...

協賛講演1: 「IoTセキュリティレポートによる課題と

by user

on
Category: Documents
25

views

Report

Comments

Transcript

協賛講演1: 「IoTセキュリティレポートによる課題と
CSA Japan Summit 2016
IoTセキュリティレポートによる課題と
セキュリティライフサイクルアプローチ
2016年5月24日
日本ヒューレット・パッカード株式会社
ITアシュアランス&セキュリティ
ジャパンカントリーリード兼セキュリティエバンジェリスト
増田 博史
本日のAgenda(25分間)
1.世界の脅威動向
2.IoTセキュリティにおける主な課題と取り組み方
(特にIoTエンドポイント/デバイス周り)
1.世界の脅威動向
3
よく聞く声(悩みや課題)
IE/Heartbleed/shellshock等の脆弱性、ベネッセ内部犯行、オンライン不正送金、
サイバーセキュリティ基本法、年金機構攻撃被害、マイナンバー、
2020東京オリンピックetc.....
セキュリティは、やらなければいけないが・・・
何を、どこまでやればいいのか?
HPEが提唱する危機管理の考え方
認識
予測
学習・共有
準備
対応
12
兆円
サイバー脅威のブラックマーケット年間市場規模(全世界)
Sources:
2 Ponemon Institute: Enterprise Security Benchmark Survey, November 2012
増大する攻撃者たち
攻撃
者
ハクティビズム
動機
サイバー犯罪
知的財産
国家/組織
地政学的
テロリズム
信仰・信奉
ブラックマーケット
金銭
社会・政治・環境等
ブラックマーケットと攻撃ライフサイクル
1.リサーチ
2.侵入
標的の調査
ハッキングによる侵入攻撃
$$$$$$$$$$$
5.退却
データの破壊や持ち出し
金銭化
情報やデータの売買
4.窃取
データの取得
3.探索
内部環境のマップ作成
ご参考:Economist.comによる米国のデータ侵害における調査結果(2015)
データ侵害のタイプで、2010年頃から
ハッキングが圧倒的に増えている
流出データの割合は、カード番
号やソーシャルセキュリティナン
バが約半数だが、他が増加中
2. IoTセキュリティにおける
主な課題と取り組み方
(特にIoTエンドポイント/デバイス周り)
10
IoTの価値とリスク
サイバー
フィジカル
IT
OT
Confidentiality
Integrity
Availability
+
Safety
価値
=
・データ量
・デバイス数
リスク
HPEが考えるIoTセキュリティのための3つの柱
Trusted Products
Products
Trusted
安全なハード/ソフト製品
で構成される全体像
Process
Process
Security By Design
Security
By Design
データやシステムのフロー
ユーザフロー
企画設計からフルライフ
サイクルのセキュリティ
別途ご紹介
展示ブース /
仮想化
IoTクラウド/プラットフォーム
通信
エッジコンピューティング
本講演
IoTエンドポイント
Data, Applications, Communication, Users
IoTの主な機能ブロック
IoTプラットフォーム
HPEのIoTセキュリティリサーチレポート
IoTデバイスの70%に攻撃に対する脆弱性
IoTデバイスあたりでは平均25件の脆弱性
リサーチ対象:
最も普及しているIoT端末10種(ス
マートテレビ、ウェブカメラ、サーモ
スタット(温度計)、リモート電源管理、
スプリンクラー制御装置、ドアロック、
住宅用警報機、ガレージ開閉機等)
2014
•デバイスの80%が、1234のような容易に推測できるパスワードを
許容しています。
•デバイスの80%が、プライバシー上の問題となりうる情報を収集し
ている。(名前,Emailアドレス,自宅住所,生年月日,クレジットカー
ド番号,健康情報等)
•デバイスの70%が通信を暗号化していない。ソフトウェアアップ
デートの取得に暗号化を利用していないデバイスが60%存在した。
HPEがリードしたOWASP IoT Project/OWASP IoT Security Top 10
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
※IPA「「IoT開発におけるセキュリティ設計の手引き」がOWASP Top 10 IoT脆弱性を参照
http://www.ipa.go.jp/security/iot/iotguide.html?utm_source=dlvr.it&utm_medium=twitter
HPEのDaniel MiesslerがOWASP Iot
projectのリーダーとして、OWASP IoT セ
キュリティTop10を発表しました。(2014)
IoTデバイスにおけるセキュリティ上の問題 - トップ10
1. 安全ではないWebインターフェイス
2. 不十分な認証
3. 安全ではないネットワークサービス
4. 暗号化されていない通信
5. プライバシーに関する懸念
6. 安全ではないクラウドインターフェイス
7. 安全ではないモバイルインターフェイス
8. 不十分なセキュリティ設定機能
9. 安全ではないソフトウェア
10. 物理的なセキュリティ脆弱性
クラウドサービス型アプリケーションセキュリティサービス
Fortify on Demand の概要イメージ(for OWASP IoT)
お客様
日本語ポータルサイト
HPE
or http://...
ソースコード/URL
のアップロード
修正/対応
Webやアプリケーション
静的解析
(ソースコード・
バイナリファイル
の解析)
・ぜい弱性診断の実施
・診断結果の精査
・レポートの作成
・診断結果の参照
・レポート出力
HPE
エンジニア
動的解析
(外部からのペネトレー
ションテスト)
IoTの仕組み/フロー概要
セキュアで継続的変化に対応できる仕組みへのトランスフォーメーションが重要。
外部システム
様々な”Things”
連
携
外部データ
参
照
外部利用者
利
用
データ収集・認識・分析
装置
データ
端末
情報やサービス
インサイト
自動リアルタイム分析と
迅速なリアクション
データ活用者
“IoTシステム”
装置・設備系、人間系への施策(ループバック)
暗号化は重要だが・・・中の監視ができないことやパフォーマンスの課題も。
→ データのフォーマットを維持した暗号化および無害化(FPE/SST)
Format-Preserving Encryption
(フォーマット維持暗号化)
暗号化例:数字16桁の場合
1234 5678 9012 3456
NIST SP800-38G
(AES Encryption FFX Mode)
FPE暗号
復号可能
元データ
Secure Stateless Tokenization
(トークナイゼーション)
トークン化例:数字16桁の場合
1234 5678 9012 3456
元データ
5361 9239 2408 6281
フォーマットを保った暗号化
※9から17桁の数字のみ
トークン化
不可逆
5361 9239 2408 6281
トークン化
HPE Voltage SecureData FPE活用事例 – 高級車向け車載コンピュータ
データを匿名化する事でクラウド利用による外部攻撃のリスクを最小化します。
Comp ID: ATL20501245882
GPS: $GPRMC,085120.307,A,3541.1493,N,13945.3994,E,000.0,240.3,181211,,,A*6A
Speed: 82 mile
Pedal 1: 75
Pedal 2: 00
Pedal 3: 00
Temperature: 71.6
…..
車載コンピュータ支援 クラウドシステム
車載コンピュータ
例1
Comp ID: DRM81473519365
GPS: $XWTJA,247354.194,D,6173.2618,R,61472.4821,Y,372.1,752.4,363572,,,G*5F
Speed: 50 mile
Pedal 1: 91
Pedal 2: 47
Pedal 3: 36
Temperature: 20.4
…..
Voltage
変換前データ
変換
変換後データ
データベース
情報収集システム
例2
Voltage
変換
変換後データ
変換後データ
情報収集システム
データベース
ご参考:IoTの仕組み - 主な機能ブロック
外部システム連携、
外部データ参照
IoTシステム
セキュリティ
セキュリティ
デバイス
(データ感
知)
•機器
•設備
•機器
•人
•設備
•・・・・・
•人
•・・・・・
データ
セキュリティ
外部利用者
(データ、サービス)
アプリケーション開発
外部システム連携
データ 分析
通信
ディープ
リアルタイム
•広域・限定域
収集・
分析とリアクション 分析
•有線・無線
認識
IoTインフラ
監視・管理・運用自動化
ご参考:HPEサイバーリファレンスアーキテクチャ概要
Cyber Defense blueprint example
Asset
Management
Strategic Layer
Strategy,
Leadership
& Governance
(SLG)
Risk & Compliance
Management (RCM)
Security Resilient
Architecture (SRA)
Resilient Workforce (RW)
Actionable Sec &
Threat Intelligence
Security
Analytics
Context & Behavior Layer
Threat
Intelligence &
Profiling
Digital
Investigation &
Forensics
Vulnerability
Management
Threat Sources Layer
Intelligence Layer
Correlated events
Cyber Defense (CD)
Security & Operations Management (SOM)
Identity &
Data
Infrastructure
Access
Applications
Protection &
& Network
Security (AS)
Management
Privacy (DPP)
Security (INS)
(IAM)
Converged Security (CS)
Security
Information &
Event
Management
Security Incident
Response &
Remediation
Management
Forensic &
Incident
Response
Tooling
Operations Layer
Containment, Clean-up, Eradication,
Disruption, Remediation
IT
events
OT
events
Physical
events
Physical Security (PS)
Blueprint: Maps domains and sub-domains
into layers and identifies key flows between them
Controls Layer
© Copyright 2016 Hewlett Packard Enterprise Development LP
21
まとめ
■サイバー脅威の急激な増大を認識し、IoTへ脅威が広がること
を認識する。
■ライフサイクルの長さや、メンテナンスを鑑みて、IoTデバイス
のアプリケーション診断などのOT周りは、すぐに始める。
■システム全体のアーキテクチャおよびフルライフサイクルによ
るトータルセキュリティモデルで考えていく。
Thank you!
23
HPEのグローバルリーディングソリューションと包括アプローチ
1.リサーチ
2.侵入
1. 脅威インテリジェンス
2. 侵入防御
• HPEセキュリティリサーチ
• Threat Centroal
• 境界(FW/IPS)、Web(HPE Fortify)
• 認証(HPE IceWall, HPE Aruba ClearPass)
3.探索
5.退却
5. 対応/回復
3. 早期検知
• HPEコンサルティングおよびサービス
• エンドポイントセキュリティ
• リアルタイム相関分析(HPE ArcSight)
4.窃取
4. データ保護
• データ暗号化(HPE Atalla/HPE Voltage)
• データリカバリ(バックアップ/DR)
ご参考:HPEのIoTモデル構成例1
エッジ環境
センサー
監視カメラ
ゲートウェイ
Edgeline EL20
ストリーミング
MQTT
メッセージ変換
プロトコル変換
HEMS
スマートメーター
行動履歴
プッシュ広告
死活監視
802.11ac 無線
LAN/ビーコン
ストリーム処理
(CEP/リアルタイム)
ビッグデータ分析
機械学習
®
Flume
or
Fluentd
業務
システム
SAS
Visual
Analytics
Predictiv
e
Analytic
s
Kafk
a
外部
サービス
クラウド または オンプレミス
セキュリティ
クラウド、モバイル、IoT 統合認証基盤
(位置認証 / IoTデバイス認証 /本人認証・認可 / シングルサインオン / Federation etc.)
CONFIDENTIAL
25
HPEトータルセキュリティモデルにおける課題と対策ポイント
新しいポリシー、外部専門家を組み入れた人材(組織)、外部脅威インテリジェンス
を活用する技術、のベストトライアングルによる次世代セキュリティモデルが必要。
End to End
Technology
脅威
インテリジェンス
ゼロデイ
脆弱性は?
技術/ツール
外部攻撃
内部犯行
早期検知/
対応は?
Process
ポリシー
システムプロセス
内外の環境変化
からポリシーの
見直しの時期
ヒューマンプロセス
People
スキルやリソース不足
で自社だけでは困難
組織/教育
Managed
Security
Service
統合ログ
人の脆弱性は?
アウトソース
サービス
ユーザー
ヘルプ
デスク
SOC
レスポンス
(CSIRT)
エグゼクティブ
運用
その他
グローバルに広がる HPE のセキュリティ体制と経験
10
セキュリティ
オペレーション
センター
UK
Toronto
Germany
Virginia
Bulgaria
Texas
India
Global SOC
Regional SOC
Costa Rica
Malaysia
Australia
監理している
セキュリティ機器
HPEが保護している
ユーザアカウント
HPE MSS顧客
HPEセキュリティ製品顧客
HPEセキュリティ専門家
180万以上 4700万 1000以上 10000以上 5000+
Fly UP