Comments
Description
Transcript
公開 - 組込みシステム技術協会
IoT技術検討会 センシングデータのリスク に関するメモ 2016/12/16 JASA/IoT技術研究会事務局 © 2016 JASA & IPA IoT時代のデータセキュリティの取組み状況 つながる世界の開発指針(IPA) IoTを構成する機器やシステムが対象 それらが集めたり、送信したりするデータに関しては対象外(今後) IoTセキュリティガイドライン(総務省、経済省、IoT推進コンソーシアム) IoT全体を対象とするが、データに関しては対象外 個別分野 IoTの「データ」セキュリティに関しては、ガイドラインは見つからず ただし、セキュリティガイドラインは作成されている分野もあり、その中 に含まれている可能性あり © 2016 JASA & IPA 1 電力量センシングデータのリスク © 2016 JASA & IPA スマートメーターのセンシングデータ流通可能性 Bルートに提供されるデータはHEMSなどに利用可能 精度が高く、 30分値のほかリアルタイム値(現在値)も提供可能 A・Cルートのデータは30分値のみ 家庭の属性情報もセットにすれば、メリット大 業者がとりまとめて、または 個人が直接、センサデータ 流通市場で販売する可能性 出典:第14回スマートメーター制度検討会資料に加筆 © 2016 JASA & IPA 3 電力データのイメージ センシングデータの付加価値を高めて流通市場で提供。 提供データ例 電力使用量(30分値、リアルタイム値) 取得方法(例) スマートメーターからデータ取得 個別電力使用量 クーラー等、電力消 費量が大きいもの HEMSや高機能分電盤からデータ取得 メタデータ 日付、時間、他 電力使用量の属性データ 郵便番号 世帯属性データ 世帯構成(人数、家 族構成等) 世帯代表者による登録 戸建て/マンション 付加データ その他オプション © 2016 JASA & IPA 気温、天候等 気象庁公表データを参照して付加 データ利用者のリクエストに応じたデータ 4 スマートメーターのセキュリティガイドライン 経済産業省資料では、スマートメーターの不正制御が主要な課題 省エネのための開閉機能(デマンドレスポンス)で停電攻撃のリスク 出典:経済産業省「電力分野におけるサイバーセキュリティ対策について」 平成27年7月、経済産業省はスマートメーター制度検討会セキュリ ティ検討ワーキンググループ(WG)報告書を公表 http://www.meti.go.jp/press/2015/07/20150710001/20150710001.html 日本電気協会からスマートメーターセキュリティガイドライン発売 具体的なセキュリティ対策ではなく、方針を示すもの © 2016 JASA & IPA 5 スマートメーターのセキュリティ 電気代をごまかすための電力メータの不正改造はよくある模様 ラブホテル電気メーターに細工、4万円分電力を不正使用 http://www.sankei.com/west/news/160325/wst1603250044-n1.html 旧電力量計は機械式のため、細工が容易 回転を遅くする、配線する、etc. ただし、検針員が発見しやすい スマートメーターの場合、不正改造よりは 直接盗電の方が容易? 出典:TDKテクマグ 「第43回メータ(計器)と磁石の巻」 検針員が不要になるので、発見されにくい 出典:三菱電機株式会社「スマートメーターを用いた盗電検知システムの開発」 © 2016 JASA & IPA 6 電力量センシングデータのセキュリティ(個別) IPA「IoT開発におけるセキュリティ設計の手引き(2016)」では、 HEMSの脅威として「ウイルス感染」を挙げている ウイルスは、情報漏えい/改ざん、踏み台など様々な被害をもたらす データ流通の観点では、 全体としては、データの改ざんによる業務妨害など 個別には、「留守状況の把握→空き巣」の被害など ウイルス感染 スマート メーター 使用電力量 データ 無線 (Wi-SUN等) HEMS (Home Energy Management System) ウイルス感染 ホーム ゲートウェイ インター ネットへ 情報漏えいや踏み台など © 2016 JASA & IPA 7 電力量センシングデータのセキュリティ(事業者) データ提供事業者が家庭のHEMSデータを収集・分析する場合、 ウイルス等により改ざんされたデータが分析データの品質を低下 対策としては、 ホームゲートウェイによる外部からの攻撃の遮断 HEMS端末のセキュリティ強化(脆弱性対策等) データ提供事業者側でのデータ妥当性チェック など ウイルス感染 © 2016 JASA & IPA 改ざんされた データが混在 データ提供 事業者 分析データの 品質が低下 センシング 無料提供 データ 流通市場 8 GPSデータのリスク © 2016 JASA & IPA ドローンセンシングにも有用なGPS GPSは米国が軍事目的で構築した測位システムで、1996年に民間 に開放、2000年には10倍の精度に向上(民生用機器で10m程度) © 2016 JASA & IPA 10 擬似GPS信号による攻撃 2011年、イランが米軍の無人機を偽のGPS信号で着地させ、確保 したと発表 妨害電波により、無人機と遠隔操縦システムとの接続を切断、GPSを 使用した自動操縦モードに移行させた GPS信号を頼りにアフガニスタンの基地に向かう無人機を偽のGPS信 号で誘導し、イラン国内に着陸させ、確保 米国は「故障によるもの」と発表 GPS 偽GPS (出典:http://www.csmonitor.com/World/Middle-East/2011/1215/Exclusive-Iran-hijacked-US-drone-says-Iranian-engineer を参考に作成) © 2016 JASA & IPA 11 GPSジャマーのよる妨害 営業や配送の社員がさぼっていないか、乱暴運転をしていないか、 監視するテレマティクスサービスが普及 車載機を取り付け、位置情報や速度情報を無線送信 GPSを取れなくする装置がネットで販売されている 1台数万円で、ハンディタイプもあり 他の無線にも悪影響を与える場合も GPS テレマティクスサーバ 運転者 GPS ジャマー テレマティクス車載機 © 2016 JASA & IPA 12 センシングデータのリスクのまとめ センシングデータの盗聴 センシングデータを収集するルート上でデータが盗まれる可能性 被害例:個人情報などが漏えい センシングデータの改ざん センシングデータを収集するルート上でデータが改ざんされる可能性 被害例:電気代のごまかし センシングデータ収集の妨害 センシングデータを収集するルート上で妨害が行われる可能性 被害例:GPSデータの受信妨害 センシングデータのなりすまし センシングデータを収集するルート上で別のデータにすり替えられる 可能性 ※データの改ざんではなく、偽のルートに切り替えるイメージ 被害例:GPSで誘導される移動体のルート変更 © 2016 JASA & IPA 13