近年「デジタルトランスフォーメーション(DX)」が急速に進展し、家電や自動車、ビル、工場、社会インフラに至る様々なものがインターネットに接続され、IoT化が進んでいます。総務省が発表した「令和元年版 情報通信白書」によると、2022年にはおよそ350億台ものIoT機器がインターネットに接続されると見込まれています。一方で、IoT機器を狙うサイバー攻撃の手口は高度化・巧妙化しており、脅威に晒されるIoT機器のセキュリティ対策は喫緊の課題と言っていいでしょう。
イエラエセキュリティは2021年3月15日に、BSIグループジャパン、BSI Professional Services Japanと、IoT機器におけるセキュリティ基準の標準化実現に向け、協業を開始。世界各国にオフィスを構え、183ヵ国以上の顧客にサービス提供し、政府等とも協力しながらIoTのベクトプラクティスの形成に尽力してきたBSIと、IoT機器のセキュリティ基準を検証する「IoTサイバーセキュリティ認定ラボ」を創設しました (参考:https://ierae.co.jp/news/press_20210315/ )。
これを記念して、3社にて無料オンラインセミナー「IoTセキュリティのあるべき姿」 を開催。昨今のサイバーセキュリティを取り巻く環境について、また世界の最新事情や国内の実例を交えご紹介しましたので、レポートします。
IoT製品への安全・確実な“信頼”こそが、導入促進の鍵となる
「BSI IoTセキュリティ最前線」と題して、グローバルな視点からの最新セキュリティ動向を紹介したのは、BSI UKでグローバル・デジタル・プロダクト認証ディレクターを務めるデイビッド・マッド氏。これまで、スマートシティ、コミュニティ、アセットシステムを含む、IoTと呼ばれるあらゆるデジタルデバイスやセンサーの認証を担当する中で、固有のパスワードを用いたりデータを暗号化していないなど、基本的な管理すらされていない脆弱なデバイスを数多く見てきました。
特に家電等、一般ユーザー向けのセキュリティ管理について「このコロナ禍で家庭で仕事をする人々が多くなり、ビジネスと家庭の境界線が曖昧になっている今、このような脆弱なデバイスが家庭にあることはビジネスの脅威となることも意味しています」と、マッド氏は懸念を示しました。
現在、メーカーの8割以上は、IoTの脆弱性開示に関する明確なポリシーを持っているとは言えない状況です。また、発見された脆弱性に対応すべきメーカーの対応は必ずしも充分とは言えません。これら脆弱性は、悪意ある攻撃者からのダメージを受けるリスクはもちろんのこと、昨今話題の「エシカル・ハッカー」により公表されることで、悪意ある攻撃者から以上のダメージを受けてしまうこともあり得ます。
EUのIoTレギュレーションとなっている3要件は、「デフォルトのパスワードを設定しない」「脆弱性報告のための公式窓口を設定する」「セキュリティソフトウェアをアップデートがいつまで可能か購入時に明示する」この3つです。「一見、簡単な要件のように見えるかもしれませんが、弊社で診断した製品では、この3つのうち1つを満たしていないことが圧倒的に多い。弊社に製品を送ってくるのは、セキュリティを自ら強化し、自社製品の安全性に確信をもっているメーカーであるにも関わらず、この条件を満たすことができない状態で初回のテストを受けているのが現状です」とマッド氏は言います。
BSIは、これらセキュリティにまつわる問題を包括的に支援しています。もちろんIoT以外のサイバーセキュリティについても取り扱っており、ユーザーのビジネスに対応した幅広い対応分野において支援を行うことが可能です。100年以上という長い年月製品の認証活動を行っており、特に安全性やセキュリティ機能を持つ製品の認証を担ってきています。近年ではセキュリティ企業の買収や、イエラエセキュリティなど専門性の高いサイバースキルを持った企業との戦略的提携などを積極的に行い、ますますその専門性を独自に高めています。
また本スピーチでは、セキュリティの最新動向を共有するだけでなく、「セキュリティの1歩目はどこからやったらいいんだろう?」というIoT機器メーカーの担当者の疑問に答える形で、いくつかの「ネクストステップ」が提示されました。無料で取得できてすぐに活用できる、グローバルなIoTセキュリティに関するベストプラクティスガイダンス、そしてBSIの提供する「BSI IoT Security Foundation Test」の紹介がありました。日本においては、イエラエセキュリティとのコラボレーションにより、セキュリティに熟達した担当者が日本語でサポートすることが可能になっています。
BSIは100年以上前から、“信頼”を表すカイトマーク(BSI Kitemark™)を所有・運営・発行してきました。元々は英国でのみ使用されていましたが、現在ではあらゆる分野にわたり「品質」と「安全性」を示すシンボルとして世界中で認知され、2,500以上の有効なライセンスが発行されています。マッド氏は最後に「IoTの重要な課題は“信頼”です。意図されている使用期間中に、製品が安全に確実に動作することへの“信頼”は、IoT導入の鍵となります。その信頼性を高めるためにカイトマークの活用が1つの選択肢となります」と述べ、BSIにおけるIoTセキュリティへの取り組みの重要性について強調しました。
“ツライIoTセキュリティ”の第一歩は、第三者によるペネトレーションテストでクリア
株式会社イエラエセキュリティからは、執行役員であり、高度解析部 部長の寺村亮一氏が、「IoTセキュリティのあるべき姿とその第一歩『IoTペンテスト』のススメ」と題して登壇しました。寺村氏は、自動車業界を中心としたIoTセキュリティやサプライチェーンセキュリティの支援をしてきたキャリアを持ち、イエラエセキュリティではクラウドセキュリティ、アプリケーションセキュリティでの解析にも精通した人物です。
寺村氏は、「IoTセキュリティではやるべきことが多岐に渡り、非常に“ツライ”。ハードウェアを巻き込んだセキュリティを考えなければなりませんし、関連する会社が1社や2社ではない。また、作り手に運用を渡してしまう為、すぐに直すことも難しい」と数多くの経験から語りました。IoT機器については、製造の段階で登場人物が非常に多いことに加え、役割分担もはっきりしていません。全体を見て指示出しする人は誰なのか、コストを負担するのは誰なのか。また要求仕様も曖昧になることが多く見られます。
IoTセキュリティに関するガイドラインや法規は日欧米で策定され始めており、それらガイドラインを適用することで、一定のセキュリティ効果が見込まれます。ただし、IoTデバイスは企画、設計開発から利用中のアップデート、そして廃棄後のデータ管理まで視野に入れなければなりません。このIoTライフサイクルを通じたセキュリティ施策の全てを、数多くの登場人物で足並みを揃えて、ガイドラインに準拠させることは困難です。
「全てを一度に修正することは非常に困難ですから、順を追って対応することをやっていくしかありません。IoTセキュリティにおいても、シフトレフト、SDLC、DevSecOpsという言葉に代表される開発プロセスからセキュリティを組み込む手法が有効です。ただ、これらをサプライチェーンにまたがって適用することも難しいですし、多くの項目について調整や時間が必要です」と寺村氏は言います。
それでは、IoTセキュリティにおいて、最初に実施すべきことは一体なんでしょうか。寺村氏は、まずサプライチェーンにおけるOEMとサプライヤ間のインタフェース部分における認識共有、取り組みを見直すことを勧めます。まず、最もクラシカルな方法として、セキュリティ要件の策定と、準拠しているかどうかのチェックが挙げられるでしょう。ただし、最初からOEMとサプライヤがお互いのやるべきことを理解したうえで、適切な要件を策定することは困難です。適切な要件が生成されるには時間がかかるので、第一歩としては適切ではないかもしれません。
次の方法としては、BSIのような評価機関による認証を取得することです。認証された製品であれば、すぐに問題が露呈するような脆弱性についてはチェックが済んでいると自信を持てます。ただし、期間や金額的な面で認証機関での検証をすることについてハードルが高いと感じる場合もあるかもしれません。
寺村氏が勧めるのは「第三者によるペネトレーションテストによる確認」つまり、侵入テストの実施です。保護すべき資産と、その資産を侵害する想定脅威を想定し、それが“実現できない”ことを“攻撃者目線”で評価します。イエラエセキュリティでは、機能も仕様も利用状況も全く違う様々なIoTデバイスに対して脅威モデリングを行い、その想定した脅威を実現できるかできないか、実際に多くのテストを実施してきました。
ペネトレーションテストでは、まず保護する資産を明確にすることから始まります。個人情報、クレデンシャル情報、機器の制御などが、それにあたります。次に、アタックサーフェイスなる外部通信路、外部ネットワーク、ローカルインタフェース、ハードウェアから、それぞれ具体的に脅威となり得る事象を導き出します。通信の盗聴、改ざん、なりすまし、アップデートサービスの悪用、ファームウェアの漏洩などが挙げられます。
多くのIoTデバイスは、Webアプリケーション等と異なり、攻撃者がデバイスを取得することが容易です。そのため、イエラエセキュリティでは、攻撃者がハードウェアを分解することを想定した「ハードウェア解析」、攻撃者がファームウェアを抽出、バイナリ解析を行うことを想定した「ソフトウェア解析」、そして、動作するデバイスに対するテスト「動的解析」等を行い、脆弱性を探し、想定脅威の実現性を検証します。
寺村氏は「実際に発見される脆弱性のうち約67%はソフトウェア解析により発見されます」と語り、自身がDEF CON 28で発表した研究内容を紹介しました。これらの解析を行うことにより見つかった脆弱性は、TLSの証明書検証の不備、乱数や鍵生成の不備、パスワードのハードコード、認証認可の不適切な設定、セキュアブートの設定ミス、OSコマンドインジェクションなど、多岐にわたります。
イエラエセキュリティでは、これら侵入テストのアウトプットとして、単なる診断結果の記述に留まらず、想定脅威の実現可能性や、攻撃シナリオの手順も記述し、対策案も含めた説明を記載することで、修正というネクストステップに進みやすい支援を行っていることもご紹介しました。
質の高いIoTセキュリティ支援を実現するための協業がスタート
二つのIoTセキュリティに関する講演の前後に、この度のイエラエセキュリティとBSIグループとの協業について、紹介の時間を設けました。
冒頭では、BSIグループジャパン株式会社 Product Certification部 ビジネスデベロップメントマネジャー 仁井田克英氏から「セキュリティ診断業務に特化したホワイトハッカー集団であるイエラエセキュリティと、グローバル認証機関であるBSIが協業することで、日本の事業者様をワンストップでサポートできると考えた」と説明がありました。
創設した「IoTサイバーセキュリティ認定ラボ」は、BSIから認定を受け、試験、診断実施することができる試験場です。日本ではイエラエセキュリティにより、試験、診断サポートが可能となっており、最終的にBSIから認証書の発行をさせて頂きます。
セミナーのクロージングでは、BSI Professional Services Japan 代表取締役社長 小島英彦氏より「BSI Professional Services Japanのご紹介」と題してスピーチがありました。2015年に設立されたBSI Professional Services Japanでは、サイバーセキュリティ領域のアドバイザリー、各種支援サービス、関連席ソリューション提供などを行ってきました。
BSIグループは規格の認証・審査というイメージが強いですが、コンサルティングサービスも行なっています。またBSIグループ企業として、グローバルな専門集団の質の高いサービスを提供しています。「時差の問題や言語の問題があり、日本でセキュリティ支援をするためには、現地の技術者の協力を得なければ本当に質の高いサービスを提供することはできないと感じていたところ、イエラエセキュリティと出会いました」と協業に至る経緯のご紹介がありました。
IoTセキュリティの重要性が飛躍的に高まる今、イエラエセキュリティは今後、BSIグループとの協業を通して、一層のサービス強化を目指していくことを目指していきます。