Comments
Description
Transcript
協賛講演1: 「IoTセキュリティレポートによる課題と
CSA Japan Summit 2016 IoTセキュリティレポートによる課題と セキュリティライフサイクルアプローチ 2016年5月24日 日本ヒューレット・パッカード株式会社 ITアシュアランス&セキュリティ ジャパンカントリーリード兼セキュリティエバンジェリスト 増田 博史 本日のAgenda(25分間) 1.世界の脅威動向 2.IoTセキュリティにおける主な課題と取り組み方 (特にIoTエンドポイント/デバイス周り) 1.世界の脅威動向 3 よく聞く声(悩みや課題) IE/Heartbleed/shellshock等の脆弱性、ベネッセ内部犯行、オンライン不正送金、 サイバーセキュリティ基本法、年金機構攻撃被害、マイナンバー、 2020東京オリンピックetc..... セキュリティは、やらなければいけないが・・・ 何を、どこまでやればいいのか? HPEが提唱する危機管理の考え方 認識 予測 学習・共有 準備 対応 12 兆円 サイバー脅威のブラックマーケット年間市場規模(全世界) Sources: 2 Ponemon Institute: Enterprise Security Benchmark Survey, November 2012 増大する攻撃者たち 攻撃 者 ハクティビズム 動機 サイバー犯罪 知的財産 国家/組織 地政学的 テロリズム 信仰・信奉 ブラックマーケット 金銭 社会・政治・環境等 ブラックマーケットと攻撃ライフサイクル 1.リサーチ 2.侵入 標的の調査 ハッキングによる侵入攻撃 $$$$$$$$$$$ 5.退却 データの破壊や持ち出し 金銭化 情報やデータの売買 4.窃取 データの取得 3.探索 内部環境のマップ作成 ご参考:Economist.comによる米国のデータ侵害における調査結果(2015) データ侵害のタイプで、2010年頃から ハッキングが圧倒的に増えている 流出データの割合は、カード番 号やソーシャルセキュリティナン バが約半数だが、他が増加中 2. IoTセキュリティにおける 主な課題と取り組み方 (特にIoTエンドポイント/デバイス周り) 10 IoTの価値とリスク サイバー フィジカル IT OT Confidentiality Integrity Availability + Safety 価値 = ・データ量 ・デバイス数 リスク HPEが考えるIoTセキュリティのための3つの柱 Trusted Products Products Trusted 安全なハード/ソフト製品 で構成される全体像 Process Process Security By Design Security By Design データやシステムのフロー ユーザフロー 企画設計からフルライフ サイクルのセキュリティ 別途ご紹介 展示ブース / 仮想化 IoTクラウド/プラットフォーム 通信 エッジコンピューティング 本講演 IoTエンドポイント Data, Applications, Communication, Users IoTの主な機能ブロック IoTプラットフォーム HPEのIoTセキュリティリサーチレポート IoTデバイスの70%に攻撃に対する脆弱性 IoTデバイスあたりでは平均25件の脆弱性 リサーチ対象: 最も普及しているIoT端末10種(ス マートテレビ、ウェブカメラ、サーモ スタット(温度計)、リモート電源管理、 スプリンクラー制御装置、ドアロック、 住宅用警報機、ガレージ開閉機等) 2014 •デバイスの80%が、1234のような容易に推測できるパスワードを 許容しています。 •デバイスの80%が、プライバシー上の問題となりうる情報を収集し ている。(名前,Emailアドレス,自宅住所,生年月日,クレジットカー ド番号,健康情報等) •デバイスの70%が通信を暗号化していない。ソフトウェアアップ デートの取得に暗号化を利用していないデバイスが60%存在した。 HPEがリードしたOWASP IoT Project/OWASP IoT Security Top 10 https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project ※IPA「「IoT開発におけるセキュリティ設計の手引き」がOWASP Top 10 IoT脆弱性を参照 http://www.ipa.go.jp/security/iot/iotguide.html?utm_source=dlvr.it&utm_medium=twitter HPEのDaniel MiesslerがOWASP Iot projectのリーダーとして、OWASP IoT セ キュリティTop10を発表しました。(2014) IoTデバイスにおけるセキュリティ上の問題 - トップ10 1. 安全ではないWebインターフェイス 2. 不十分な認証 3. 安全ではないネットワークサービス 4. 暗号化されていない通信 5. プライバシーに関する懸念 6. 安全ではないクラウドインターフェイス 7. 安全ではないモバイルインターフェイス 8. 不十分なセキュリティ設定機能 9. 安全ではないソフトウェア 10. 物理的なセキュリティ脆弱性 クラウドサービス型アプリケーションセキュリティサービス Fortify on Demand の概要イメージ(for OWASP IoT) お客様 日本語ポータルサイト HPE or http://... ソースコード/URL のアップロード 修正/対応 Webやアプリケーション 静的解析 (ソースコード・ バイナリファイル の解析) ・ぜい弱性診断の実施 ・診断結果の精査 ・レポートの作成 ・診断結果の参照 ・レポート出力 HPE エンジニア 動的解析 (外部からのペネトレー ションテスト) IoTの仕組み/フロー概要 セキュアで継続的変化に対応できる仕組みへのトランスフォーメーションが重要。 外部システム 様々な”Things” 連 携 外部データ 参 照 外部利用者 利 用 データ収集・認識・分析 装置 データ 端末 情報やサービス インサイト 自動リアルタイム分析と 迅速なリアクション データ活用者 “IoTシステム” 装置・設備系、人間系への施策(ループバック) 暗号化は重要だが・・・中の監視ができないことやパフォーマンスの課題も。 → データのフォーマットを維持した暗号化および無害化(FPE/SST) Format-Preserving Encryption (フォーマット維持暗号化) 暗号化例:数字16桁の場合 1234 5678 9012 3456 NIST SP800-38G (AES Encryption FFX Mode) FPE暗号 復号可能 元データ Secure Stateless Tokenization (トークナイゼーション) トークン化例:数字16桁の場合 1234 5678 9012 3456 元データ 5361 9239 2408 6281 フォーマットを保った暗号化 ※9から17桁の数字のみ トークン化 不可逆 5361 9239 2408 6281 トークン化 HPE Voltage SecureData FPE活用事例 – 高級車向け車載コンピュータ データを匿名化する事でクラウド利用による外部攻撃のリスクを最小化します。 Comp ID: ATL20501245882 GPS: $GPRMC,085120.307,A,3541.1493,N,13945.3994,E,000.0,240.3,181211,,,A*6A Speed: 82 mile Pedal 1: 75 Pedal 2: 00 Pedal 3: 00 Temperature: 71.6 ….. 車載コンピュータ支援 クラウドシステム 車載コンピュータ 例1 Comp ID: DRM81473519365 GPS: $XWTJA,247354.194,D,6173.2618,R,61472.4821,Y,372.1,752.4,363572,,,G*5F Speed: 50 mile Pedal 1: 91 Pedal 2: 47 Pedal 3: 36 Temperature: 20.4 ….. Voltage 変換前データ 変換 変換後データ データベース 情報収集システム 例2 Voltage 変換 変換後データ 変換後データ 情報収集システム データベース ご参考:IoTの仕組み - 主な機能ブロック 外部システム連携、 外部データ参照 IoTシステム セキュリティ セキュリティ デバイス (データ感 知) •機器 •設備 •機器 •人 •設備 •・・・・・ •人 •・・・・・ データ セキュリティ 外部利用者 (データ、サービス) アプリケーション開発 外部システム連携 データ 分析 通信 ディープ リアルタイム •広域・限定域 収集・ 分析とリアクション 分析 •有線・無線 認識 IoTインフラ 監視・管理・運用自動化 ご参考:HPEサイバーリファレンスアーキテクチャ概要 Cyber Defense blueprint example Asset Management Strategic Layer Strategy, Leadership & Governance (SLG) Risk & Compliance Management (RCM) Security Resilient Architecture (SRA) Resilient Workforce (RW) Actionable Sec & Threat Intelligence Security Analytics Context & Behavior Layer Threat Intelligence & Profiling Digital Investigation & Forensics Vulnerability Management Threat Sources Layer Intelligence Layer Correlated events Cyber Defense (CD) Security & Operations Management (SOM) Identity & Data Infrastructure Access Applications Protection & & Network Security (AS) Management Privacy (DPP) Security (INS) (IAM) Converged Security (CS) Security Information & Event Management Security Incident Response & Remediation Management Forensic & Incident Response Tooling Operations Layer Containment, Clean-up, Eradication, Disruption, Remediation IT events OT events Physical events Physical Security (PS) Blueprint: Maps domains and sub-domains into layers and identifies key flows between them Controls Layer © Copyright 2016 Hewlett Packard Enterprise Development LP 21 まとめ ■サイバー脅威の急激な増大を認識し、IoTへ脅威が広がること を認識する。 ■ライフサイクルの長さや、メンテナンスを鑑みて、IoTデバイス のアプリケーション診断などのOT周りは、すぐに始める。 ■システム全体のアーキテクチャおよびフルライフサイクルによ るトータルセキュリティモデルで考えていく。 Thank you! 23 HPEのグローバルリーディングソリューションと包括アプローチ 1.リサーチ 2.侵入 1. 脅威インテリジェンス 2. 侵入防御 • HPEセキュリティリサーチ • Threat Centroal • 境界(FW/IPS)、Web(HPE Fortify) • 認証(HPE IceWall, HPE Aruba ClearPass) 3.探索 5.退却 5. 対応/回復 3. 早期検知 • HPEコンサルティングおよびサービス • エンドポイントセキュリティ • リアルタイム相関分析(HPE ArcSight) 4.窃取 4. データ保護 • データ暗号化(HPE Atalla/HPE Voltage) • データリカバリ(バックアップ/DR) ご参考:HPEのIoTモデル構成例1 エッジ環境 センサー 監視カメラ ゲートウェイ Edgeline EL20 ストリーミング MQTT メッセージ変換 プロトコル変換 HEMS スマートメーター 行動履歴 プッシュ広告 死活監視 802.11ac 無線 LAN/ビーコン ストリーム処理 (CEP/リアルタイム) ビッグデータ分析 機械学習 ® Flume or Fluentd 業務 システム SAS Visual Analytics Predictiv e Analytic s Kafk a 外部 サービス クラウド または オンプレミス セキュリティ クラウド、モバイル、IoT 統合認証基盤 (位置認証 / IoTデバイス認証 /本人認証・認可 / シングルサインオン / Federation etc.) CONFIDENTIAL 25 HPEトータルセキュリティモデルにおける課題と対策ポイント 新しいポリシー、外部専門家を組み入れた人材(組織)、外部脅威インテリジェンス を活用する技術、のベストトライアングルによる次世代セキュリティモデルが必要。 End to End Technology 脅威 インテリジェンス ゼロデイ 脆弱性は? 技術/ツール 外部攻撃 内部犯行 早期検知/ 対応は? Process ポリシー システムプロセス 内外の環境変化 からポリシーの 見直しの時期 ヒューマンプロセス People スキルやリソース不足 で自社だけでは困難 組織/教育 Managed Security Service 統合ログ 人の脆弱性は? アウトソース サービス ユーザー ヘルプ デスク SOC レスポンス (CSIRT) エグゼクティブ 運用 その他 グローバルに広がる HPE のセキュリティ体制と経験 10 セキュリティ オペレーション センター UK Toronto Germany Virginia Bulgaria Texas India Global SOC Regional SOC Costa Rica Malaysia Australia 監理している セキュリティ機器 HPEが保護している ユーザアカウント HPE MSS顧客 HPEセキュリティ製品顧客 HPEセキュリティ専門家 180万以上 4700万 1000以上 10000以上 5000+