情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、基礎知識をしっかり学んでいただけるように頑張ります

IoTセキュリティ

 

1.IoTとは

IoTの機器は、たとえば、ゲーム機やスマホ、監視カメラ、家庭用ルータなど、インターネットに接続される機器です。また、最近では自動車、家電、工場などの制御系システムなどもインターネットに接続されることがあり、これらの機器も攻撃される懸念があります。

過去問(H27秋AP)をみてみましょう。

問70 IoT (Internet of Things)の実用例として,適切でないものはどれか。
ア インターネットにおけるセキュリティの問題を回避する目的で,サーバに接続せず,単独でファイルの管理や演算処理,印刷処理などの作業を行うコンピュータ
イ 大型の機械などにセンサと通信機能を内蔵して,稼働状況や故障箇所,交換が必要な部品などを,製造元がインターネットを介してリアルタイムに把握できるシステム
ウ 自動車同士及び自動車と路側機が通信することによって,自動車の位置情報をリアルタイムに収集して,渋滞情報を配信するシステム
エ 検針員に代わって,電力会社と通信して電力使用量を申告する電力メータ







【正解】ア

2.IoTセキュリティ

IPAからは、「IoT開発におけるセキュリティ設計の手引き」が出されています。
 https://www.ipa.go.jp/files/000052459.pdf
 
IoTのセキュリティ対策といっても、普通のセキュリティ対策と同じです。外部からの攻撃をFWで守り、通信を暗号化し、認証を許可し、攻撃されないように脆弱性を塞ぐこと(ソフトウェアのアップデート)です。
ただ、IoT機器にセキュリティ機器を導入するなどの対策をするのが難しいことです。
とはいえ、それほど難しいことをしているわけではない(サーバを公開したり、インターネットから注文を受けたりしていない)ので、対策もシンプルです。
基本的には以下でしょう。
・パスワードを複雑にする(最低限、デフォルトから変える)
・ソフトウェアを最新にする(脆弱性を塞ぐ)
・インターネットへの接続は、FW(ルータでも効果あり)経由にする。つまり、外部からIoTデバイスへの直接攻撃をできないようにする
・通信を暗号化する
その他、IoTデバイス特有のものとしては、たとえば以下があります。
・遠隔ロック(スマホなどを紛失した場合に、遠隔から操作できないようにロックをします)

また、IoTの脆弱性を放置すると、攻撃者に加担する例もあります。
事例としては、2016年10月21日米国のDyn社のDNSサーバーに対し、大規模なDDoS攻撃が発生。攻撃に加担したIoT機器は10万台と言われています。このDNSを使っていたTwitterなどのサービスが停止しました。
https://www.nisc.go.jp/conference/cs/dai16/pdf/16sankou01.pdf

3.IoT機器調査及び利用者への注意喚起の取組「NOTICE」

IoTのセキュリティが放置されていることをを懸念した総務省が、IoT機器調査及び利用者への注意喚起の取組「NOTICE」を実施。平成31年2月20日(水)から容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を調査。結果をISPに通知し、ISPから利用者に通知します。
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00011.html
NICTなら不正アクセス行為をしてもいいのか?ということで、不正アクセス禁止法に違反しないように、改正NICT法で対応。

過去問(R2SC午前2)を見ましょう。 

問6 総務省及び国立研究開発法人情報通信研究機構(NICT)が2019年2月から実施している取組“NOTICE”に関する記述のうち,適切なものはどれか。

ア NICTが運用するダークネット観測網において,Miraiなどのマルウェアに感染したIoT機器から到達するパケットを分析した結果を当該機器の製造者に提供し,国内での必要な対策を促す。
イ 国内のグローバルIPアドレスを有するIoT機器に,容易に推測されるパスワードを入力することなどによって,サイバー攻撃に悪用されるおそれのある機器を調査し,インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。
ウ 国内の利用者からの申告に基づき,利用者の所有するIoT機器に対して無料でリモートから,侵入テストやOSの既知の脆弱性の有無の調査を実施し,結果を通知するとともに,利用者が自ら必要な対処ができるよう支援する。
エ 製品のリリース前に,不要にもかかわらず開放されているポートの存在,パスワードの設定漏れなど約200項目の脆弱性の有無を調査できるテストベッドを国内のIoT機器製造者向けに公開し,市場に流通するIoT機器のセキュリティ向上を目指す。






正解はイです。