IoT時代のセキュリティって何ですか? 記事『IoTとデジタル・フォレンジック』第2回
「デジタル・フォレンジック・コミュニティ」記事・第2弾。
IoTは便利の一方でセキュリティの脆弱性も指摘されています。
IPAの役割も含めて、同セキュリティーセンターの頓宮(はみや)氏が解説しました。
気になるニュース・まとめを検索 Justy Finder
マイナンバー対策はこれで安心 マインバープラットフォーム(ナンバーくん)
【本文】
(2)の続き
一方、制御システムや病院内のネットワークを狙ったケースも見受けられている。
例えば、ポーランド。同国では2008年に、14歳の少年がテレビのコントローラを改造して、
鉄道のトラックポイントをハッキングしたという事例がある。
さらに有名なのが、2010年のスタックスネットの事例。イランの核施設において、
マルウェアによってサイバー攻撃が行われたというもの。また2014年にはドイツの鉄鋼工場で、
溶鉱炉が正常にシャットダウンできなくなったという事例もある。
さらに近年注目されている情報家電・自動車などのデバイスにおける脅威。
2015年3月には朝日新聞でWEBカメラの画像を、第三者が見ることが可能だとする事例が報告されている。
ここではパスワードの見直しやアップデートを細かに行うなどの対策が有効だ。
実は2015年は情報家電・医療機器の脆弱性が注目を集めた年でもある。
2015年8月にはサムソン電子のスマート冷蔵庫に脆弱性がみつかった事例。
例えば起動時に液晶パネルにあるGoogle Calendarを立ち上げると、
ログイン情報が盗まれる可能性があるといったもの。
また2015年1月にはロサンゼルスで、交通情報を伝える電光掲示板が
ハッキングされたという事例も報告されているという。
また9月には医療従事者の演習用に使われる人体シュミレーター(マネキン)に
脆弱性が見つかるなどの報告もあった。
さらに頓宮氏によると、自動車に関する情報セキュリティの事例も報告されている。
解雇された従業員が遠隔でイモビライザーを不正に操作。
100台以上の自動車が使用できなくなった事例が2010年にテキサス州であった。
これまで想定されない脅威が発生する典型例だ。
そこでIoT時代でも注意したいのが、内部不正の発生要因。
1.動機・プレッシャー、2.機会、3.正当化の3つの要因がそろったときに発生するというものだ。
例えば1は待遇の不満や業務へのプレッシャーで負荷がかかることが要因となる。
2についても、不正行為の実行を可能にする環境、
組織のルールや個々のスキルによるものも大きい。
3については、自分勝手に理由をつけたり、責任転嫁したりすることが該当するだろう。
こうしたなか、組織としては、動機・プレッシャーや機会をうまく軽減することが対策となる。
地道だが、職場環境の整備、不満の解消といった動機の軽減などが有効だ。
さらにアクセス管理・ログ管理・暗号の活用が貴重な対策となる。
IPAでもしっかりした様々な対策コンテンツを打ち出している。
例えば、システムの設計開発において、セキュリティ上の脆弱性を作りこまないための教育を施すといったもの。
脆弱性を体験学習できるウェブアプリ「AppGoat」など、実際に触れながら理解できるのが特長だ。
またファジング(Fuzzing)という手法の活用も効果的だ。
何万種類もの問題を起こしそうなデータを送り込み、
製品の動作状態から脆弱性を発見しようという手法が有効となる。
IPAではファジングの利用ガイドなども随時公開しているという。
さらに脆弱性をすでにナレッジにしていくところも強みだ。
JVN iPediaと呼ばれる脆弱性情報データベース(http://jvndb.jvn.jp/)に情報を集約して公開。
国内外の約54000件の脆弱性情報を見ることができる。
もちろん、各自ガイドも充実している。制御システムの利用者ガイド、
自動車の情報セキュリティの取り組みガイド、医療機器における情報セキュリティに関するガイド、
安全なウェブサイトの作り方、情報セキュリティ白書などだ。
実際にサイバー攻撃・サイバー犯罪に関する対策はもちろん、ウイルスに感染したら、
何をやればいいかわからないという企業でもとにかく心強い味方となるIPA。
IoT社会になっても変わらずに「情報セキュリティの道しるべ」になることは確かだろう。
ぜひ一度ご覧ください。
▽HH News公式。球場。
HH News & Reports
▽ハミングヘッズ公式。秋葉原。
Humming Heads
▽ニュース検索エンジン公式。酒場。
Justy Finder
▽東北生まれMacbook育ちの社員。下町。
月島Finder
▽セキュリティの師匠。窓際。
セキュリ亭 白表
「デジタル・フォレンジック・コミュニティ」記事・第2弾。
IoTは便利の一方でセキュリティの脆弱性も指摘されています。
IPAの役割も含めて、同セキュリティーセンターの頓宮(はみや)氏が解説しました。
気になるニュース・まとめを検索 Justy Finder
マイナンバー対策はこれで安心 マインバープラットフォーム(ナンバーくん)
【本文】
(2)の続き
一方、制御システムや病院内のネットワークを狙ったケースも見受けられている。
例えば、ポーランド。同国では2008年に、14歳の少年がテレビのコントローラを改造して、
鉄道のトラックポイントをハッキングしたという事例がある。
さらに有名なのが、2010年のスタックスネットの事例。イランの核施設において、
マルウェアによってサイバー攻撃が行われたというもの。また2014年にはドイツの鉄鋼工場で、
溶鉱炉が正常にシャットダウンできなくなったという事例もある。
さらに近年注目されている情報家電・自動車などのデバイスにおける脅威。
2015年3月には朝日新聞でWEBカメラの画像を、第三者が見ることが可能だとする事例が報告されている。
ここではパスワードの見直しやアップデートを細かに行うなどの対策が有効だ。
実は2015年は情報家電・医療機器の脆弱性が注目を集めた年でもある。
2015年8月にはサムソン電子のスマート冷蔵庫に脆弱性がみつかった事例。
例えば起動時に液晶パネルにあるGoogle Calendarを立ち上げると、
ログイン情報が盗まれる可能性があるといったもの。
また2015年1月にはロサンゼルスで、交通情報を伝える電光掲示板が
ハッキングされたという事例も報告されているという。
また9月には医療従事者の演習用に使われる人体シュミレーター(マネキン)に
脆弱性が見つかるなどの報告もあった。
さらに頓宮氏によると、自動車に関する情報セキュリティの事例も報告されている。
解雇された従業員が遠隔でイモビライザーを不正に操作。
100台以上の自動車が使用できなくなった事例が2010年にテキサス州であった。
これまで想定されない脅威が発生する典型例だ。
そこでIoT時代でも注意したいのが、内部不正の発生要因。
1.動機・プレッシャー、2.機会、3.正当化の3つの要因がそろったときに発生するというものだ。
例えば1は待遇の不満や業務へのプレッシャーで負荷がかかることが要因となる。
2についても、不正行為の実行を可能にする環境、
組織のルールや個々のスキルによるものも大きい。
3については、自分勝手に理由をつけたり、責任転嫁したりすることが該当するだろう。
こうしたなか、組織としては、動機・プレッシャーや機会をうまく軽減することが対策となる。
地道だが、職場環境の整備、不満の解消といった動機の軽減などが有効だ。
さらにアクセス管理・ログ管理・暗号の活用が貴重な対策となる。
IPAでもしっかりした様々な対策コンテンツを打ち出している。
例えば、システムの設計開発において、セキュリティ上の脆弱性を作りこまないための教育を施すといったもの。
脆弱性を体験学習できるウェブアプリ「AppGoat」など、実際に触れながら理解できるのが特長だ。
またファジング(Fuzzing)という手法の活用も効果的だ。
何万種類もの問題を起こしそうなデータを送り込み、
製品の動作状態から脆弱性を発見しようという手法が有効となる。
IPAではファジングの利用ガイドなども随時公開しているという。
さらに脆弱性をすでにナレッジにしていくところも強みだ。
JVN iPediaと呼ばれる脆弱性情報データベース(http://jvndb.jvn.jp/)に情報を集約して公開。
国内外の約54000件の脆弱性情報を見ることができる。
もちろん、各自ガイドも充実している。制御システムの利用者ガイド、
自動車の情報セキュリティの取り組みガイド、医療機器における情報セキュリティに関するガイド、
安全なウェブサイトの作り方、情報セキュリティ白書などだ。
実際にサイバー攻撃・サイバー犯罪に関する対策はもちろん、ウイルスに感染したら、
何をやればいいかわからないという企業でもとにかく心強い味方となるIPA。
IoT社会になっても変わらずに「情報セキュリティの道しるべ」になることは確かだろう。
ぜひ一度ご覧ください。
▽HH News公式。球場。
HH News & Reports
▽ハミングヘッズ公式。秋葉原。
Humming Heads
▽ニュース検索エンジン公式。酒場。
Justy Finder
▽東北生まれMacbook育ちの社員。下町。
月島Finder
▽セキュリティの師匠。窓際。
セキュリ亭 白表
