情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を引用しながら、試験に出る基礎知識を体系的かつ詳細に整理します。

IoTセキュリティ

1.IoTとは

 IoT(Internet of Things)は「モノのインターネット」と呼ばれ、あらゆる機器がインターネットに接続する時代になりました。IoTの機器は、たとえば、ゲーム機やスマホ、監視カメラ、家庭用ルータなど、インターネットに接続される機器です。また、最近では自動車、家電、工場などの制御系システムなどもインターネットに接続されることがあります。便利な反面、インターネットに接続しているということは、これらの機器も攻撃される懸念があります。

過去問(H27秋AP)をみてみましょう。

過去問(H27秋AP)
問70 IoT(Internet of Things)の実用例として,適切でないものはどれか。
ア インターネットにおけるセキュリティの問題を回避する目的で,サーバに接続せず,単独でファイルの管理や演算処理,印刷処理などの作業を行うコンピュータ
イ 大型の機械などにセンサと通信機能を内蔵して,稼働状況や故障箇所,交換が必要な部品などを,製造元がインターネットを介してリアルタイムに把握できるシステム
ウ 自動車同士及び自動車と路側機が通信することによって,自動車の位置情報をリアルタイムに収集して,渋滞情報を配信するシステム
エ 検針員に代わって,電力会社と通信して電力使用量を申告する電力メータ






【正解】ア

2.IoTセキュリティ

IPAからは、「IoT開発におけるセキュリティ設計の手引き」が出されています。
https://www.ipa.go.jp/security/iot/iotguide.html
(旧リンク)https://www.ipa.go.jp/files/000052459.pdf
IoTのセキュリティ対策といっても、普通のセキュリティ対策と同じです。外部からの攻撃をFWで守り、通信を暗号化し、認証を強化し、攻撃されないように脆弱性を塞ぐこと(ソフトウェアのアップデート)です。

f:id:seeeko:20200818124100j:plain



じゃあ、IoTだからといって、特別な対策は不要ですね。

ただ、IoT機器にセキュリティ機器を導入したり、ウイルス対策ソフトを導入するなどは、簡単ではありません。という意味では、IoTは通常のセキュリティ対策とは分けて考えるべきだと思います。
とはいえ、それほど難しいことをしているわけではありません。サーバを公開したり、インターネットから注文を受けたりしていないので、対策もシンプルです。
基本的には以下でしょう。
 ・パスワードを複雑にする(最低限、デフォルトから変える)
 ・ソフトウェアを最新にする(脆弱性を塞ぐ)
 ・インターネットへの接続は、FW(ルータでも効果あり)経由にする。つまり、外部からIoTデバイスへの直接攻撃をできないようにする
 ・通信を暗号化する
その他、IoTデバイス特有のものとしては、たとえば以下があります。
 ・遠隔ロック(スマホなどを紛失した場合に、遠隔から操作できないようにロックをします)
また、IoTの脆弱性を放置すると、攻撃者に加担する例もあります。
事例としては、2016年10月21日米国のDyn社のDNSサーバーに対し、大規模なDDoS攻撃が発生。攻撃に加担したIoT機器は10万台と言われています。このDNSを使っていたTwitterなどのサービスが停止しました。
https://www.nisc.go.jp/conference/cs/dai16/pdf/16sankou01.pdf

では、IoTのセキュリティに関して、情報処理安全確保支援士試験の過去問(H29SC秋PM2-1)を見ながら理解を深めましょう。

過去問(H29SC秋PM2-1)
〔IoT機器のマルウェア感染〕
ある日,Z社のカスタマセンタに外部のセキュリティ研究者X氏から,Zカメラにセキュリティ上の【 ア 】があり,マルウェアMに感染するリスクがあるという連絡があった。国内外の多数のIoT機器が,マルウェアMに感染して【 イ 】化し,攻撃者に悪用されて大規模【 ウ 】攻撃を引き起こしているので, Zカメラは速やかに対応する必要があるとのことであった。
(中略)指摘を受けたZ カメラの脆弱性について, B主任がX氏から得た情報は,次のとおりである。
・ZカメラのL-OSにログインできる管理者アカウントが無効化されていない。
・工場出荷時に設定された管理者アカウントの【 エ 】が単純であり,さらに,利用者が変更することもできない。






ア:脆弱性
イ:ボット
ウ:DDoS 
エ:パスワード

3.IoT機器調査及び利用者への注意喚起の取組「NOTICE」

IoTのセキュリティが放置されていることをを懸念した総務省が、IoT機器調査及び利用者への注意喚起の取組「NOTICE」を実施。平成31年2月20日(水)から容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を調査。結果をISPに通知し、ISPから利用者に通知します。
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00011.html
NICTなら不正アクセス行為をしてもいいのか?ということで、不正アクセス禁止法に違反しないように、改正NICT法で対応。

情報処理安全確保支援士試験の過去問(R2SC午前2)を見ましょう。

過去問(R2SC午前2)
問6 総務省及び国立研究開発法人情報通信研究機構(NICT)が2019年2月から実施している取組“NOTICE”に関する記述のうち,適切なものはどれか。

ア NICTが運用するダークネット観測網において,Miraiなどのマルウェアに感染したIoT機器から到達するパケットを分析した結果を当該機器の製造者に提供し,国内での必要な対策を促す。
イ 国内のグローバルIPアドレスを有するIoT機器に,容易に推測されるパスワードを入力することなどによって,サイバー攻撃に悪用されるおそれのある機器を調査し,インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。
ウ 国内の利用者からの申告に基づき,利用者の所有するIoT機器に対して無料でリモートから,侵入テストやOSの既知の脆弱性の有無の調査を実施し,結果を通知するとともに,利用者が自ら必要な対処ができるよう支援する。
エ 製品のリリース前に,不要にもかかわらず開放されているポートの存在,パスワードの設定漏れなど約200項目の脆弱性の有無を調査できるテストベッドを国内のIoT機器製造者向けに公開し,市場に流通するIoT機器のセキュリティ向上を目指す。






正解はイです。