Home > 委員会活動 > 技術本部 > 安全性向上委員会 > 情報セキュリティ研究会

委員会活動 技術本部 安全性向上委員会
情報セキュリティワーキンググループ(JESEC-WG)

 

[WG 主査]

牧野進二

株式会社日立産業制御
ソリューションズ

 
 

DSCF0002

[監修]

三輪一義

ISMSコンサルタント

1. WG活動

 我が国の中小企業の情報セキュリティ対策は、遅々として進んでいないと言われている。その理由は、いろいろ考えられるが、ITリテラシーが普及していないことやコストがかかること等が最大の障壁になっていると思われる。
 一方最近のサイバー攻撃は、古いサーバーや未対策のPCを踏み台にして、大規模組織や行政機関に入り込み重要な機密情報や金融情報、個人情報を盗み出し、場合によってはネットを麻痺させてしまう。
 さらに、ここ数年の注目すべき課題としてStuxnetに代表される組込み系マイコンに侵入するマルウェア対策が大きな課題となっている。これも政府や大手制御システムメーカーが連携して対策に乗り出しているが、中小組織といえども、知らない間にサイバー犯罪を手助けし、顧客や一般市民に多大な迷惑をかけることも大いにありうることに留意すべきである。
このような状況の中、中小組織でも取り組みやすい、自組織のセキュリティレベルの簡易な診断方法やサイバー攻撃対策ツールなどを研究・開発するための研究会を設立し、都内及びその近郊に所在する中小規模の組織のセキュリティ対策の推進に貢献していく。

2. 活動概要(2019年度の事業方針:事業予算案)

・セキュリティテストでの脆弱性の検出方法の調査
・デバイス認証に関する調査
・セキュリティスキルの定義
・セキュリティ教育のコンテツ作成
・WG活動
・外部組織での発表、情報交換、セミナー活動

3. 活達成目標(完了条件)

(1)セキュリティテストでの脆弱性の検出方法の調査
IoTデバイスを選定し、OSSのセキュリティテストツールを用いて、IoTデバイスの脆弱性を検出する方法を調査する。
調査した結果は、組込み開発時のプロセスでの活用方法に関しての定義をする。

(2)デバイス認証に関する調査
   2018年度に行った、Block chainを利用したデバイス認証基盤において、IoTデバイスの改ざん検知ができることを実証実験にて、証明をする。Block Chainの活用に関するレポートを纏める。

(3)セキュリティスキルの定義
 セキュリティ設計におけるスキルセットを定義し、組込み技術者が持たなければならないセキュリティスキルを定義する。

(4)セキュリティ教育のコンテンツ作成
  1、2、3成果を使って、組込み技術者向けのセキュリティ教育用のコンテンツを作成し、セキュリティ教育のセミナーを実施する。

(5)WG会議
  月1回のWGを実施し、1~4のテーマに関しての議論を実施する。

(6)外部組織での発表、情報交換、セミナー活動
  日本自動システム協会での発表や、2のテーマに関して、情報交換を実施し、共同でできる部分を模索していく。
都立産業技術研究センターとの共同のセミナーを開催し、中小企業向けのセキュリティ啓発活動をする。

4.1年目の目標

(1)セキュリティテストでの脆弱性の検出方法の調査
(2)デバイス認証に関する調査
(3)WG会議
(4)外部組織での発表、情報交換、セミナー活動
  上記の活動を通じて、セキュリティテストの手法、デバイス認証に関する手法を調査し、WG会議での情報共有を行う。デバイス認証に関する調査については、外部組織 日本自動認識システム協会との共有を行い、活用方法に関しての情報共有を行う。都産技研との共同セミナーによる中小企業向けのセキュリティ啓発活動を実施する。

5.各事業計画

【事業№1】委員会開催
・毎月 第二木曜日、年12回(都内)の開催
・都産技研との共同開催を行い、都産技研とのセキュリティ啓発活動をする。

【事業№2】OSSセキュリティテストによる脆弱性の検出方法調査
OSSセキュリティテストツールの選定を行い、IoTデバイスの脆弱性の検出方法を調査し、調査結果を組込み開発のプロセスに提供できるようにする。
・OSSにて配布されているセキュリティテストツールの選定を行い、セキュリティテストツールの特徴、利用方法を纏める。
・IoTデバイスの実機を使い、OSSセキュリティテストツールにて脆弱性診断を行う。
・脆弱性診断結果を基にした、組込み開発におけるテスト関連のプロセスを纏める。

【事業№3】デバイス認証に関する調査
IoTデバイスをネットワーク上で利用するにあたり、IoTデバイスがネットワークに接続したこと認証し、正当なIoTデバイスであることが証明できる手順を調査する。
・IoTデバイスに正当なデバイスIDを自動的に付与できる仕組みの調査をする。
・IoTデバイスが脆弱性を突かれて、マルウェアなどの侵入されたことを検知し、正常な状態に戻すための認証方法を調査する。
・調査結果を基に、実証実験にてデバイス認証の正当性を確かめる。

【事業№4】セキュリティスキルの定義
組込み技術者がセキュリティに対するスキルを調査し、技術者が持たなければならない、セキュリティスキルを定義し、セキュリティ教育に活かす。
・事業No2,3の結果を基に、組込み技術者が持たなければならないセキュリティのスキル体系をETSSを使って纏める。

【事業№5】セキュリティ教育のコンテンツの作成
セキュリティスキル定義を参考にし、組込み技術者向けにセキュリティ教育のコンテンツの作成を行い、セキュリティ教育セミナーを開催できるようにする。
・事業No2,3の結果を基に、組込み技術者向けのセキュリティ教育をするためのコンテンツを作成する。
・コンテンツ開発後、JASA主催の技術セミナーやセキュリティテストなどに利用する。

【事業№6】外部組織での発表、情報交換、セミナー
日本自動認識システム協会での発表、情報交換を実施し、RFIDに対するセキュリティに関して共同検討をする。都立産業技術研究センターとの共同のセミナーを開催し、中小企業向けのセキュリティ啓発活動をする。
・事業No3の結果を基に、日本自動認識システム協会様と共同で、RFIDに対するデバイスID付与方法に関する共同検討を実施する。
・都立産業技術研究センターと中小企業向けのセキュリティ啓発活動を行い、セキュリティ意識の向上に向けた活動をする。

6.技術指導/協力

 下記研究機関や専門家に依頼。
・都立産業技術研究センター 大原主任研究員。阿部副主任研究員
・IPAセキュリティセンター   萱島上級研究員

各種資料

コチラ

最新情報 ★ET/IoT 技術本部セミナー
ET/IoT 及び ET/IOT Westにおいて技術本部セミナーを実施しております。
資料は【コチラ
こちらも要チェック✓ 技術本部 公開資料