Comments
Description
Transcript
IoTにおける脆弱性対策の進め方
IoTにおける脆弱性対策の進め方 ~既知の脆弱性対策のすすめ~ 独立行政法人情報処理推進機構 (IPA) 技術本部 セキュリティセンター 2015年11月18日 Copyright © 2015 独立行政法人情報処理推進機構 講義内容 1.組込み機器のセキュリティの脅威について 2.脆弱性関連情報の収集について 3.IPAが提供する脆弱性対策関連のサービス Copyright © 2015 独立行政法人情報処理推進機構 2 1.組込み機器のセキュリティの 脅威について Copyright © 2015 独立行政法人情報処理推進機構 3 組込み機器の今昔 ~繋がるモノ~ クラウド ・以前の組込みシステム ■スタンドアロンで動作 ■機械的な制御 ・現在の組込みシステム ■インターネットを含めた様々な ネットワークと接続して動作 ■クラウドの活用 ■ソフトウェア制御 ■個人情報や操作情報のような 機微な情報を含めた様々な情 報を扱う 自動車 モノのインターネット(Internet of Things : IoT) Copyright © 2015 独立行政法人情報処理推進機構 4 ビッグデータの時代へ ~繋がってしまうモノ~ 自動車 スマートフォン 電話帳、メール、写真、 動画、音楽、GPS情報、 オートロック機能、etc… 車速、ハンドル舵角 燃費、充電情報、 自動運転機能、etc… ゲーム機 各種アカウント、電子マネー コンテンツ、 プレイデータ、etc… ビッグデータ ユーザ情報、コンテンツ クレジットカード情報、 録画予約機能、etc… デジタルテレビ 利用者情報、健康状態、 各種設定情報、 制御機能、etc… スキャン情報、FAX情報、 ユーザ情報、 データ送信機能、etc… デジタル複合機 デジタルヘルス 組込みシステムが繋がっていく中では、機器同士が自律的に連携するな どして、情報だけでなく「機器の操作」も行われるようになってきている。 その為、これまでの情報漏えいや改ざん等への対策だけでは無く、利用 者の意図しない「機器の操作」を防ぐ対策も必要となる。 Copyright © 2015 独立行政法人情報処理推進機構 5 組込みシステムのライフサイクル ~ライフサイクルから見たセキュリティの脅威~ 製造メーカ 小売業者 リサイクル業者 ユーザ マネジメント 企画 開発 廃棄 運用 残存情報による 情報漏えい 企画書の漏洩 脆弱性のあるライ ブラリ利用、等 脆弱性を悪用した 改ざんや情報漏えい → 脆弱性情報の収集と対策実施が重要 ※本講演で説明をしている部分 Copyright © 2015 独立行政法人情報処理推進機構 6 脆弱性情報 事例1 ~車両移動を制御される脆弱性~ http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-003899.html Copyright © 2015 独立行政法人情報処理推進機構 7 脆弱性情報 事例2 ~監視用カメラにSQLインジェクションの脆弱性~ http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-003477.html Copyright © 2015 独立行政法人情報処理推進機構 8 脆弱性情報 事例3 ~bashの脆弱性対策について(CVE-2014-6271等)~ https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html Copyright © 2015 独立行政法人情報処理推進機構 9 脆弱性情報 事例4 ~オフィス機器をインターネットに接続する際の注意点~ https://www.ipa.go.jp/about/press/20131108.html Copyright © 2015 独立行政法人情報処理推進機構 10 2.脆弱性関連情報の収集 Copyright © 2015 独立行政法人情報処理推進機構 11 自組織に必要な脆弱性関連情報とは ~脆弱性対策情報、攻撃情報、脅威・動向の観点が重要~ 情報種別と活用例 対象情報 情報の意味合い 脆弱性対策情報 脆弱性の存在、対策の有 ・脆弱性の深刻度の調査 無を知る ・対策や回避策の実施 攻撃情報 実際の攻撃の有無、攻撃 ・対策の緊急度の検討 コードの公開状況を知る 脅威・動向 攻撃手法やセキュリティの ・自組織の対策状況の確認 動向を知る Copyright © 2015 独立行政法人情報処理推進機構 活用例 12 脆弱性関連情報の収集 ~外部の情報を収集し、自組織の対策に役立てる~ 脆弱性関連情報とは? 製品ベンダー ニュースサイト 注意喚起サイト 脆弱性 関連情報DB 攻撃情報 システム管理者 脆弱性対策を行う為に、対策の判断要素となる情報 Copyright © 2015 独立行政法人情報処理推進機構 13 製品ベンダーサイト ~使用している製品の脆弱性対策に~ ネットワーク、サーバ シスコ – セキュリティアドバイザリ http://www.cisco.com/cisco/web/support/JP/loc/security/index.html 日立 –セキュリティ情報 http://www.hitachi.co.jp/hirt/security/index.html セキュリティ シマンテック –セキュリティアップデート http://www.Symantec.com/ja/jp/security_response/securityupdates/list.jsp?fid=security_advisory オープンソース OpenSSL http://www.openssl.org/ Copyright © 2015 独立行政法人情報処理推進機構 14 ニュースサイト ~メディアが報道した情報を効率よく収集する~ 国内ニュースメディア CNET ニュース http://japan.cnet.com/news/ ITmedia エンタープライズ セキュリティ http://www.itmedia.co.jp/enterprise/subtop/security/index.html ITpro セキュリティ http://itpro.nikkeibp.co.jp/security/index.html 海外ニュースメディア ComputerWorld Security (米国中心) http://www.computerworld.com/category/security/ The Register Security (英国・欧州中心) http://www.theregister.co.uk/security/ Copyright © 2015 独立行政法人情報処理推進機構 15 注意喚起サイト (1) ~JPCERT/CCからの注意喚起~ JPCERT/CC 注意喚起 http://www.jpcert.or.jp/at/ 官公庁系を含めて国内で 広く参照されている 注意喚起の大半は、マイク ロソフト月例、Oracle、 Adobeに関する情報 Copyright © 2015 独立行政法人情報処理推進機構 16 注意喚起サイト (2) ~警察庁@police~ 警察庁:重要なセキュリティ情報 http://www.npa.go.jp/cyberpolice/ マイクロソフト、Oracle、 Adobe等の緊急度の高い 脆弱性情報を発信 定点観測情報等から攻撃 傾向などの情報を発信 不正アクセス事案などの情 報も発信 Copyright © 2015 独立行政法人情報処理推進機構 17 注意喚起サイト (3) ~IPAからの注意喚起~ IPA:重要なセキュリティ情報 https://www.ipa.go.jp/security/announce/alert.html JVNに掲載された情報 マイクロソフト、Oracle、 Adobe等の緊急度の高い脆 弱性情報を発信 攻撃の有無を掲載 ウェブサイト改ざん等の攻撃 の傾向について発信 Copyright © 2015 独立行政法人情報処理推進機構 18 脆弱性関連情報データベース (1) ~米国 : NISTが運用する元祖脆弱性対策データベース~ NVD(National Vulnerability Database) https://nvd.nist.gov/ 米国標準技術研究所 (NIST)が運営 CVE識別番号で管理され ている DB検索機能、統計機能 を備える 約73,000件の脆弱性対 策情報を登録 (2015年10月末時点) 情報は全て英語 Copyright © 2015 独立行政法人情報処理推進機構 19 脆弱性関連情報データベース (2) 米国 : 元祖CSIRT (*)が運用する脆弱性対策データベース (*)Computer Security Incident Response Team Vulnerability Notes Database http://www.kb.cert.org/vuls/ カーネギーメロン大学 (CMU)ソフトウェア工 学研究所(SEI)の CERT/CCが運営 世界で最初に設置され たCSIRTとして収集・発 見した数多くの情報を 公開 DB検索機能のほか、 CVE、CVSS、公開日、 更新日などで並び替え 可能 情報は全て英語 Copyright © 2015 独立行政法人情報処理推進機構 20 脆弱性関連情報データベース (3) ~国内外の脆弱性対策情報を日本語に翻訳して公開~ JVN (Japan Vulnerability Notes) http://jvn.jp/ JPCERT/CC、IPAが運営 情報セキュリティ早期警 戒パートナーシップ対応 の「脆弱性対策情報ポー タル」 国内製品開発者の対応 情報が掲載 海外のCERTから展開さ れる脆弱性関連情報も 掲載 Copyright © 2015 独立行政法人情報処理推進機構 21 脆弱性関連情報データベース (4) ~国内外の脆弱性対策情報を日本語に翻訳して公開~ 脆弱性対策情報データベース JVN iPedia http://jvndb.jvn.jp/ IPAが運営 国内ベンダーと連携をし、 脆弱性対策情報を公開 海外の脆弱性DB(NVD) の情報を日本語に翻訳 して公開 DB検索機能を備える 約57,000件の脆弱性 対策情報を登録 (2015年10月末時点) Copyright © 2015 独立行政法人情報処理推進機構 22 情報収集に役立つキーワードについて知ろう Copyright © 2015 独立行政法人情報処理推進機構 23 知っていますか?CVE, CWE, CVSS 効率的に進める為に有効なキーワード ・・・脆弱性を一意に識別する番号 ・・・脆弱性のタイプを体系的に分類 ・・・脆弱性の深刻度を評価する数値指標 脆弱性対策情報や注意喚起等でも使用 これらのキーワードの解説資料 https://www.ipa.go.jp/security/vuln/index.html#section18 Copyright © 2015 独立行政法人情報処理推進機構 24 CVEとは ~脆弱性に番号を割当て、一意に識別することを可能にする~ Common Vulnerabilities and Exposures (共通脆弱性識別子) プログラム上のセキュリティ問題に一意の番号(CVE識別 番号)を付与して管理 CVE識別番号の構成 西暦 連番 連番は4桁から始まり、 必要に応じて拡張 CVE-2015-1000 CVE-2015-10000 CVE-2015-100000 世間で公表されている脆弱性に割り当てられた識別番号。 脆弱性を一意に特定することを可能とする Copyright © 2015 独立行政法人情報処理推進機構 25 CVEとは ~採番方法の仕組み~ CVEの採番方法 新規脆弱性ごとにMITRE 社(*)に申請、または MITRE社に認定されたCNA(CVE Numbering Authority、 CVE 採番機関)から割り当てを受ける Primary CNA MITRE Corporation CVE 日本 Apple Inc. Adobe Systems Incorporated Microsoft Corp. Oracle CVE 番号群 CVE 番号群 CVE 番号群 CVE 番号群 ・・・ JPCERT/CC CVE 番号群 ソフトウェアベンダや第三者調整機関など計22組織 参考URL) http://cve.mitre.org/cve/cna.html (*)MITRE Corporation:米国政府向けに技術支援や研究開発を行う非営利組織 Copyright © 2015 独立行政法人情報処理推進機構 26 CWEとは ~脆弱性のタイプを体系立てて分類~ Common Weakness Enumeration (共通脆弱性タイプ一覧) 脆弱性を種別ごとに分類 CWE 番号体系 https://www.ipa.go.jp/security/vuln/CWE.html Copyright © 2015 独立行政法人情報処理推進機構 27 CVSSとは ~脆弱性の深刻度を数値化~ Common Vulnerability Scoring System (共通脆弱性評価システム) 脆弱性の深刻度を0.0~10.0のスコアで評価 深刻度 レベルⅢ(危険) レベルⅡ(警告) レベルⅠ(注意) CVSS値 7.0~10.0 4.0~6.9 0.0~3.9 脆弱性の深刻度を表すバロメータとして、CVSSが活用 されている ※上記はCVSSv2の場合です。CVSSv3は上記と異なります。 Copyright © 2015 独立行政法人情報処理推進機構 28 3.IPAが提供する脆弱性対策関連の サービス Copyright © 2015 独立行政法人情報処理推進機構 29 時間とともに増えるリスク ~時間と共に情報システムが攻略されるリスクが増大~ 脆弱性は、日々公開されており、そのままにすると 時間と共に情報システムの安全性が低下する Copyright © 2015 独立行政法人情報処理推進機構 30 日々公表されている脆弱性情報 ~公式な脆弱性だけで年間約5,200件を公開~ 累計56,475件 (2015年9月末) 月平均 5,000約430件 4,000 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの 51,499 累計件数(右目盛り) 70,000 53,235 54,714 56,475 60,000 50,000 四 3,000 半 期 2,000 件 数 1,000 46,860 48,427 40,000 累 計 30,000 件 20,000 数 10,000 0 2007/4/25 公開開始 0 2Q 2014 3Q 2014 4Q 2014 1Q 2015 2Q 2015 3Q 2015 図1-1. JVN iPediaの登録件数の四半期別推移 IPA「脆弱性対策情報データベースJVN iPediaの登録状況 [2015年第3四半期(7月~9月)]」 https://www.ipa.go.jp/security/vuln/report/JVNiPedia2015q3.html Copyright © 2015 独立行政法人情報処理推進機構 31 優先度をつけて対策する ~脆弱性の持つ危険度・緊急性を見極めよう~ 脆弱性対策情報(全件) ①自組織で利用しているソフトウェア (対策すべき最大範囲) ②CVSSの深刻度が高い 危険度・緊急性で 優先度を絞り込み ③攻撃に悪用される 可能性が高い 被害を防ぐ為には、危険度・緊急性の高い 脆弱性を解消していくことが重要 Copyright © 2015 独立行政法人情報処理推進機構 32 ① 利用している全ソフトウェアに対策 ~自組織で利用しているソフトウェアの情報を収集~ 自組織で利用しているソフトウェア全てに対策 ③対策の実施 ②脆弱性対策情報の日々 の収集 ①使用している ソフトウェアのリスト化 最もリスクを低減できる確実な方法 対策に掛かるコストを考慮しておく必要あり Copyright © 2015 独立行政法人情報処理推進機構 33 ① 利用している全ソフトウェアに対策 <活用ツール>MyJVN 脆弱性対策情報収集ツール MyJVN 情報収集ツールを使い必要な情報のみ収集 http://jvndb.jvn.jp/apis/myjvn/mjcheck.html (Adobe Flash) http://jvndb.jvn.jp/apis/myjvn/mjcheck3.html (Adobe Air 機能拡張版) 収集対象のソフトウェア を登録しておく 登録した対象ソフトウェアの 脆弱性対策情報のみ表示 Copyright © 2015 独立行政法人情報処理推進機構 34 ② 深刻度の高い脆弱性に限定 ~深刻度の高い脆弱性に限定した収集~ 技術的な深刻度が高い脆弱性に限定した対策 対象 危険大 危険中 危険小 脆弱性と言っても、引き起される事象は様々 インターネット越しにリモートコントロールできる・・・危険大 ローカル環境でパソコンをフリーズさせる i・・・危険小 深刻度が高い物に限定することで、コスト削減 リスクが残る点は、認識しておく必要あり Copyright © 2015 独立行政法人情報処理推進機構 35 ② 深刻度の高い脆弱性に限定 ~深刻度の高い脆弱性に限定した収集~ JVN iPediaにおける深刻度の記載 http://jvndb.jvn.jp/ Copyright © 2015 独立行政法人情報処理推進機構 CVSSに基づく、脆弱 性の技術的な危険度 (CVSS基本値)を記載 36 ③ 攻撃が発生している脆弱性を対策 <活用ツール> IPA「重要なセキュリティ情報」 「重要なセキュリティ情報」とは(抜粋) https://www.ipa.go.jp/security/announce/about.html Copyright © 2015 独立行政法人情報処理推進機構 37 ③ 攻撃が発生している脆弱性を対策 <活用ツール> IPA「重要なセキュリティ情報」 重要なセキュリティ情報の活用 https://www.ipa.go.jp/security/announce/alert.html https://www.ipa.go.jp/security/rss/alert.rdf 重要なセキュリティ情報は、Twitter(@ICATalerts)でも確認可能 Copyright © 2015 独立行政法人情報処理推進機構 38 ③ 攻撃が発生している脆弱性を対策 <活用ツール>サイバーセキュリティ注意喚起サービス サイバーセキュリティ注意喚起サービス「icat」 https://www.ipa.go.jp/security/vuln/icat.html IPAが発信する「重要なセキュリティ情 報」をリアルタイムに同期できます 社内のポータルサイトなどにHTMLタ グを埋込んでご利用ください 利用時に埋め込むHTMLタグは以下 <script type="text/javascript" src="//www.ipa.go.jp/security/announce/ICATalerts.js"> </script> Copyright © 2015 独立行政法人情報処理推進機構 39 最後に 脆弱性対策は日々の情報収集と迅速 な対策実施が重要です。 本資料で記載したIPAサービスはすべ て無償で利用可能です。ぜひ脆弱性 対策の促進や普及啓発などにご活用 ください。 Copyright © 2015 独立行政法人情報処理推進機構 40 ITパスポート公式キャラクター 上峰亜衣(うえみねあい) 【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html 「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。 Copyright © 2015 独立行政法人情報処理推進機構