［開催レポート］経済産業省×GMOサイバーセキュリティbyイエラエ「開発段階におけるIoT機器の脆弱性検証促進事業」について -Vol.03 / 開発者向けブログ・イベント

9/21（水）にGMO Developers Night#36 「経済産業省×GMOサイバーセキュリティbyイエラエ「開発段階におけるIoT機器の脆弱性検証促進事業」について」をオンラインにて開催。IoTにおけるセキュリティ対策の必要性や有無、また、経済産業省が行う取り組みについて、お話いたしました。

▻イベント告知：https://developers.gmo.jp/20150/

今回Vol.03では、座談会・Q&Aコンテンツの書き起こしをお届けします。

Q.WebとIoTの脆弱性で大きな違いがあれば教えてください

今回のセミナーに申し込む時に使用している申し込みサイトがWebですが、IoTは装置。
脆弱性の大きな違いは、Webの方であれば大きなパソコンを使って、サーバーなどでいろいろやっていますが、それらに実際に診断を行った時にサーバーの上で何か動かす、例えばマイニングであったりとか変なものを動かされたりとか、そういったものがあります。
IoTですと、Webと似たようなところで個人情報などが装置から抜かれてしまう可能性があるというのもありますが、もう1つ、IoTはサイズが小さい。小さい機器で動かさなくてはいけないというところで、脆弱性の対策とかセキュリティ対策をたくさんやると、イメージとしてはパソコンにウイルス対策製品を入れると重くなりますが、同じような感じでただでさえパワーが弱いIoT機器にそんな製品を入れられない。でも対策しなければいけない、ということで、結構大きめの穴が開いたままで動いているIoT機器があるとか、あとは皆さんがいろいろカスタマイズしているので、既知の脆弱性ではないけれども、ちょっとコードを読むことですでにいろいろと攻撃されている脆弱性の変化球があるということも分かります。
まとめると、そこまで大きな違いはないが、それぞれの事情から細かいところを見ると脆弱性の違いはあります。
IoTは特有の脆弱性があり、Webは特有の脆弱性があり、Webの方はよく調べられているけど、IoTの方はあまり調べられていないからまずい、というところはあります。

三村

Q.IoT利用者目線で、簡単にできるセキュリティ対策があれば教えてくだ

一番最初に、パスワードをちゃんと変更してくださいというものがあります。
また、最近だとRaspberry Piのような小さい装置がありますが、OSがデフォルトのままで入れた状態だと、何の対策もされていないOSに、パスワードがデフォルトの状態でやられ放題になってしまう。そういう機器であれば、ファイアウォールを設定しましょう、パスワードを変更しましょう、といったことになります。また、アップデートがあればしていきましょうというところが重要なところになってくると思います。ほかの機器でもアップデートが出ていれば実施するし、ベンダーさんからこの機器はもうサポートしませんと言われているのであれば機器を交換する。パソコンに近い形の対策が利用者目線だと一番重要でかつ簡単にできる対策だと思います。

三村

Q.IoTの持つセンサーへの攻撃などは評価していないのでしょうか？

もちろん、センサーへの診断は行っています。センサーへの攻撃はどういうふうに評価を解釈するかになりますが、脆弱性に何か攻撃される穴があったり攻撃されたりということがあるかといえば、当然YESです。
分かりやすい例ですと、池があったとしましょう。そこに水温を測るセンサーがあったとして、これがIoT機器です。水温が高ければ水を入れて温度を下げる、低ければヒーターを動かすといった”IoTの池”があったとすると、攻撃は水温センサーの値を変な値で返してあげる、サーバーとクライアント（センサー）との通信をいじって、その池は本来ならば二十何℃が正常なのに5℃です、という情報をサーバーにあげる。するとヒーターが動いて池の水温が上がって、池の鯉が死んでしまうかもしれない。こういった攻撃は当然ありますので、その対策や、脆弱性診断は当然重要ですし、我々としてもそういうところの診断依頼は当然来ておりますしやっております。

三村

Q.各種脆弱性診断を定期的に行うタイミングなど、指標があれば教えてください。

まず、セキュリティ・バイ・デザインのところから考えると、まずソースコードや、その前の設計段階、基本設計のところだと、例えば通信を暗号化すると、その暗号の方式はちゃんと安全なものですか？と。一例を挙げますとDESとかSSLの暗号でも例えば128ビットとかは最近は使っている例はないですけど、そういうものを仕様書で使いましょうと書いてあれば、そのタイミングで相談いただければ、これは確実に危ないです、これを使っていたら危険ですというものはできますし、基礎のタイミングのところから安全にしていくことはもちろんできると思います。
もちろん、設計がしっかりしていて、開発もしっかりしていたとしても、その後のところで診断をした時にここのタイミングで何が見つかるかという話になりますと、例えば設計して実際にシステムを作りました、そこのところで例えば仕様書に書いていないような設定がありましたと、SSHやVPNをしゃべるようなソフトを入れますと、これのデフォルト設定については仕様が特にありませんでした、なのでそのままにしています、という時にここのところで発見というのはあるでしょうし、また実際に組み上がった時にチップやボードで何かこちらから指示はしていない、向こうの方で同じようにここのところは特にケアしなくて渡してしまえばよいといった形で、誰もケアしなかった脆弱性の穴があるということになれば、最後のところで当然発見という形になります。
なので、診断は両方とも当然やった方がいいですし、可能であれば当然早いタイミングで行うことができれば、後段で見つかるものは小さいものになりますし、手戻りが少なくなるので当然スムーズにすべてが進むようになるので、早いタイミングからの相談をもし可能であればお願いしております。

三村

伊藤

各社のつまずくところは、実は各社毎では個別のノウハウですが、我々診断会社はみんなから吸収しているので、共有値というか、ナレッジのデータベースみたいなものだと思うので、開発に着手する時にも、我々みたいな診断会社を特に失敗のナレッジデータベースの感じで使っていただくと、同じような失敗をせずに物事がうまく進むと思っていますので、こういったところをうまく使っていただければと思います。

Q.サービスの穴をついてくることと防ぐことはいたちごっこのような気がしているのですが、継続的に対策できるサービスはお考えですか？

サービスの穴、一般的には守るのは全体を守らなければいけないけれど、攻撃はそのうち1個でも突破できればよいということで、いたちごっこという話はよく出ています。
継続的に対策できるというところで1つあるのは、ソフトウェアのアップデートをしっかり管理したうえで行える状態にするということ。また、製造ベンダー側であれば新機能が追加される時にはちゃんとその機能がどういうものかをしっかり管理をしていく。作って終了ではなくて、どんどんアップデートとか、外から脆弱性の話があった時にちゃんと対応できる体制を作っていくというものが、まず基礎として大事になってくると思っております。
もちろんその回し方に関するところは、やはり各社のやり方に絡んでくると思いますので、そこは伊藤さんにサービスという形で少し絡めて説明いただければと思います。

三村

伊藤

基本的には、やはり外部の攻撃はインターネットに繋がった外側のところだと思います。外側のところを我々のホワイトハッカーの考え方でアタックサーフェスといいますが、どこから侵入するのかというところを常に見ていくわけです。これで自分の知らないアタックサーフェスとかインターネット経由の入口があると、そこが盲点になってしまいます。
逆にアタックサーフェスなので、こんな入口しか空いてないのにここを重厚長大に騒ぐのは費用対効果が悪かったりするので、こういった観点でアタックサーフェスをドメインとかIPアドレスからあぶり出して管理できるようなサービスとか、ホワイトハッカー視点でここが侵入口でここが重要なところですよ、入口が開いているといっても人間が通れる穴なのかネズミしか通れないのか、希釈化するとみんな入口が開いていますと言われてしまうので、こういったところのプライオリティ付けが自動でスキャンできるサービスを今GMOサイバーセキュリティ byイエラエの中でも検討していて、それをヘルスチェックの形でお出してきるような取組も進んでいる状況でありますので、ぜひご期待をいただければと思っています。

ご視聴・ご参加いただいた皆様、誠にありがとうございました。
映像はアーカイブ公開しておりますので、以下より是非ご視聴ください。