IoT/セキュリティ

• セキュアIoTプラットフォーム協議会

• IoTセキュリティ教材

• 「つながる世界の開発指針」を公開
  • 利用時の品質の観点を盛り込んだ「つながる世界の開発指針（第2版）」を発行
  • つながる世界の開発指針（第2版）

• 「つながる世界の利用時の品質～IoT時代の安全と使いやすさを実現する設計～」を公開
  • つながる世界の利用時の品質 ～IoT 時代の安全と使いやすさを実現する設計～

• IoT セキュリティ総合対策
• IoT セキュリティ総合対策 プログレスレポート 2018

• IoTのセキュリティ設計って、どこから学んだらいいの？
• IoT時代のセキュリティリスクに備える
• 【徹底解説】IoTセキュリティ｜必要不可欠な「全体視点」とは？
• IoTセキュリティの基本と対策 – 知らない間に攻撃されていた・していたを防ぐ
• IoT市場は今後どうなる？ 急速に立ち上がるIoTセキュリティの「市場」と「懸念」

• IoTのセキュリティ | IPA
  • IoT開発におけるセキュリティ設計の手引き
• IoT | CSAジャパン
  • Internet of Things (IoT)インシデントの影響評価に関する考察

IoTシステムでは、物理世界とデジタル世界の広範囲に渡ってシステムが構築される。このため、デバイス、ネットワーク、クラウド、アプリケーションの各セグメントに渡り、幅広く対策をする必要がある。

分類 †

物理セキュリティ †

論理セキュリティ †

システムセキュリティ †

• ITシステムが対象
• 暗号技術
• 認証技術
• アクセス制御

人的セキュリティ †

• セキュリティポリシーの策定
• 人材の教育・訓練

要件 †

機密性 †

• 情報資産に対して許可された者が権限の範囲内でアクセスできること
• 技術的には暗号化や認証、アクセス制御が活用されている

完全性 †

• 情報資産が破壊・改ざんされていないこと
• 技術的にはハッシュ関数やデジタル署名による改ざん検知が活用されている

可用性 †

• 情報資産やITシステムに対して、必要なときに中断することなくアクセスできること
• 技術的には機器やネットワークの二重化が活用されている

対策 †

• IoTの普及に対応した通信ネットワークの技術基準等に関する政策動向

端末設備等規則及び電気通信主任技術者規則の一部を改正する省令（平成31年総務省令第12号） †

• 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律（平成30年法律第24号）の施行に伴う省令の制定について（NICT法の一部改正に伴う識別符号の基準及び実施計画に関する規定整備関係）
• 電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第１版)
• 電気通信事業法の一部改正案について

• 電気通信事業法に基づく 端末設備の接続に関する技術基準と端末機器の基準認証制度について

• IoT技適の新基準には、どう対応すればいいですか？――3つのセキュリティが必須

適用範囲 †

• デジタルデータ伝送用設備との接続においてインターネットプロトコル（IP）を使用するもの
• インターネットにつながるものが対象となるため、BluetoothやZigBee?など非IPでローカルのみでやり取りするものは範囲の対象外
• LPWA端末も、インターネット上のクラウドプラットフォームなどから操作可能でなければ対象外

アクセス制御機能 †

初期設定のパスワードの変更を促す等の機能 †

• 初期設定で、デフォルトからの変更を促す機能が求められる
• これは画面などを操作する中で促す必要があり、説明書などに記述するだけでは要件を満たさない

ソフトウェアの更新機能 †

• 通信の送受信の機能に係るファームウェアの更新機能が必須となる
• アップデートされたファームウェアが、電源が切れて再起動した後、出荷時の初期状態に戻ることが無いようにもする必要がある
• ファームウェアの更新方法としては、自動更新が推奨されるが、現時点では自動更新は必須ではない

防御 †

デバイス保護 †

Root of Trust †

• Root of Trust とは？その定義と用途
• IoT機器のRoot of Trustはマイコンであるべき
• IoTデバイスにおける ハードウエア・セキュリティ機能の活用

• 組込みアプリケーションを誰でも「セキュリティ対応」にできるツール Embedded Trust / C-Trust を実演
• STM32でRoot of Trustを実現 セキュリティ･ソフトウェア･パッケージ
• RISC-V ベースの Root of Trust ソリューション

• RXセキュリティソリューション
  • IoTセキュリティを簡単・強固に実現するRXセキュリティソリューション

脆弱性 †

• IoT機器に影響を与える脆弱性「Ripple20」とは
• 数億台ものIoT機器がハッキングの危機に？ 新たに見つかった脆弱性の深刻度

攻撃 †

• ボットネットとは？ | ボットネット攻撃の検出と緩和

Mirai †

• IoTデバイスを狙うマルウェア「Mirai」とは何か――その正体と対策

ファジング †

• ファジング：FAQ

認証規格 †

• 組込みOS最前線 #3 IoTを取り巻く環境と関連法案の動向

FIPS140-2 †

• 連邦情報処理規格 (FIPS) 140-2
• FIPS 140-2とは何ですか？
• 米国連邦情報処理標準規格 FIPS 140-2 への対応

• 汎用マイコンで世界初、ルネサス製品がNISTのセキュリティー認証

IEC62443 †

• 制御システムセキュリティの標準化動向 ～IEC 62443の最新状況と認証制度の紹介～

IEC62443-4-2 †

• IEC62443-4-2 日本語版 販売ページ

• IEC62443の実装
• 制御システムセキュリティの標準化動向 ～IEC 62443の最新状況と認証制度の紹介～

• 制御機器のセキュリティー、ルネサスがLinuxベースで提供へ
• 欧米注目の産業制御システムセキュリティの国際規格、ルネサスが認証取得を支援
  • 一般的な認証取得のプロセスだと約1年半ほどかかるが、READYソリューションを使えば「評価と分析」のプロセスが不要になり「設計と実装」のプロセスも短縮できるため、約6カ月短い約1年で認証を取得できるという。

• セキュリティ規格「IEC62443」認証取得をサポートするソフト

Linux †

• Linux 搭載デバイスで IEC 62443-4-2 に準拠するには何が必要か？

認証機関 †

• IEC 62443認証機関 － 産業機器のセキュリティ対策

ISO27000 †

• 情報セキュリティ担当者なら抑えたい！ISO27000ファミリー

ISO27001 †

• ISMSとは？ISO27001との違いは？
• ISMS認証（ISO27001）とは？Pマークとの違いや取得方法を詳しく解説！

ISO27017/27018 †

• ISO27017とISO27018ってどっちを取得すればいいの？
• Microsoft、Google、AWSも取得した「ISO/IEC 27018」とは？

• ISO/IEC 27017（クラウドサービスセキュリティ）

CSMS †

• CSMS適合性評価制度

技適 †

• IoT技適の新基準には、どう対応すればいいですか？――3つのセキュリティが必須

• IOT機器セキュリティ　ー技術基準適合認定等についてー

Secure Element †

• SIM, eSIM, Secure Module, Secure Elementとは
• セキュアエレメント：スマートフォンでの非接触型決済を安全に

• Secure element for IoT device - SlideShare

関連製品 †

Renesas TSIP †

• IoTセキュリティに向けたMCUソリューション
• Trusted Secure IPドライバ
• 汎用マイコンで世界初、ルネサス製品がNISTのセキュリティー認証

その他 †

• W76S セキュアエレメント

関連製品・サービス †

セキュア IoT プラットフォーム †

• 村田製作所がサイバートラスト社のセキュアIoTプラットフォームに対応した MCU内蔵Wi-Fiモジュールを商品化 〜安心・安全なIoTネットワークに貢献〜

関連記事 †

• ふぉっふぉっふぉ、今日はワシのかんがえた最強の入退室システムの話じゃ。
• IoTデバイスがセキュリティ侵害の重大な経路であることを確認、ゼロトラストセキュリティの必要性を改めて強調