前回から2ヶ月ちょい。OWASPのイベントに行ってみました。
https://owasp-kansai.doorkeeper.jp/events/68374
今回の題材はIoTセキュリティ。注目されている分野なだけに、
早いうちに申し込みは満席になっていました。
先ほど帰宅しましたので、忘れないうちにメモを整理してみます。
(1)IoTセキュリティって特別なの?
大まかに言うならば「管理できるか管理できないか」の違いで特別ではない。
セキュリティアーキテクチャについては、NIST SP-800見るべし。
https://www.ipa.go.jp/security/publications/nist/index.html
先にこの辺読んどいた方がいいのかな。
http://techtarget.itmedia.co.jp/tt/news/1705/30/news05.html
NIST SP800-183,SP800-160は日本語なさげ。
https://csrc.nist.gov/publications/detail/sp/800-183/final
https://csrc.nist.gov/publications/detail/sp/800-160/final
ソフトウェア開発において、JIS X 25010読んでないのはダメ。
http://kikakurui.com/x25/X25010-2013-01.html
IoT-A:ググったらブロックチェーンの話が出てきた(メモミスったかも!?)
JNSAのサイトにIoTセキュリティのレポートがある(2016年作成)。
→車やヘルスケア系の話は業界団体に任すものとして、個人向けに特化。
http://www.jnsa.org/result/iot/
(2)組み込み屋から見たIoT機器のセキュリティ
IoT機器は人が触れない場所に設置されることもある。
場面によっては、設置数が大量になる。一方で簡単に持ち去られるかも。
(物理セキュリティ大変そう…)
セキュリティのために閉域網(Intranet of Things)にすることがあるが、
それでも物理セキュリティは防げない。
組み込み機器では、今でもシリアルが使われている。
→セキュリティ側からすると、シリアルにさえつなげれば何でもできる。
(3)Webセキュリティ診断士からIoT診断にシフトした話
セッション内容はすべてフィクションw
OWASP IoT Top 10を見るべし。
https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf
IoT診断サービスをする会社が出て来てはいるが、
OWASP IoT Top 10準拠と書いているところは見当たらない。
→範囲が広すぎて、とても準拠なんて書けないのが本音っぽい!?
(4)必要とされるPSIRTとなるために
大事なことは「確実な情報」。風評に左右されないこと。
確固たるエビデンスを基に判断を下すべし。
→IoTに限らず、いわゆるCSIRT全般で言えることかな。
# レポるのは微妙に押さえた方がよさそうな雰囲気だったので、これ以上は自重。
(5)BoF:SDR(Software-defined radio)ではじめるradio hacking
無線のハックをソフトウェア的にやる話。
ハック用デバイスは数万くらいで購入可能。
世の中の無線使って動く機器は、押しなべてセキュリティ緩い。
IoTで何かする場合は、無線の電波のセキュリティも考えなければならない。
まじめにハックするにあたり、受信はいいが送信系で何かしらする場合は
電波的に遮断されたないし暗室(精神と時の部屋)が必要。
↓
クライアント、サーバ、ネットワーク(有線、無線)ほか諸々と、
IoTセキュリティは範囲が広すぎて、もはや一人でどうにかなるようなものじゃない。
今日の話を知ってしまうと、今後クラウドサービスの紹介資料とかで出てくる
「IoTはサクッとできる」系の文言を見ると、苦笑してまいそう。
(3)の講演で、社内外コミュニティなどで各分野に強い人とつながりを作って、
分業で取り組まないと到底回らないというくだりがあったが、激しく同意。
<戦利品>
味噌汁でカンパイ!(5)
