ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

IoTセキュリティどこまでやる?

※こちらの記事は2021年2月22日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です

はじめまして、こんにちは。
バイスペネトレーションサービス部の√(ルート)です。
ブログネタを探して、さまよい、迷走し、けっきょく見つからず。
そんなこんなで、箸休めにIoTセキュリティで一つ小話を。

IoTのセキュリティどうする?

製品メーカー牧場社でIoTデバイスの開発をしている牛のとんちゃんが、
新しい製品を開発し、最終試作機が出来上がってきたところからのお話。

とんちゃん「やっと届いた。さて、リリースに向けて最後のチェックでもすっかな。それなりにセキュリティも一応考えて作ってみたけど、ちょっと不安だな・・・足りてるかな?」

とんちゃんは、開発者仲間で、今はセキュリティベンダのらっこ社に勤めるアザラシのトドくんに相談することにしました。
チャットツールをひらき、トドくんにメッセージ。

とんちゃん 「おひさ。トドくん、IoTセキュリティについて聞いてもいい?」
トドくん 「ごぶさた。とんちゃん、急にどうしたの?」
とんちゃん 「あのさぁ、今、新しいIoTデバイス開発しててさ、ちょっと相談にのってほしいのだけど。」
トドくん 「いいよ。で、どんなこと?」
とんちゃん 「ありがとん。IoTへの攻撃とかよく耳にするけど、IoTにセキュリティってどこまで何が必要?」
トドくん 「そうだねぇ、例えば、バグが原因の脆弱性が悪用されて、それでユーザーに迷惑かかったら、よくないよね?」
とんちゃん 「そうだね。その辺は、ちゃんテストしてバグとりしてるよ。」
トドくん 「それも大事だけど、バグだけが原因ではなくても、仕様通りでもセキュリティ上よろしくないケースもあるよ。」
とんちゃん 「そっか。それだけじゃないのね。」
トドくん 「例えば、メンテナンス用にバックドア作っておいて、そのまま製品版にも残しておいたりすると、そこから侵入されて悪さされたりとか」 とんちゃん 「あー、そんな話もあるね。うちのテストも、いわゆる脆弱性診断ってほどはやっていないわ。」

その後もすこしそんなやり取りをし、チャットがめんどくさくなったので音声チャットに切り替えた。

「セキュリティ」は安全、安心

とんちゃん 「トドくん、ありがとん。なんとなく、IoTのセキュリティが足りていない感じではあるけど・・・自分でセキュリティ診断するのは難しそうだし、お願いするとしたらそこそこお金と時間かかるよね?」
トドくん 「そうだね、動作検証とかの品質テストとは異なるから、それなりにね。」
とんちゃん 「そうかぁ、さらに開発コストが上がってしまうか・・・」
トドくん 「とんちゃんさぁ、ちょっと話変わるけど、『品質がよい』って、どんなことだと思う?」
とんちゃん 「うーん、そうだねぇ、高性能、機能が多い、壊れないなどかな?」
トドくん 「もちろん、それもあるけど、それだけじゃないと思うよ。」
とんちゃん 「他にもある?」
トドくん 「ボクが考えるに、『品質が良い』ってのは、その製品を使ってくれるユーザーが満足してくれることで、 例えば、高性能、壊れないだけではなく、価格が適正ってのもあるし、安全、安心ってのも含まれていて、それらが全て『バランスが良い』ってことなんじゃないかな。」
とんちゃん 「そんな考え方もあるか。その中の1つに『セキュリティに問題がない』も含まれると。」
トドくん 「そうだね。そういうふうにボクは考えてる。開発者は安全、安心をおろそかにはしないよね?コストかかるからってカットしないよね。」
とんちゃん 「当たり前だよ!製品開発者はそこは絶対ちゃんとやるよ。ユーザーが自分の製品で怪我したりはありえないからね。」
トドくん 「そうだよね。ボクは、その安全、安心にセキュリティ、いわゆる、攻撃されないようにすることは含まれると思うよ。なので、そこにコストと時間をかけないというのもナシだと思っている。」
とんちゃん 「まぁ、そういわれると、そんな気もしてきたw セキュリティは追加コストっていう考え方も古いね。」
トドくん 「後付けで考えてしまうと、追加費用に思えちゃうよね。」

とんちゃんはトドくんに具体的に相談してみようと思った。

IoTセキュリティって何やるの?

とんちゃん 「やらなくちゃならないことは大体わかったよ。じゃあ、ちょっとお願いしようかな。見積もらえる?」
トドくん 「おっと、いきなりですかw。どんな製品かわからないし、何が必要かもわからない見積もれないよw」
とんちゃん 「あー、そうだね。開発名『トントロ初号機』の仕様を教えるよ。えーっと・・・」
トドくん 「ちょ、ちょっと待って。とんちゃんのとこと秘密保持契約(NDA)ってどうなってる?」
とんちゃん 「あれ?どうだったかな??以前のやつだと期間切れてるかもしれないね。ちょっと調べてみるよ」
トドくん 「そうだね。特にIoTデバイスの場合、NDAないとほとんど何も話せないからね。こっちでも調べてみるよ。一応、とんちゃんところのNDAの雛型送ってもらえる?」
とんちゃん 「OK、続きは締結後に!」

お互いにNDAを確認したところ、期間が切れていたので、新たに結ぶことになった。 ついでに内容も見直しし、何回かやり取りして締結できたので、Web会議をセッティングした。

【Web会議】 
とんちゃん 「さっそくだけど、この『トントロ初号機』の攻撃してもらえる?まぁ、大丈夫だと思うけどw」
トドくん 「・・・」
とんちゃん 「そう、疑似攻撃。ペネトレーションテストをしてほしいのだけど。」
トドくん 「とんちゃん、それは構わないのだけど、その前にいくつか確認させてもらえる?」
とんちゃん 「いいよ。NDAもばっちりだし、なんでも聞いて」
トドくん 「そのトントロ初号機のセキュリティ要件とそれに紐づくセキュリティ設計書とかって作っている?」
とんちゃん 「この製品は、そこまでは作り込んでいないよ。脅威の洗い出しはしてはいるけど、それも十分なのかははっきりしていないね。」
トドくん 「そっか、そういう状態だと色々問題見つかるかもしれないね。」
とんちゃん 「一応、IoTセキュリティガイドラインやOWASPのIoT Top10、CCDSのセキュリティ要件などを参照して、対策はしているよ。」
トドくん 「そうなんだね。理想的なことをいうと、設計前にしっかり脅威分析して、それに基づいてセキュリティ要件決めて設計し、実装して、検証(脆弱性診断など)までした製品に対して、ペネトレーションテストやるのがよいと考えるけど。」
とんちゃん 「あぁ、シフトレフトとかセキュリティ・バイ・デザインってやつね。でも、セキュリティを意識し始めたのがほぼ実装に入る段階だったからなぁ・・・」
トドくん 「確かに、ゼロからの新規開発じゃなく、シリーズ製品とかだと流用とかも多いだろうし、企画、設計段階からセキュリティを組込むって難しいケースもあるね。」
とんちゃん 「うーん、いきなりペネトレーションテストだと、よろしくない?」
トドくん 「セキュリティの実装状態の検証を目的にするのであれば、品質テストのように脆弱性診断で実装検証した方がよいと思うよ。たまに、ペネトレで現行製品を検証してほしいっていう依頼もあるけど、セキュリティを考慮して作っていない製品に関しては、あまりおススメしないかな。ペネトレだとコストもそれなりに掛かるので、しっかりセキュリティも作り込んでから、万全な製品に対して実施することをおススメしているね。」
とんちゃん 「うーん、それが理想だけどねぇ・・・どうするかなぁ・・・一応、セキュリティも考えて開発してるし・・・少し検討してみる。」
トドくん 「そうだね。決まったら、連絡ちょうだい。」

ブログ画像3

『デバイスペネトレーションテスト

とんちゃんは、数日、色々と悩んだ結果、社運を賭けた製品でもあることから、しっかりと検証してもらうことに決めた。

もう一度、トドくんと相談し、とんちゃんのところで実施した脅威の洗い出し結果のレビューにプラスして、足りない部分の脅威分析と脅威分析を基に実装検証も含めたバイスペネトレーションを依頼することにした。

とんちゃん 「けっこう費用掛かるけど、トドくん、お願いします!」
トドくん 「了解、任せておいて! うちのペンテスターは失敗しないので」

数週間後。

トドくん 「とんちゃん、お待たせしました。予定通り、明日、詳細報告するね」
とんちゃん 「どうだった?」
トドくん 「そうだね、全体的にはできているかな。当たり前だけど、スキャン程度では問題は見つからなかったよ。ただ、すでに報告しているけど脅威分析でいくつか仕様上で気になる点と、大きな問題としては、ペネトレでのファームの解析からいくつかクリティカルな問題が見つかったよ」
とんちゃん 「あらま・・・ありがとん。」

さらに次の日。

【報告会】
トドくん 「以上が、今回ご依頼いただきましたセキュリティ検証の結果報告となります。全体通して、何かございますか?」
とんちゃん 「トドくん達、ありがとんございました。やはり、セキュリティも安全性と同じようにしっかりと要件を決めて設計をして、作り込まないとダメなんだね。それなりにセキュリティも考えてたつもりだったけど、足りなかったよ」
トドくん 「こちらこそ、我々に依頼してくれてありがとう。お役に立てて、よかったよ。」

 

ブログ画像4

帰り際。
とんちゃん 「次の製品は、企画段階からセキュリティのアドバイスをお願いしようかな」
トドくん 「いいよ、いつでも連絡ちょうだい。」
とんちゃん 「んじゃぁ、さっそく、牧場がもうかるIoTサービスの企画つくってちょうだい!」
トドくん 「それは、とんちゃんの仕事でしょッw」

お後がよろしいようで。

参考:

1.総務省 / 経済産業省 IoT セキュリティガイドライン Ver 1.0
2.OWASP Internet of Things (IoT) Top 10 2018
3.一般社団法人 重要生活機器連携セキュリティ協議会 IoT 分野共通セキュリティ要件 ガイドライン 2019 年版