組込みシステムセキュリティ委員会

委員会活動 技術本部

[委員長]

佐野 勝大

サイバートラスト株式会社

[副委員長]

牧野 進二

株式会社日立産業制御
ソリューションズ

[監修]

三輪 一義

ISMSコンサルタント

TOPICS

IoTセキュリティ教材について


◆IoT・5Gセキュリティ総合対策2020パブリックコメントを総務省に提出

「IoT・5Gセキュリティ総合対策2020(案)」に対して、組込み機器開発の視点から、IoTのOT側の課題に対するコメント、セキュリティ人材育成に対するコメントを総務省へ提出しました


◆IoTセキュリティのフレームワークに対しパブリックコメントを経産省に提出

「IoTセキュリティ・セーフティ・フレームワーク(案)」に対するパブリックコメントを経済産業省に提出した。経済産業省が3月31日付で公開した「意見公募手続(パブリックコメント)の開始」に対応したもの

委員会活動について

 我が国の中小企業の情報セキュリティ対策は、遅々として進んでいないと言われている。その理由は、いろいろ考えられるが、ITリテラシーが普及していないことやコストがかかること等が最大の障壁になっていると思われる。
 一方最近のサイバー攻撃は、古いサーバーや未対策のPCを踏み台にして、大規模組織や行政機関に入り込み重要な機密情報や金融情報、個人情報を盗み出し、場合によってはネットを麻痺させてしまう。
 さらに、ここ数年の注目すべき課題としてStuxnetに代表される組込み系マイコンに侵入するマルウェア対策が大きな課題となっている。これも政府や大手制御システムメーカーが連携して対策に乗り出しているが、中小組織といえども、知らない間にサイバー犯罪を手助けし、顧客や一般市民に多大な迷惑をかけることも大いにありうることに留意すべきである。
 このような状況の中、中小組織でも取り組みやすい、自組織のセキュリティレベルの簡易な診断方法やサイバー攻撃対策ツールなどを研究・開発するための研究会を設立し、都内及びその近郊に所在する中小規模の組織のセキュリティ対策の推進に貢献していく。

2021年度事業

1.活動概要(2021年度の事業方針:事業予算案)

  •  ・セキュリティテストでの脆弱性の検出方法の調査
  •  ・デバイス認証に関する調査
  •  ・セキュリティスキルの定義
  •  ・セキュリティ教育のコンテツ作成
  •  ・WG活動
  •  ・外部組織での発表、情報交換、セミナー活動

2.活達成目標(完了条件)

(1) セキュリティテストでの脆弱性の検出方法の調査
 IoTデバイスを選定し、OSSのセキュリティテストツールを用いて、IoTデバイスの脆弱性を検出する方法を調査する。
 調査した結果は、組込み開発時のプロセスでの活用方法に関しての定義をする。

(2) デバイス認証に関する調査
 2018年度に行った、Block chainを利用したデバイス認証基盤において、IoTデバイスの改ざん検知ができることを実証実験にて、証明をする。Block Chainの活用に関するレポートを纏める。

(3) セキュリティスキルの定義
 セキュリティ設計におけるスキルセットを定義し、組込み技術者が持たなければならないセキュリティスキルを定義する。

(4) セキュリティ教育のコンテンツ作成
 1、2、3成果を使って、組込み技術者向けのセキュリティ教育用のコンテンツを作成し、セキュリティ教育のセミナーを実施する。

(5) 委員会会議
 月1回の委員会を実施し、1~4のテーマに関しての議論を実施する。

(6) 外部組織での発表、情報交換、セミナー活動
 日本自動システム協会での発表や、2のテーマに関して、情報交換を実施し、共同でできる部分を模索していく。
 都立産業技術研究センターとの共同のセミナーを開催し、中小企業向けのセキュリティ啓発活動をする。

3.1年目の目標

(1) セキュリティテストでの脆弱性の検出方法の調査
 OSSセキュリティテストツールであると、脆弱性検出に限界があるため、有償のセキュリティツールを 調査し、バイナリーの脆弱性
(2) デバイス認証に関する調査
  OpenEL、ドローンの知名度を向上するため、ロボット、ドローンなど自律航行するものを題材にした、 認証方法、認証方式
(3) セキュリティスキルの定義
  ETSSを基にした、セキュリティスキルセットを作成し、啓発活動に繋げる。
(4) セキュリティ教育コンテンツ作成
  1年目の結果から、組込み技術者が持たなければならないセキュリティスキルに関しての纏め、セキュリティ教育に関するコンテンツ作成を行い、啓発活動に繋げる。最終的にはJASAのテスト、認定ビジネスとして確立する。
(5) WG会議
(6) 外部組織での発表、情報交換、セミナー活動
 都産技研、セキュアIoTプラットホーム協議会など他団体、組込みボード商社などとの共同セミナーを開催する。 ドローンに関するSafety&Securityに関するガイドラインを作成するために、日本ドローン協会、セキュアドローン協議会などと情報交換をする。ドローンWGとの連携も実施する。

 上記の活動を通じて、セキュリティテストの手法、デバイス認証に関する手法を調査し、WG会議での情報共有を行う。デバイス認証に関する調査については、外部組織 日本自動認識システム協会との共有を行い、活用方法に関しての情報共有を行う。都産技研との共同セミナーによる中小企業向けのセキュリティ啓発活動を実施する。

4.各事業計画

【事業№1】委員会開催
・毎月 第二木曜日、年12回(都内)の開催
・都産技研との共同開催を行い、都産技研とのセキュリティ啓発活動をする。

【事業№2】OSSセキュリティテストによる脆弱性の検出方法調査
OSSセキュリティテストツールの選定を行い、IoTデバイスの脆弱性の検出方法を調査し、調査結果を組込み開発のプロセスに提供できるようにする。
・OSSにて配布されているセキュリティテストツールの選定を行い、セキュリティテストツールの特徴、利用方法を纏める。
・IoTデバイスの実機を使い、OSSセキュリティテストツールにて脆弱性診断を行う。
・脆弱性診断結果を基にした、組込み開発におけるテスト関連のプロセスを纏める。

【事業№3】デバイス認証に関する調査
IoTデバイスをネットワーク上で利用するにあたり、IoTデバイスがネットワークに接続したこと認証し、正当なIoTデバイスであることが証明できる手順を調査する。
・IoTデバイスに正当なデバイスIDを自動的に付与できる仕組みの調査をする。
・IoTデバイスが脆弱性を突かれて、マルウェアなどの侵入されたことを検知し、正常な状態に戻すための認証方法を調査する。
・調査結果を基に、実証実験にてデバイス認証の正当性を確かめる。

【事業№4】セキュリティスキルの定義
組込み技術者がセキュリティに対するスキルを調査し、技術者が持たなければならない、セキュリティスキルを定義し、セキュリティ教育に活かす。
・事業No2,3の結果を基に、組込み技術者が持たなければならないセキュリティのスキル体系をETSSを使って纏める。

【事業№5】セキュリティ教育のコンテンツの作成
セキュリティスキル定義を参考にし、組込み技術者向けにセキュリティ教育のコンテンツの作成を行い、セキュリティ教育セミナーを開催できるようにする。
・事業No2,3の結果を基に、組込み技術者向けのセキュリティ教育をするためのコンテンツを作成する。
・コンテンツ開発後、JASA主催の技術セミナーやセキュリティテストなどに利用する。

【事業№6】外部組織での発表、情報交換、セミナー
日本自動認識システム協会での発表、情報交換を実施し、RFIDに対するセキュリティに関して共同検討をする。都立産業技術研究センターとの共同のセミナーを開催し、中小企業向けのセキュリティ啓発活動をする。
・事業No3の結果を基に、日本自動認識システム協会様と共同で、RFIDに対するデバイスID付与方法に関する共同検討を実施する。
・都立産業技術研究センターと中小企業向けのセキュリティ啓発活動を行い、セキュリティ意識の向上に向けた活動をする。

5. 外部組織での発表、情報交換、セミナー

セキュアIoTプラットフォーム協議会、日本ドローン協会など他団体との情報交換を実施し、組込み技術者向けのセミナーの開催を実施する。
・都立産業技術研究センターと中小企業向けのセキュリティ啓発活動を行い、セキュリティ意識の向上に向けた活動をする。
・日本ドローン協会との連携を図り、ドローンおけるSafety&Securityのガイドラインを作成し、官公庁に貢献をする。
・セキュアIoTプラットフォーム協議会、長崎大学など産学官の連携を行い、共同のセミナー開催を実施する。


各種資料

コチラ

最新情報

★ET・IoT Technology 技術本部セミナー
ET・IoT Technology 及び ET・IoT Technology Westにおいて技術本部セミナーを実施しております。
資料は【コチラ

こちらも要チェック✓