- yousukezan
- 5971
- 17
- 3
- 4
#cchanabomemo #sccs2017 IoT ネットで管理の水処理システムに不備 病院などで使用 インターネットを通じて管理されていた災害時などに水を供給するシステムに不備があ... nhk.or.jp/kabun-blog/200… これ、懐かしい(もう?
2017-05-25 14:04:492016 年以降セキュリティ設定の不備に起因する事件から、マルウェアに起因する事故が増えて来た。 #sccs2017
2017-05-25 14:05:02議論の前提知識 ・IoT といっても多様(産業機器のセキュリティと車載システムを同一に論じるのは難しい) ・関係者が多数(責任分界点) ・時間軸の問題(EoL / サプライチェーンの問題) ・CIA だけでなく「安全性」の確保も重要 #sccs2017
2017-05-25 14:08:18その他の課題: ・データセンターだけでなく、一般家庭にむき出し状態で配置される(スマートメータなど。どこからでも攻撃される) ・通信量の大幅な増加 ・ベンダーロックイン(データを保有する物が市場支配力を持つ) #sccs2017
2017-05-25 14:09:45安全なIoTシステムのためのセキュリティに関する一般的枠組 nisc.go.jp/active/kihon/r… #sccs2017
2017-05-25 14:10:26NISC における基本原則: - 多岐にわたるシステムの特性ごとに対応を検討 - 安全性の確保 - 機能保証 - 安全確保水準の明確化(法令、慣習) - 障害発生時の迅速なサービス復旧 - 責任分界点、情報の所有権の明確化 #sccs2017
2017-05-25 14:13:07#sccs2017 nisc.go.jp/active/kihon/p… NISC「安全なIoTシステムのためのセキュリティに関する一般的枠組み
2017-05-25 14:13:32IoTセキュリティガイドラインを策定しました meti.go.jp/press/2016/07/… #sccs2017
2017-05-25 14:13:59CCDS、製品分野別セキュリティガイドラインv1.0 ccds.or.jp/public_documen… #sccs2017
2017-05-25 14:15:26IoT セキュリティガイドライン - ver 1.0(総務省) soumu.go.jp/main_content/0… 既存製品をどうするか、今後の製品についてどうするかの2段階で考え方を示す。 #sccs2017
2017-05-25 14:16:23#sccs2017 サイバーセキュリティタスクフォースが4月に出したやつ soumu.go.jp/main_content/0… (そういえば読んでたわ)
2017-05-25 14:16:23IoT のステークホルダ: メーカー(設計・製造者) > 販売・輸入業者(流通)> 電気通信事業者(媒介者) > エンドユーザー(法人・利用者) 関係者が複数・多様であり、セキュア・バイ・デザインの啓発活動を多層防御的に各層に組み込んでいく必要がある。 #sccs2017
2017-05-25 14:19:21通信の秘密: 電気通信事業者が、例えばエンドユーザーの「見守りサービス」を提供しようと思うと問題になる。約款で同意を取ったり、付随サービスとして有力サービスとして提供するなどの対策を検討している。 #sccs2017
2017-05-25 14:20:49多層防御を組み込む上での課題: ・誰が費用を負担するのか。製品価格に転居するだけでは競争力に欠ける。 ・野良 IoT。使用終了後の IoT 機器が放置されたり、管理がされていない機器による攻撃をどう考えるか。 #sccs2017
2017-05-25 14:22:38多様性への配慮: - 使用性(高齢者への使いやすさ)と「セキュリティ・バイ・デザイン」の兼ね合い - ベンダーへの認証(セキュアな機器を作るベンダーを「認定」し野良 IoT を減らす) - 継続的な検査の仕組みづくり(車の車検のような仕組みをIoTへ) #sccs2017
2017-05-25 14:26:34時間軸の問題: HW は PL 法の対象になるが、SW は対象にならない。組み込み系のSWはPL法の対象になり10年間は「無過失責任」を負う。現実としてネット家電を「3年」で捨てる人は少なく、セキュリティアップデートを適用し続ける形は容量的にも向かない。 #sccs2017
2017-05-25 14:33:44場合によっては、ユーザーが自らネットから切断して、普通のネット加減として使えるようにすべきでは。ネットに繋がる冷蔵庫はユーザーが5年でネットから隔離し、普通の冷蔵庫として使えるようにする。 #sccs2017
2017-05-25 14:35:13IoTセキュリティ対策の法的側面 soumu.go.jp/main_content/0… 時間軸の話は岡村先生がこちらでまとめてくださっています。 #sccs2017
2017-05-25 14:36:38ベネッセ様の個人情報漏えい事案の時にも、セキュリティ水準論は話題になっていたなぁ。 #sccs2017
2017-05-25 14:38:08SQLインジェクション対策もれの責任を開発会社に問う判決 blog.tokumaru.org/2015/01/sql.ht… #sccs2017
2017-05-25 14:39:45責任境界論の問題: - HW/SW のバグ - 脆弱性 - データの誤り - 通信途絶 ↑ 提供者側の契約責任の問題 ↑ - 整備不良 - 道路の欠陥 保険のあり方も難しい。SWの「車検」も必要では? #sccs2017
2017-05-25 14:44:06自動ブレーキ作動せず衝突 全国初の事故 試乗客に「踏むの我慢」と指示 headlines.yahoo.co.jp/hl?a=20170414-… 逮捕はされない物の「刑事事件」になった。 #sccs2017
2017-05-25 14:45:40消費生活用製品安全法 meti.go.jp/product_safety… IoT機器もこれらの法律を参考にするのが良いのでは? #sccs2017
2017-05-25 14:46:57