SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

OWASPでビルトイン・セキュリティ

セキュアなIoTエコシステムはどうすれば実現できる?

OWASPでビルトイン・セキュリティ 第9回

  • X ポスト
  • このエントリーをはてなブックマークに追加

 「Internet of Things」すなわちIoTは、利便性の高いものであり期待がある一方、プライバシーの侵害など、利用者が被害を受ける懸念があります。また、間接的にIoTデバイスが他者へのDDoS攻撃に利用されてしまうなど、加害者となるケースも懸念されています。このような問題が大規模に起きないよう、IoTに関わるデバイスのような局所的な部分のみならず、エコシステム(=生態系)全体を通して、利用者が安全・安心に利用できるようにあらかじめ対策を施す重要性が叫ばれています。

  • X ポスト
  • このエントリーをはてなブックマークに追加

IoTデバイスを取り巻くセキュリティ上の課題

 IoTを利用するエンドポイント(デバイスともいいます)は、平成27年時点で154億個存在すると報告されています。平成32年までに304億個まで増大するという調査もあり、爆発的に普及することが予想されています。

 政府は「世界最先端IT国家創造宣言・官民データ活用推進基本計画」を公表しました。これには、横断的にIoTの面的展開を実現すること、官民が保有するさまざまなデータを活用しつつ、社会課題の解決につなげていくことが明記されています。IoTデバイスは社会基盤において、ますます活用されることが期待されているようです。

 一方で、あまりにも多くのIoTデバイスが設置されるため、「セキュアでない、もしくは物理的に保護されていない」ものも紛れ込む可能性があります。

 これは、さまざまな製造事業者がIoTデバイスの開発に参入し、それぞれがビジネス競争に打ち勝つため、とにかく早く世に自社製品のIoTデバイスを提供しようと、奮闘している状況に起因すると考えられます。このような競争環境にさらされている製造事業者にとっては、「セキュリティ」は面倒なものでしょう。セキュリティは新たな領域であり、製品開発の方法論において、セキュリティの計画について不十分であっても不思議ではありません。

セキュアなIoT製品開発の理解に向けて

 OWASPではWebアプリケーションにおけるセキュリティに加え、IoTにおけるセキュリティに関する議論やドキュメントの作成を行っています。本連載では、これまでに『IoT時代において重要性が増すデバイスのセキュリティ』『IoTのセキュリティ設計って、どこから学んだらいいの?』において、OWASP IoT Top10を中心としたOWASP Internet of Things Projectを紹介しています。

 本記事では、OWASP Japanが連携会員となっているCloud Security Alliance(クラウドセキュリティアライアンス)の日本のチャプターが公開している『「つながる世界」を破綻させないためのセキュアなIoT製品開発 13のステップ』(以下、「セキュアなIoT製品開発13ステップ」)についてOWASPのドキュメントを交えながら紹介します。本記事を読むことで、「セキュアなIoT製品開発13ステップ」の概要とその意義について理解を深めていただけたらと思います。

セキュアなIoT製品開発のための13ステップ

 「セキュアなIoT製品開発13ステップ」では、セキュアなIoT開発のガイダンスとして、表1のステップで開発を進めることで、セキュリティ上のいくつかの問題を軽減できるとしています。

表1 セキュアなIoT製品開発を実現するためのステップ
項番 ステップ 実施すること
1 セキュアな開発手法 ・脅威モデリングの実施(※)
・セキュリティ要件の検討
・セキュリティプロセスの適用(※)
・(物理的な)安全性への影響評価の実施
2 セキュアな開発およびインテグレーション環境 ・プログラミング言語の評価
・統合開発環境の利用
・継続的インテグレーションの実施(※)
・テストの実施
・コードの品質担保
・管理プロセスの検討
3 ID管理フレームワークと基盤セキュリティの要点 ・統合フレームワークの検討
・プラットフォームのセキュリティ機能の評価
4 プライバシー保護の確立 ・収集するデータの検討
・ユースケースの分析
・オプトイン要件の検討
・技術的なプライバシー保護
5 ハードウェアセキュリティのエンジニアリング ・マイクロコントローラの決定
・TPMの導入
・メモリー保護ユニットの使用
・物理的複製防止機能の組み込み
・セキュアコプロセッサの使用
・暗号モジュールの使用
・デバイスの物理的保護
・サプライチェーンの防御
・セルフテストの実施
・セキュアな物理インターフェースの実現
6 データ保護 ・IoT通信プロトコルの選択
7 関連アプリとサービスの安全確保 ・IoTデバイスと接続するアプリとサービスに対するセキュリティ対策の実施
8 インターフェースとAPIの保護 ・RESTセキュリティの考慮(※)
・Certificate Pinningサポートの実装(※)
9 セキュアな更新機能の提供 ・ファームウェアの更新に係るセキュリティ対策の実施
・ソフトウェアの更新に係るセキュリティ対策の実施
10 セキュアな認証・認可の実装 ・証明書の使用
・バイオメトリクスの実装
・証明書レス認証暗号の利用
・OAuth2.0の実装
・UMAの利用
11 セキュアな鍵管理の確立 ・鍵管理方法の検討
・セキュアなブートストラップの設計
12 ロギング機能の提供 ・取得するログの検討(※)
13 セキュリティのレビュー ・セキュリティレビューの実施(※)

(※)

 本記事でOWASPドキュメントを交えて紹介する内容

次のページ
セキュアなIoT製品開発の実現にOWASPドキュメントをビルトイン

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
OWASPでビルトイン・セキュリティ連載記事一覧

もっと読む

この記事の著者

仲田 翔一(OWASP Japan)(ナカタ ショウイチ)

OWASP Japan Promotion Team Leaderであり、開発者とセキュリティに携わる者の間にある溝を埋めるための活動に尽力している。本業では主にITやセキュリティを中心としたコンサルティング業務に携わる。OWASPコミュニティとの関わりは、セキュリティエンジニア時代のOWASP勉強...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/10261 2017/07/03 15:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング