みぞメモ

ブログ作成用のメモ登録

勉強会:IoTセキュリティフォーラム

IoTセキュリティフォーラム

■ 日時:2019/7/31 13:00ー17:30
■ 感想

 → 久々のフォーラム形式のセミナ参加
   総務省、NEMDO、AIST など政府系の発表が多く
   CTO/CIO 向けの内容だったのかも知れない
 → しかし、本来、IoTが持つセキュリティの問題点の本質
   「不特定多数オブジェクションの管理方法」についての言及も無く
   従来のベンダ主導プロジェクトの域を脱していないのは問題ありと感じた
 → また、セキュリティを横断的なプラットフォームとして捉えられない
   日本の政府・自治体系のIOTシステムは、
   そのうち壊滅的な状態になることが見えていて恐いと感じたフォーラムだった

b-event.impress.co.jp


セミナ・メモ)

NICTにおけるIoTセキュリティの取組について

  〜国の機関が無差別侵入!? NOTICEの舞台裏〜

・NOTICE
 → 通信の秘密の侵害
 → 不正アクセス禁止法 → NITC法(改正)
   → 特別法は一般法に優先する

NICTによるIoT機器調査
 → ポートスキャン
 → バナー収集
 → 特定アクセス試行(登録IP)

● Internet of ThingsからSecurity of Thingsへ。

  最新の脅威分析と次世代のセキュリティ戦略

・IoTデバイス
 → FortiNAC

CPSとAIの生み出すセキュリティの脅威と対策

・IoT → (CPS) Cyber-Physical System
 → 情報世界・現実世界

CPSセキュリティ
 → SWの欠陥 → 決定論

・SWの品質
 → 安全性の作り込み → 構造的・構築的 → 網羅性
 → 全てにリスクにに対策を実施 → 安全
 → セキュリティ → 網羅性の確保が難しい
 → 閉鎖空間 → 開放空間のリスク

・AIの品質・セキュリティ
 → 自動制御
 → ML → 品質管理に不利(説明責任が取れない)
 → OECD Principles on AI(2019/5/22)

・MLの特異性
 → データから統計的に構築
 → 学習結果がブラックボックス

・AI (CPS) リスク
 → 計測セキュリティ → Sensor Fusion(矛盾入力対策が必要)
 → 学習の網羅性 → 異常事態の学習(リスク検討・列挙) → 習熟度測定
 → 安定性・完全性 → クロスバリデーション、アンサンブル化
 → Adversarial Attack → 誤認識 → 判断の安定性・リスク評価
 → Model Privacy → 学習性の一方向性が保証されていない
 → 公平性 → 社会的倫理 → 説明できるXI −XAI, explainable XI
 → システム安全性・セキュリティ

・AIST 機械学習AIシステムの品質ガイドライン

● IoTデバイスを悪用する標的型攻撃

  〜独自のリサーチで分かった脅威の実態とその対策〜

・IoTデバイスを悪用する標的型攻撃
 → 標的型攻撃 → 特定組織、潜伏(APT攻撃)
 → プロキシ経由

・BlackTech → APTグループ(台湾/日本ターゲット) 

サプライチェーンマネジメントにおけるPSIRTの重要性

サプライチェーン
 → セキュリティ開発ライフサイクル(SDL:Security Development Lifcycle)
 → 情報セキュリティリスクの顕在化 → 階層化
 → SBOM → SW Bild of Materials
 → FIRST CSIRT/PSIRT
 → PSIRT Product Security Incident Respons Team

・製品/サービス セキュリティ
 → SONY 品質マネージメント
 → 東芝 
 → パナソニック