas 攻撃対象となりうる領域と、脆弱性の関係
Top 10 IoT Vulnerabilities IoTにおける代表的な10の脆弱性に関する攻撃手法や攻撃シナリオ例、対策など
Firmware Analysis ファームウェアの解析に関する情報
IoT Testing Guides IoTにおける代表的な10の脆弱性に対する、試験実施時のセキュリティ上の考慮事項
IoT Security Guidance IoTにおける代表的な10の脆弱性に対する、製造者、開発者、消費者(利用者)のセキュリティ上の考慮事項
Principle of IoT Security IoTセキュリティに関する16項目の原則
IoT Framework Assessment IoTシステムの構成要素に対する、セキュアなIoTフレームワークとして考慮するべき事項

暗号技術

 IoT製品では従来の情報機器では扱う機会が少なかった機密情報が通信されます。よって、暗号技術を導入した通信経路の暗号化や、電子署名を用いた真正確認により、盗聴や情報の改ざん、成りすましといった脅威への対策が必要です。ガイドラインでは付録として、暗号の安全性の評価を支援するチェックリストが掲載されています。IoT製品に実装する上で、参考になることでしょう。

対策の実施例

 ガイドラインでは、デジタルテレビ、ヘルスケア製品、スマートハウス、自動車のように製品として出来上がったものについて具体例として取り上げて、IoT製品のセキュリティ対策を示しています。IoT製品のセキュリティ設計をこれから行う人およびすでに行なっている人にとっては、ガイドラインを読むことで、開発者、提供者でなくても、利用者の立場ででも多くの気づきが得られることでしょう。

まとめ

 IoTは未成熟な分野であり、今後更なる発展が期待されています。今のところIoT製品の開発に携わっていない技術者でも、直接的にも間接的にもIoT製品に携わる可能性が考えられます。IoTに関する日本語の文献はまだ少ない状況ではありますが、英語の文献には中々手が出せない技術者でも、このガイドラインを読むことでIoT製品のセキュリティ設計に関する知識を身に付けることができます。さらに、英語の参考文献についても数多く記載されているため、すでにある程度IoT製品についての知識を持ち合わせている方々にも参考になることでしょう。

 本稿が、読者の皆様がIoTのセキュリティ設計に関心を持っていただく上で一助になれば幸いです。



  • LINEで送る
  • このエントリーをはてなブックマークに追加

バックナンバー

連載:OWASPでビルトイン・セキュリティ

もっと読む

著者プロフィール

  • 北原 憲(OWASP Japan)(キタハラ ケン)

    OWASP Japan Promotion Team 所属。2014年に物理学で博士号を修めた後、情報セキュリティ企業に就職したことに伴い、情報セキュリティ技術者に転向。一人前のペネトレーションテスターを目指して日々研鑽中。専門誌での執筆や、Hardening Project などの情報セキュリティ...

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5