#author("2021-10-28T02:34:40+00:00","default:admin","admin") -[[セキュアIoTプラットフォーム協議会:https://www.secureiotplatform.org/]] -[[IoTセキュリティ教材:https://www.ipa.go.jp/ikc/reports/20201118.html]] -[[「つながる世界の開発指針」を公開:https://www.ipa.go.jp/sec/reports/20160324.html]] --[[利用時の品質の観点を盛り込んだ「つながる世界の開発指針(第2版)」を発行:https://www.ipa.go.jp/sec/reports/20170630.html]] --[[つながる世界の開発指針(第2版):https://www.ipa.go.jp/files/000060387.pdf]] -[[「つながる世界の利用時の品質~IoT時代の安全と使いやすさを実現する設計~」を公開:https://www.ipa.go.jp/sec/reports/20170330.html]] --[[つながる世界の利用時の品質 ~IoT 時代の安全と使いやすさを実現する設計~:https://www.ipa.go.jp/files/000058465.pdf]] -[[IoT セキュリティ総合対策:https://www.soumu.go.jp/main_content/000510701.pdf]] -[[IoT セキュリティ総合対策 プログレスレポート 2018:https://www.soumu.go.jp/main_content/000566458.pdf]] -[[IoTのセキュリティ設計って、どこから学んだらいいの?:https://codezine.jp/article/detail/10058]] -[[IoT時代のセキュリティリスクに備える:https://www.itmedia.co.jp/topics/1702/iottech/]] -[[【徹底解説】IoTセキュリティ|必要不可欠な「全体視点」とは?:https://www.secure-sketch.com/blog/overall-view-of-iot-security]] -[[IoTセキュリティの基本と対策 – 知らない間に攻撃されていた・していたを防ぐ:https://japan.norton.com/iot-security-8249]] -[[IoT市場は今後どうなる? 急速に立ち上がるIoTセキュリティの「市場」と「懸念」:https://www.sbbit.jp/article/cont1/36642]] -[[IoTのセキュリティ | IPA:https://www.ipa.go.jp/security/iot/]] --[[IoT開発におけるセキュリティ設計の手引き:https://www.ipa.go.jp/security/iot/iotguide.html]] -[[IoT | CSAジャパン:https://www.cloudsecurityalliance.jp/newsite/?tag=iot]] --Internet of Things (IoT)インシデントの影響評価に関する考察 IoTシステムでは、物理世界とデジタル世界の広範囲に渡ってシステムが構築される。このため、デバイス、ネットワーク、クラウド、アプリケーションの各セグメントに渡り、幅広く対策をする必要がある。 *分類 [#fca8ac4b] **物理セキュリティ [#ed64106d] **論理セキュリティ [#ga47f1bc] ***システムセキュリティ [#f72ed6a6] -ITシステムが対象 -暗号技術 -認証技術 -アクセス制御 ***人的セキュリティ [#kfda146f] -セキュリティポリシーの策定 -人材の教育・訓練 *要件 [#g0330fb9] **機密性 [#bfa840b0] -情報資産に対して許可された者が権限の範囲内でアクセスできること -技術的には暗号化や認証、アクセス制御が活用されている **完全性 [#ub3f9891] -情報資産が破壊・改ざんされていないこと -技術的にはハッシュ関数やデジタル署名による改ざん検知が活用されている **可用性 [#ed12c237] -情報資産やITシステムに対して、必要なときに中断することなくアクセスできること -技術的には機器やネットワークの二重化が活用されている *対策 [#v54b4459] -[[IoTの普及に対応した通信ネットワークの技術基準等に関する政策動向:https://www.armkk-event.com/iotss/2019/data/iotss_s1.pdf]] **端末設備等規則及び電気通信主任技術者規則の一部を改正する省令(平成31年総務省令第12号) [#nc41323c] -[[電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)の施行に伴う省令の制定について(NICT法の一部改正に伴う識別符号の基準及び実施計画に関する規定整備関係):https://www.soumu.go.jp/main_content/000571077.pdf]] -[[電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第1版):https://www.soumu.go.jp/main_content/000615696.pdf]] -[[電気通信事業法の一部改正案について:https://www.soumu.go.jp/main_content/000536856.pdf]] -[[電気通信事業法に基づく 端末設備の接続に関する技術基準と端末機器の基準認証制度について:https://www.jstage.jst.go.jp/article/bplus/14/1/14_78/_pdf/-char/ja]] -[[IoT技適の新基準には、どう対応すればいいですか?――3つのセキュリティが必須:https://businessnetwork.jp/Detail/tabid/65/artid/6980/Default.aspx]] ***適用範囲 [#c95a695e] -デジタルデータ伝送用設備との接続においてインターネットプロトコル(IP)を使用するもの -インターネットにつながるものが対象となるため、BluetoothやZigBeeなど非IPでローカルのみでやり取りするものは範囲の対象外 -LPWA端末も、インターネット上のクラウドプラットフォームなどから操作可能でなければ対象外 ***アクセス制御機能 [#y1da2b3a] ***初期設定のパスワードの変更を促す等の機能 [#r4193506] -初期設定で、デフォルトからの変更を促す機能が求められる -これは画面などを操作する中で促す必要があり、説明書などに記述するだけでは要件を満たさない ***ソフトウェアの更新機能 [#m07eae57] -通信の送受信の機能に係るファームウェアの更新機能が必須となる -アップデートされたファームウェアが、電源が切れて再起動した後、出荷時の初期状態に戻ることが無いようにもする必要がある -ファームウェアの更新方法としては、自動更新が推奨されるが、現時点では自動更新は必須ではない *防御 [#ia5ff324] *デバイス保護 [#d3ea23a4] *Root of Trust [#ua1fb594] -[[Root of Trust とは?その定義と用途:https://www.cybertrust.co.jp/blog/iot/techinfo/root-of-trust.html?utm_source=owned&utm_medium=email&utm_campaign=iot-mag20210720]] -[[IoT機器のRoot of Trustはマイコンであるべき:https://eetimes.jp/ee/articles/1603/02/news045.html]] -[[IoTデバイスにおける ハードウエア・セキュリティ機能の活用:https://lab.fujiele.co.jp/articles/9142/]] -[[組込みアプリケーションを誰でも「セキュリティ対応」にできるツール Embedded Trust / C-Trust を実演:https://www.iar.com/globalassets/japankk-office/embedded-trustc-trust.pdf]] -[[STM32でRoot of Trustを実現 セキュリティ・ソフトウェア・パッケージ:https://www.st.com/content/ccc/resource/sales_and_marketing/promotional_material/flyer/group0/56/82/75/8f/48/a6/47/78/flxcubesbsfu/files/flxcubesbsfu.pdf/jcr:content/translations/ja.flxcubesbsfu.pdf]] -[[RISC-V ベースの Root of Trust ソリューション:http://riscv-association.jp/wp-content/uploads/2019/10/RISC-V_tokyo_2019_Public_Rambus.pdf]] -[[RXセキュリティソリューション:https://www.renesas.com/jp/ja/products/microcontrollers-microprocessors/rx-32-bit-performance-efficiency-mcus/rx-security-solutions]] --[[IoTセキュリティを簡単・強固に実現するRXセキュリティソリューション:https://www.renesas.com/jp/ja/blogs/implement-robust-iot-security-easily-rx-security-solutions]] *脆弱性 [#n1283cc1] -[[IoT機器に影響を与える脆弱性「Ripple20」とは:https://ascii.jp/elem/000/004/049/4049459]] -[[数億台ものIoT機器がハッキングの危機に? 新たに見つかった脆弱性の深刻度:https://www.sankei.com/wired/news/210424/wir2104240003-n1.html]] *攻撃 [#h8ea2c88] -[[ボットネットとは? | ボットネット攻撃の検出と緩和:https://www.akamai.com/jp/ja/resources/what-is-a-botnet.jsp?gclid=CjwKCAjwvJvpBRAtEiwAjLuRPY1SamFMfJ1Mu6ZHOktzUnyNlsoKg9RRXDnpubDll5exxeNSr-eGsRoCyVQQAvD_BwE&ef_id=CjwKCAjwvJvpBRAtEiwAjLuRPY1SamFMfJ1Mu6ZHOktzUnyNlsoKg9RRXDnpubDll5exxeNSr-eGsRoCyVQQAvD_BwE:G:s&utm_source=google&utm_medium=cpc]] **Mirai [#oe0356ee] -[[IoTデバイスを狙うマルウェア「Mirai」とは何か――その正体と対策:https://techfactory.itmedia.co.jp/tf/articles/1704/13/news010.html]] *ファジング [#ze9c611c] -[[ファジング:FAQ:https://www.ipa.go.jp/security/vuln/fuzz_faq.html]] *認証規格 [#seaaaa2b] -[[組込みOS最前線 #3 IoTを取り巻く環境と関連法案の動向:https://www.cybertrust.co.jp/blog/iot/report/iot-190621-01.html]] **IEC 62443-4-2 [#p52f4f9b] -[[IEC62443-4-2 日本語版 販売ページ:https://webdesk.jsa.or.jp/common/W10K0010/?post_type=book_common&page_id=b_j_top_houyaku&gclid=EAIaIQobChMInb7o3YXs8wIVyFVgCh0iegP_EAMYASAAEgJSvvD_BwE#IEC%2062443-4-2]] -[[IEC62443の実装:https://www.nexty-ele.com/nat/wp-content/uploads/sites/3/2020/05/IEC62443.pdf]] -[[制御システムセキュリティの標準化動向 ~IEC 62443の最新状況と認証制度の紹介~:https://www.jpcert.or.jp/present/2020/ICSR2020_04_HITACHI.pdf]] -[[欧米注目の産業制御システムセキュリティの国際規格、ルネサスが認証取得を支援:https://monoist.atmarkit.co.jp/mn/articles/1903/27/news055.html]] -[[セキュリティ規格「IEC62443」認証取得をサポートするソフト:https://eetimes.itmedia.co.jp/ee/articles/1903/27/news038.html]] ***Linux [#k50859a3] -[[Linux 搭載デバイスで IEC 62443-4-2 に準拠するには何が必要か?:https://www.cybertrust.co.jp/blog/iot/techinfo/iec62443-4-2-linux.html]] ***認証機関 [#le976d8a] -[[IEC 62443認証機関 - 産業機器のセキュリティ対策:https://www.tuvsud.com/ja-jp/industries/manufacturing/machinery-and-robotics/iec-62443-industrial-security]] **技適 [#z611c3fa] -[[IoT技適の新基準には、どう対応すればいいですか?――3つのセキュリティが必須:https://businessnetwork.jp/Detail/tabid/65/artid/6980/Default.aspx]] -[[IOT機器セキュリティ ー技術基準適合認定等についてー:https://www.tuvsud.com/ja-jp/resource-centre/webinar/technical-standards-compliance-approval-for-iot-device-security]] *関連製品・サービス [#wf722d2c] -[[セキュア IoT プラットフォーム:https://www.cybertrust.co.jp/siotp/]] *関連記事 [#n9e75b32] -[[ふぉっふぉっふぉ、今日はワシのかんがえた最強の入退室システムの話じゃ。:https://io.cyberdefense.jp/entry/iot-security-darkside]] -[[IoTデバイスがセキュリティ侵害の重大な経路であることを確認、ゼロトラストセキュリティの必要性を改めて強調:https://prtimes.jp/main/html/rd/p/000000020.000055108.html]]