A start point on a security study of a Raspberry pi version 0.4

1
Raspberry PI のセキュリティ対策 ver0.3
斉藤直希，小川
清(名古屋市工業研究所)

Starting point of a Security Study on a Raspberry PI
SAITO Naoki, OGAWA Kiyoshi(Nagoya Municipal Industrial Research Institute)
抄録(abstruct)
Raspberry PI を利用するにあたって最初にセキュリティを検討した事項を記録する。関連機関と連携し順次更新する。
Before using a Raspberry PI, we note a security study. We will update this in cooperation with the related organizations.
主要語(key words)
ラズベリーパイ, セキュリティ, インタネット,標準,トッパーズエスエスピー
Raspberry PI, security, internet, standard, TOPPERS/ssp
１．はじめに
Raspberry Pi[1]はイギリスにおいて教育用に用いることがで
きる超小型の計算機である。Linux[2]を搭載したシステムとして
普及している。Linux を搭載して利用する場合には、Linux とし
てのセキュリティ対策が万全であることが最低限必要である。
しかし，Raspberry Pi は OS の機能を意識しなくても使える設計
になっている[3]。そのため，Linux としてのセキュリティ対策
を万全にはせずにインタネット接続する可能性がある。
名古屋市工業研究所では，IoT(Internet of Things)[4]の先駆けと
なる TOPPERS/SSP (smallest set profile)[5]を 2009 年より杉本明
加氏と共に設計している。また TOPPERS/SSP を Raspberry Pi で
動作させる移植をされた高橋和浩氏とともにカーネルソースの
勉強会を名古屋市工業研究所[6]と SWEST[7]で実施してきた。
研究試作の段階では Linux を使い，量産段階では
TOPPERS/SSP を使うという選択肢を提案する。この利用方法提
案する前に、まずインタネットの特徴[8][9]、無線と Raspberry PI
のセキュリティ対策を検討する。ただし、セキュリティを守る
方法について具体的に記述すると、どこが弱いかを曝け出して
いることにもなる。その為、記述が抽象的になっていることが
ある。具体的な話は、それぞれの参考文献を参照する場合があ
る。また著者らは安全について取り組んでおり、安心の取り組
みの相乗効果を検討する[10][11]。
２．インタネットの特徴
インタネットの特徴には、あなたのコンピュータは私のコン
ピュータという継ぎ目のない(seamless)な接続利用者の視点[12]
と、ネットワークの相互接続[13]というネット側の視点がある。
2.1 あなたのコンピュータは私のコンピュータ

インタネットではファイルの共有機能によって、インタネッ
トに接続しているコンピュータのディスクを、自分のコンピュ
ータのディスクのように利用できる機能がある。古くは
NFS[14][15][16]にはじまり、多くのファイル共有システムが利
用可能になっている。ファイル共有ソフト Winny[17][18]もイン
タネットの原理に基づいたもので特異なソフトウェアではない。
ただし、利用の仕方において著作権を軽視した運用をしていた
システム、利用者があった為問題になった。現在でも様々な
Web サーバやサービスでファイル共有サービス
[19][20][21][22][23][24][25]があるが、著作権に関する監視を強
化している。

遠隔ログイン機能(telnet)[26][27][28]によって、自分のコンピ
ュータの中で、相手のコンピュータを操作する機能も基本機能
である。そのため、インタネットでセキュリティを強化するこ
とは根本的に不可能だと思った方がよい。特に、これらの基本
機能を理解していないと、自分のコンピュータを他所から操作
されないようにすることは難しい。

文字だけでなく、図形・写真・音響・動画などが容易に取り
扱えるようになっている。また、計算機のソフトウェアも大量
に流通している。ソフトウェアの更新、特にセキュリティ対応
の更新がインタネット経由で配布している。しかし、セキュリ
ティ対応の更新を偽装して、ウィルスなどを配布する可能性も
あり、常に最新のソフトウェアにしていればよいという過信は
禁物である。ファイルの形式が多種類[29][30][31][32]であるこ
とも、ネットワーク利用の不安定要因になっている。日本語
[33][34]では文字化けという現象が生じることも困り事である。
また、文字化けはセキュリティ上の問題との区別がつかない課
題もある。原因として文字コード[35][35]、文字フォント[37][38]、
文字処理[39]のどこに原因があるかを切り分けるのは大変であ
る。実験の初期段階では英語だけで行うことも複雑度を下げる
方法である。
2.2 ネットワークの相互接続

inter net という言葉の意味通り、ネットワークの相互接続がイ
ンタネットの原理である。そのため、ネットワークの相互接続
地点で接続方式を取り決める。接続地点で取り決めた以上のこ
とを、他のコンピュータやそのコンピュータの利用者に要求す
ることは難しい。接続地点での取り決めは RFC[40][41]として提
案する。インタネットの通信規約である TCP[29]/IP[30][31][32]
はじめ、IP を自動設定する DHCP[33]、 IP アドレスではなく名
前による接続を可能にする DNS[34][35]なども RFC に基づいて
いる。IPv4 で外部アドレスを利用しない方式である NAT[36][37]
も重要な技術である。

ネットワークの相互接続地点で、不必要な通信の排除
(filtering)[38]をする技術がある。子供への有害情報の排除を目的
としているほか、セキュリティ上の機能を果たすこともできる。
接続しているコンピュータだけでセキュリティ対策を立てるの
では有効ではない。家庭であればプロバイダ等と接続している
ルータ、工場・商店等であれば、インタネットを接続している
ルータまたはゲートウェイコンピュータで防火壁(fire wall)[39]
を立てる。ウィルス対策[40]や不必要な通信の排除も、ゲート
ウェイ（ルータ）とコンピュータの両方で設定をしている必要
がある[41]。
インタネットはネットワークの公開試験の場でもあり、次々と
新しい通信規約を RFC として提案があり、新しい通信への対応
は容易ではない。計算機の OS によって対応する通信規約に制
限があり、付加的に通信規約に対応することも可能であり、こ
れらの選択肢を網羅することは専門家に依頼すると良い。

日本では電電公社による通信の独占から通信事業者間の相互
接続になったことも平行して実現している[42]。そのため、ネ
ットワークの相互接続につて、事業者間の間のことだという誤
解があるかもしれない。すべてのインタネット接続が、ネット
ワークの相互接続で、１台のコンピュータをインタネットに繋
ぐだけでも、１台のコンピュータを持つネットワークとして接
続しているということを認識しているとよい。
2.3 資料整理

インタネットに関する文献には、理論的なものと実用的なも
のがある。実用的な文献は、しばしば概念の混同がある。また、
資料の入手可能性の課題がある。インタネット技術は発展的で
あるため、いつ発行のどの版かで事情が異なる可能性がある。
インタネットにおける法・規格も日進月歩であり、各国の法・
規格のばらつきが大きいことが推定できる。
1)インタネットに関する法律
1-1)電気通信事業法[43][44][45]

電気通信を業務として行う活動に関する法律。電気通信主任技
術者、電話工事担任者の資格が関係する。これらは従来は電電公
社の内部的なものであったが、国家資格として機能させるように
なったものである。そのため、これらの資格においても、セキュ

リティの扱いは重要な項目である。
1-2)電波法[46][47][48][49][50][51][52]
電波を使う無線通信に関する法律。放送については別に放送法
がある。電波を扱う専門家としては無線技術士、無線通信士があ
る。無線技術士は保守、無線通信士は運用を行う。これらの資格
においてもセキュリティの扱いは重要な項目である。
1-3)個別対応法律
セキュリティ上の個別の事象に着いての法律を作成した時期が
ある。この方式では、規格と同様、法律がいくつあっても足りな
いかもしれない。
不正アクセス行為の禁止等に関する法律, 1999
電子署名及び認証業務に関する法律,2000
特定電子メールの送信の適正化等に関する法律,2002
1-4) サイバーセキュリティ基本法
2) セキュリティに関する規格
参考文献にセキュリティに関する規格を列記[300]-[454]した。
IEC, ITU にもセキュリティ関連の規格があり、数百に及び。個別
の技術、応用に対応した決め細かい規格があるが、更新をしたり、
相互の矛盾を確認することが困難な状況になりつつある。
3) IPA の資料

IPA が発行した「つながる世界と開発指針」[37]の参考文献の
一覧に掲載のない資料の一覧を作成し，略号一覧に掲載のない
略号の一覧を作成した。また URL ですでに接続できないものの
確認，最新の追加された資料も一覧にした[38]。これらの最新
の情報に更新する作業は，ソフトウェアの更新同様重要で，作
業者の誤解を防止する意味がある。著者らは CERT C の
Bibliography の更新にも協力している[39] 。
「情報セキュリティ 10 大脅威 2016」[40]の対策[例]を表に示す。
１０大脅威２０１６[40] 著者らの対策[例]
インターネットバンキングやクレジット
カード情報の不正利用
銀行，クレジットカードの番号を記
録しない（メールでも）。
標的型攻撃による情報流出機密情報を記録しない。
ランサムウェア[41]を使った詐欺・恐
喝
大事な情報は、Raspberry PI にオ
置かず、安全な複数箇所に置く。
ウェブサービスからの個人情報の窃
取
個人情報を置かない。
ウェブサービスへの不正ログイン
ID，パスワードを単純なものにしな
い。ログイン失敗回数で警告。
ウェブサイトの改ざんウェブサービスを削る。
審査をすり抜け公式マーケットに紛
れ込んだスマートフォンアプリ
スマフォアプリを起動しない。スマフ
ォシミュレータ入れない。
内部不正による情報漏えいとそれに
伴う業務停止
技術者のやる気を大切にする
巧妙・悪質化するワンクリック請求ブラウザを削除。
脆弱性対策情報の公開に伴い公知
となる脆弱性の悪用増加
脆弱性対策は迅速に。脆弱性対策
に脆弱性がある可能性を忘れない

表
情報セキュリティ 10 大脅威 2016 対策[例]
ここでは実用性を考慮し、対策を安心側に倒した例を示した。
実際に必要な機能は利用せざるを得ない。ROM、CD や DVD な
どの読み出し専用の記憶媒体で起動する方法がある。書き込み
ができないため、書き換えられる心配はない。Raspberry PI では
書き込み禁止の SD カードで起動する方法である。この場合に
は、作業ファイルはメモリ上に確保する必要がある。これらの
書き換えができないシステムだからといって、乗っ取って他の
システムの踏み台にされないとは言えない。乗っ取られても再
起動すれば、乗っ取られていない状態に戻すことはできる。た
だし、同じ設定のままで再起動しても、すぐに乗っ取られる可
能性があるため、設定の変更は必要である。
3．無線
3.1 無線の特徴

ケーブルで通信できない場所は、電波で通信する。たとえば、
道路を挟んだ向かいの敷地など、ケーブルを敷設する権利のな
い空間が間にあれば仕方がない。また多くの機器をネットワー
ク接続する際に、ケーブルの重さ、体積が大きく、無線の方が
合理的なことがある[41][43]。無線の方が、ケーブルの配線によ
る事故の確率の増加に対しては有効な場合がある。刺し間違え、
中継装置の故障などによる不通を防ぐことができる。測定機器
をあちこちに設置する場合に、ケーブルで配線するのは現実的
に費用対効果が疑問である。少しの配置の変更にも何時間も配
線のし直しの作業が必要になることがある。そのため、電波の
計測を定期的に行うと良い。

しかし、無線にはノイズ、見通し、遅延、妨害など様々な課
題がある。また無線帯域によっては、雨の日に弱いということ
もある。無線同士の干渉など、敷地全体を管理していないと、
ある日突然通信できないという現象が起きることがある。

無線は電力によっては物理的には傍受が容易である。敷地外
に漏れたり、敷地内でも外来者が行き来する場所で受信できる
ようであると、対策が必要である。そのため暗号化によって傍
受を防ぐとよい。暗号化の方式は順次複雑なものに移行してい
る。

無線でよく利用されているのは wifi[44][45], Bluetooth, 携帯
電話[46][47][48]がある。
3.2 工場・商店・事務所等と無線

工場においては、各種機器の測定、環境測定など多地点での
測定が必要になる。従来はセンサノードと特別のネットワーク
を繋ぐ場合があった。例えば、パチンコ店では ARCNET[49]を
用いてきた。しかし、TCP/IP で利用する Ethernet[50]が高速で
安価になると、別のネットワークを利用する費用対効果が得に
くくなる。しかし、直接外部とのやりとりが必要がない場合に
は、インタネットにつながずに利用すれば、工場・商店などで
も Ethernet と TCP/IP を利用することがある。工場では、機械装
置などの電気ノイズが大きく、ネットワークケーブルの種類に
よってはうまく通信できないこともある。

また、工場での無線の利用による安全対策などが検討されて
いる。特に、防爆の必要がある場合には、電気機器の指針があ
る[51]。しかし、無線の利用を想定していなかったため、具体
的な空中線の出力・入力、電波の強さなどについて説明がない。

工場での事故を防ぐため無線を利用した警報装置などが考案
されている[52]。また工場だけでなく第三次産業においても機
械による死亡事故があり無線による警報装置が検討されている
[53]。

事務所等では来客に無線によるインタネット接続を提供する
のがお茶やトイレと同等な基本サービスになっている。そのた
め、来客用のネットと業務用のネットの契約相手を変えること
により、セキュリティを高める工夫をしていることがある。
3.3 医療機器と無線

総務省では、「各種電波利用機器の電波が植込み型医療機器等
へ及ぼす影響を防止するための指針」[54]を出している。これ
は工場における作業者、商店における作業者、顧客など電波発
生源に近接せざるを得ない人たちをどう防ぐかにとって重要で
ある。「知っていますか？「植込み型医療機器」をより安心して
使用するためにできること」[55]では、個々の機器ごとに何セ
ンチ以上離すと良いかを紹介している。これは、相互の機器の
出力水準の変化によって影響を受けるため、常に新製品に基づ
いた情報の改定に注意が必要である。また、医療機器へ及ぼす
影響は、その他の機器にも同様に影響を受けるため参考になる。
4．Raspberry PI のセキュリティ対策
4.1 Raspberry PI のインタネット対応

TCP/IP は Unix(OS)[51]上で開発されてきた。Raspberry PI を
Linux で動かすのであれば、Unix とほぼ同様の機能が利用でき
る。標準的な機能は膨大で、ウェブサーバ[52]やデータベース
[53]も利用可能である。そこで必要最小限の機能以外を削除し、
設定を制限する必要がある。
Raspberry PI をネットワークの測定機器として利用すること
も可能である。Raspberry PI に Wireshark[54][55]を入れ、通信機
能を有効にする。無線を測定する場合には、受信可能な無線が
どれくらい飛んでいるかを測定することができる。

名古屋市工業研究所では、ネットワークの測定を指導してい
る[56]。ただし、ほんの少しの位置の変化で、受信可能になっ
たり、受信不能になることがあるため、無線の測定の経験が必
要になる。Bluetooth[57][58]のモジュールによってはアンテナに
指向性があるため、ある方向で測定した結果で通信可能地点の
円を描くことはできない場合がある。
4.2 Raspberry PI のセキュリティ対策
Raspberry PI でも USB[56][57][58] が利用できる為 USB Wifi,
USB bluetooth を繋げば容易に無線で接続できる。Raspberry PI
3B では Wifi, bluetooth 共に標準装備である[59]。

Raspberry Pi で Wifi, bluetooth を利用しないのであれば、ソフ
トウェアのドライバを無効にしたり、機能が利用できなような
対策を取ると良い。しかし、標準搭載の機能を使わないのであ

れば、入手可能で、処理時間が間に合うのであれば、搭載して
いない機器を利用する方が良いかもしれない。
Linux としてのセキュリティ対策が万全にするためには，いく
つかの事項を提示する。これに止まらず，何をしたいかにより，
どういう通信規約を使い，どういうアプリケーションソフトウ
ェアを使うかで，それぞれ個別に検討が必要である。
1) ID/パスワード
登録されている全ての ID とパスワードを確認する。また，既
存の ID のままで良いかどうかも検討する。例えば，PI という
ID を削除しても良いかどうかなど。
2)ネットワーク設定

ネットワーク設定は、設定の変更として、利用しないポート
は全て閉じ，利用するポートも既知のポートは利用しない。例
えば、運用時は NFS などのファイル共有は利用しない設定にす
るとよい。また、マイクロソフトの Windows とのファイル共有
SAMBA[64][65]は開発中利用したとしても、運用上は利用しな
い方がよい場合がある。通信設定として softether[66][67]、セキ
ュリティに対応した IPSec[68][69][70]の採用を検討すると良い。
3) 遠隔ログイン

遠隔ログインは telnet を使わず、SSH（Secure Shell[60][61]）
を使う。
Raspberry PI に直接キーボードとディスプレイを繋ぐ場合にお
いても利用するため，必ず暗号化[62]の方式を含めて検討する。
ただし SSH[63]にも穴が見つかることがあり、SSH を使ってい
るから安全だという過信は禁物である。
4) メール

メール[71][72][73][74][75]がウィルスの拡散の大きな経路で
す。メールを利用しないように、メール機能を削除・停止しま
す。システム管理者への警告などで送信機能を利用したい場合
には、送信だけ可能にします。
5) ブラウザ・サーバ機能

ブラウザは、システムの脅威への大きな経路です。しかし，
HTTP[76][77]の利用は危険が高い。HTML[78][79][80]は便利な
タグ付き文章ですが、ブラウザを利用しないように機能を削
除・停止することも検討します。

サーバ機能があった方が色々便利に使えます。例えば，外部
からの設定変更でも，全てブラウザで可能にすることができる。
利用するとしても，発信だけで不必要な受信をしないように設
定することも重要である。サーバ機能を利用しなくても動くシ
ステムを検討すると良いかもしれません。
6) シリアル

イーサネット、Wifi, Bluetooth 以外にも、USB, GPIO のシリア
ルピン、セキュリティ上の課題はある。
Linux が起動している時にシリアルピンに接続すると、systemctl
コマンドで設定を変更する[][]。cu コマンドでデータ転送もで
きる[][]。
Linux の初期設定は USB 利用とのことである為 USB 接続への防
御策も検討すると良い。
また、画像の入力の偽造、画像の出力の盗み見など、HAZOP
してみると良い。
7) SD カード

物理的な SD カードを差し替えてリブートすると乗っ取るこ
とは容易である。そのため、どの SD カードからブートしたか、
どうういうシステムが走っているかの監視が必要な場合がある。
4.3 Raspberry PI の応用領域とセキュリティ
セキュリティは扱う情報の質・扱う場所によって取るとよい方
法が全く違う。そのため、一般的な基準だけでは役に立たない
ことがある。
1) 金融・住民票・税務・販売・保険

個人情報、企業情報などの重要な機密を扱っている。これらの
基本情報が漏洩・流出しないように扱った人の情報を付けて操作
するようにしないと、重要な情報を扱っているとの認識を持たな
い可能性がある。手入力の ID, パスワードだけでなく ID カード
などの物理的な鍵を利用するとよい。
金銭情報を扱う場合には、桁間違い、操作謝りを防ぐための顧
客または組織による金額の確認方式を取るとよい。顧客も ID カ
ードなどの物理的な鍵を利用する。
3)交通・流通（鉄道・航空・自動車の運用を含む）

物の移動を伴い、安全が関係する領域であるため、安全対策と
セキュリティ対策を有効に組み合わせないと矛盾が大きくなる
可能性がある。企画時、設計時、運用時に安全と安心の両面で
HAZOP を実施するとよい。
4)製造・土木・建築

安全と安心の均衡を図るため HAZOP を実施すると良い。
5)農業・牧畜・水産業（船舶・養殖の運用を含む）・林業

作物・大気・水・土などの広範な物理・生物情報を扱う。
6)宿泊・劇場・映画・会議

予約の変更を間際まで受け付けて衝突、無駄がないようにする。
7)公共サービス（水道・電気・ガス・電話・ネット）

実際に提供しているサービスを利用者に情報還元する。
５．提案と課題

5.1 TOPPERS/ssp
TOPPERS/SSP は、自動車用の OS である OSEK[30](商用で
Autosar[31]と呼ばれるものの基本仕様)の最小構成と同様にタ
スクの待ちがない。そのためインタネットプロトコルでは、そ
のままでは UDP[32]は対応できるが、TCP には対応できない。
UDP は測定データの垂れ流しのような一方的に情報を送りつけ
るには十分である。温度、気圧、日照、湿度、風力、観測対象
との距離、音、画像などの送信にも良い。画像で部分的な精度
が常時必要でないような通信の場合にも利用できる。
また，家電用のネットワークであるEchonet light[33]では、UDP
だけで機能する仕様もある。家電用の Echonet light には長島宏
明氏が設計した TOPPERS/ ECNL[34]がオープンソースで対応
している。Raspberry PI 版の移植はこれからである。TCP が必要
な場合は高橋和浩氏が待ちの追加を実装されている[35]。また,
ルネサスの HEW 環境でシミュレータだけで動作する版も公開
されている[36]。
研究試作段階では Linux の機能を利用して設計，試験を行うと
便利である。しかし量産品の場合には，セキュリティ対策が重
要である。もし，発信するのみで受信を想定しない場合には，
TCP ではなく UDP を使う方法もある。UDP で通信が大丈夫で
あれば，OS として名古屋市工業研究所製 TOPPERS/SSP を選択
する方法もある。各種仕様の Raspberry PI 版の移植実装はこれ
からの課題である。この資料は名古屋市⼯工業研究所⻫斉藤直希に
よる「Raspberry Pi 3 + Node-RED によるネットワークデバイス
の構築」[81]の補助資料も兼ねて配布させていただいた。これ
から Raspberry PI を工場、事務所、家庭でお使いいただく参考
にしていただければ幸いです。
5.2 人材育成
悪意のある人が大勢いたら、どれだけ考えても対応ができな
い可能性がある。攻撃は興味のあるところを深掘りすればよい
[82][83]。防御は、攻撃者の興味がどこにあるかわからないため、
全方位対応が必要である。技術、人、組織という物理科学、生
命科学、社会科学に渡った体系的な知見が必要である[84][85]
1)通信規約、設計・設定、測定
ネットワークは言葉の通り網状に繋がっている。大規模ネッ
トワークは相互接続であるために、誰か一人が勝手に設計する
訳には行かない。通信規約はプロトコル言語[86]で記述したり、
仕様記述言語で記述する[87]。また、応答時間の現象を分析す
ることになる[88]。
またネットワークの設定は文字ですることがあり、文字・数
時間の対応がわかりにくいことがある[89]。ネットワークの測
定は難しい。パケットが無ければ測定はできない[90] 。また測
定できないと不調の改善ができない[91]。測定するためにパケ
ットを送ると状態が変わり、測定結果が必ずしも測定したい状
態とは限らない。
2)プログラミング言語
プログラミング言語によってもセキュリティの度合いが違う
可能性がある。C 言語[92][93][94]は、C コンパイラ[95][96]や
Linux などの OS を記述してきたが、インタネットのあなたのコ
ンピュータはわたしのコンピュータという機能を実現するため
の役割を実現するためのものである。
C 言語は計算機の機能をすべて記述できるようにしているた
め、計算機にセキュリティ機能が十分でなければ、そのままの
状態でも提供できてしまう。そこで、 MISRA
C[97][98][99][100][101], CERT C[102][103]などのコーディング
標準によって空間的な不具合を減らす努力をしている。特に
ISO/IEC から TS[104]を発行しており、従来の C の精神からセキ
ュリティでは移行している。しかし、計算機の同時処理や信号
の同時到達に伴う不定の発生などに対応するためには、計算機
を含む論理回路自体のセキュリティ機能を十分にする必要があ
る。論理回路の安全と安心を確保するためには STARC RTL 設
計スタイルガイド[105][106][107]によって、対応を取るのがよい。
また、その際の分析手法として HAZOP[108][109]を推奨する。
3) 分析・実験
STAMP/STP[110][111]などの HAZOP を応用したシステムは、

制御などの知見を含むため、一時的には効率はあがるが、機械・
電気・材料などのシステムのハードウェアを構成する部分との
総合評価や、人間・組織などの利用者を含む総合評価には、不
十分である。そのため、設計審査などの中間地点での利用には
効果があるが、設計前の構想段階、出荷前の最終検査では
HAZOP で整理するとよい。
名古屋市工業研究所ではネットワーププログラミング教育は、
Visual Basic[112], Turbo-C[113], JAVA[114][115]と変化させてき
た。Visual BASIC を使わなくなった理由は、シリアルまわりの
ライブラリの不具合と、ネットワークライブラリまわりの不具
合がある。C 言語から JAVA に変更したのは、JAVA の方が記
述量が少なくて済むためである[116]。またアナライザ[117]、セ
キュリティ実験[118]の関連書があるのもよく、ソフトウェアを
作成したら、実験（試験）と分析は必須である。
4)技能
ネットワークの専門家の技能領域を検討する。情報処理安全確保
支援士制度では、３つの分野と倫理を上げている。
情報セキュリティシステムの開発に関すること

脆弱性を実習形式で学べるツール「AnCole」（IPA）[]
情報セキュリティの運用に関すること

IPA の注意喚起「今月の呼びかけ」[]
情報セキュリティ関連法規とガイドライン

「サイバーセキュリティ経営ガイドライン」[]
これらは、ソフトウェア、組織に関する技術であり、論理回路・
計算機のセキュリティ技術が抜けているかもしれない。またセキ
ュリティしすてむだけの開発や、セキュリティだけの運用はあり
得ず、システム開発ができるかどうか、システム運用ができるか
どうかは、それぞれの対象領域ごとに異なる。また、対象領域に
よっては、機密にしたい情報の質が異なる為、それぞれのシステ
ムごとの対応関係が明確になっていると良い。
5.3 まとめ

通信は総務省、計算機は経済産業省、労働安全は厚生労働省
など、省庁の管轄における整合性はインタネットについては、
他の技術分野に比べて整合性が取りやすい。インタネット技術
がどんどん進化するため、情報は常に更新できる体制で発信す
ることが重要である。ただし、CERT C のように頻繁に変更が
あると、どの時点を基準線にするか判断が難しい。大規模な改
版があれば、書籍として出版することの重要性を感じる。いず
れにしろ、この資料は定期的に更新することを確約(commit)し
て作業を中断する。
Raspberry PI は、Python[119][120]教育にも用いることができる。
名古屋市工業研究所では、Python による Web サービスを利用
した Deep Learning[121][122]の勉強会を企画している。ここでは
画像処理を対象にするが、Deep Learning のセキュリティへの対
応について勉強会後検討したい。
文

献
文献は、規格、法律を網羅するとともに、対応する実用書の例を示すよう
にした。実用書は例で、その本がよいかどうかよりも、その本で確認した
ことを示すものである。よりよい実用書があれば、ご紹介くださると幸い
です。また、オープンソースをなるべく示すことにし、具体的なプログラ
ミング例で確認できることの重要性を確認してもらえるようにしたい。筆
者の一人は１級無線技術士、第 1 種電気通信主任技術者、技術士（情報工
学）、工学博士で、無線・通信領域における法・規格について詳しいこと
になっている。重要な法律・規格についての抜け漏れがあれば、ご指摘く
ださると幸いです。
[1] RASPBERRY PI FOUNDATION, https://www.raspberrypi.org
[2] ISO/IEC 23360-1:2006 Linux Standard Base (LSB) core specification
3.1 - Part 1: Generic specification, ISO,2006
[3] 手のひら Linux でハイパー電子工作, Interface 2013 年 12 月号, CQ
出版, 2013
[4] K．Ashton, That 'Internet of Things' Thing, Jun 22, 2009
http://www.rfidjournal.com/articles/view?4986
[5] TOPPERS/SSP, 杉本明加 , 斉藤直希 ,2017,
http://www.toppers.jp/ssp-kernel.html
[6] 髙橋和浩, raspberry pi 用 ssp カーネルシュリンク版の紹介,名古屋
市工業研究所カーネルソース勉強
会,2014,https://github.com/alvstakahashi/RPI-SHRINK-SSP-FULL
[7] 髙橋和浩,小川清, カーネルソースの歩き方 RaspberryPi 演
習,SWEST, 2015
http://swest.toppers.jp/SWEST17/program.html
[8] インターネットを使いこなそう, 中村正三郎, 岩波ジュニア新書,
2002
[9] 安全性の考え方、武谷三男, 岩波新書, 1967
[10] インタネット自由自在, 石田晴久, 岩波新書, 1998
[11]安全分析,状態記述と形式手法に着目した安全教育とスキル,堀武
司, 小川清,斉藤直希,渡部謹二,森川聡久,服部博行,安全工学シ
ンポジウム, 2009
[11] 堀良彰, 岩波講座インターネット 2 ネットワークの相互接続, 岩
波書店,2001
[12] NFS & NIS, ハルストーン, アスキー, 1992
[13] Sun Microsystems, "System and Network Administration", March,
1990.
[14] RFC3530, Network File System (NFS) version 4 Protocol, 2003
[15] RFC search, RFC Editor, https://www.rfc-editor.org/search/
[16] インターネット RFC 事典, マルチメディア通信研究会,アスキ
ー,1998
[17] RFC 793, TCP; Transmission Control Protocol, IETF, 1981
[18] RFC 791, Internet Protocol, IETF, 1981
[19] コンピュータネットワーク, アンドリュー・S・タネンバウム, プ
レンティスホール出版,1999
[20] LINUX Core Kernel コメンタリーオープンソースコード詳解,
Scott Maxwell,
セレンディップ, 2000
[21] RFC2131, Dynamic Host Configuration Protocol(DHCP), IETF, 1997
[21] Linux-Firewalls. Ein praktischer Einstieg.,
[23] Disable Your Antivirus Software (Except Microsoft's), Robert
O'Callahan, 2017,
http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-e
xcept.html
[24] ネットワーキングの経済学, 林紘一郎, NTT 出版, 1989
[25] UNIX, http://opengroup.org/unix
[26] Wireshark, https://sourceforge.net/projects/wireshark/
[27] 端末間経路選択のための片方向遅延測定方式,小川清,静岡大学
博士論文, 2005
[28] bluetooth SIG, https://www.bluetooth.com/
[29] 最新技術解説入門 bluetooth, ネットテクノロジーラボ, 技術評
論社, 2000
[30] OSEK, ISO 17356-1:2005 Road vehicles Open interface for embedded
automotive
applications Part 1: General structure and terms, definitions and
abbreviated terms
[31] AUTOSAR, AUTomotive Open System Architecture,
http://www.autosar.org/
[32] RFC 7684, UDP: User Datagram Protocol, 1980
[33] Echonet Light 規格書, https://echonet.jp/spec_g/
[34] TOPPERS/ECNL, 長島宏明 , 2013-2017
http://www.toppers.jp/ecnl.html
[35] 髙橋和浩, raspberry pi 用 ssp カーネルシュリンク版(待ちあ
り :WAIT-ssp), 2015,
https://github.com/alvstakahashi/SHRINK-SSP-KERNEL-ONLY
[36] 髙橋和浩 , WAIT-ssp HEW シミュレータ環境版 , 2015,
https://github.com/alvstakahashi/RX62N-WAIT-SSP-HEWSIM
[37] IPA, つながる世界と開発指針, 2016,
http://www.ipa.go.jp/sec/reports/2016 0324.html
[38] 「つながる世界と開発指針」文献一覧等, 小川清，2017
https://researchmap.jp/joyermwga-1826017/#_1826017
[39] Kiyoshi Ogawa, CERT C, AA. Bibliography, 2017
https://www.securecoding.cert.org/confluence/display/c/AA.+Bibliography
[40] 情報セキュリティ 10 大脅威 2016,IPA, 2016
https://www.ipa.go.jp/security/vuln/10threats2016.html
[41] トレンドマイクロ、ランサムウェア ,
http://www.trendmicro.co.jp/jp/
security-intelligence/threat-solution/ransomware/index.html
[43] 電気通信事業法 , 1984,
http://law.e-gov.go.jp/htmldata/S59/S59HO086.html *
[44] 電気通信主任技術者規則 ,1985,
http://law.e-gov.go.jp/htmldata/S60/S60F04001000027.html
[45] 工事担任者規則 ,
1985,http://law.e-gov.go.jp/htmldata/S60/S60F04001000028.html
[46]電波法, 1950, http://law.e-gov.go.jp/htmldata/S25/S25HO131.html *
[47]
電波法施行
令,2001,http://law.e-gov.go.jp/htmldata/H13/H13SE245.html 無線の
扱う範囲
[48]無線局（基幹放送局を除く。）の開設の根本的基準, 1950,
http://law.e-gov.go.jp/htmldata/S25/S25F30901000012.html
[49]放送法, 1950, http://law.e-gov.go.jp/htmldata/S25/S25HO132.html
[50] 有線電気通信法 ,
1953,http://law.e-gov.go.jp/htmldata/S28/S28HO096.html *
[51]船舶安全法, 1933,http://law.e-gov.go.jp/htmldata/S08/S08HO011.html
[52]航空法, 1952, http://law.e-gov.go.jp/htmldata/S27/S27HO231.html
[53] サイバーセキュリティ基本法 ,2014,
http://law.e-gov.go.jp/htmldata/H26/H26HO104.html
[54]高度情報通信ネットワーク社会形成基本法, 2000
[55]刑法,1911 ,http://law.e-gov.go.jp/htmldata/M40/M40HO045.html*
[56]著作権法,1970, http://law.e-gov.go.jp/htmldata/S45/S45HO048.html*
[57]民法
[58]労働基準法
[59] 電子署名及び認証業務に関する法律 ,2000,
http://law.e-gov.go.jp/htmldata/H12/H12HO102.html *
[60]電子署名等に係る地方公共団体情報システム機構の認証業務に
関する法律 ,2002,
http://law.e-gov.go.jp/htmldata/H14/H14HO153.html*
[61]行政手続における特定の個人を識別するための番号の利用等に
関する法律, 2013,
[62]住民基本台帳法, 1967,
[63]行政手続等における情報通信の技術の利用に関する法律
[64] 行政手続等における情報通信の技術の利用に関する法律の施行
に伴う関係法律の整備等に関する法律
[65] 特定電子メールの送信の適正化等に関する法律 ,2002,
[66] 不正アクセス行為の禁止等に関する法律 ,1999,
[67] 個人情報の保護に関する法
律,2003 ,http://law.e-gov.go.jp/htmldata/H15/H15HO057.html0
[68] 不正競争防止法 , 1934,
http://law.e-gov.go.jp/htmldata/H05/H05HO047.html
[69]商標法, 1959,
[70]組織的な犯罪の処罰及び犯罪収益の規制等に関する法律, 1999
[71] 私的独占の禁止及び公正取引の確保に関する法律 , 1947,
http://law.e-gov.go.jp/htmldata/S22/S22HO054.html
[72]金融商品取引法, 1948, [42] 無線データ通信入門解説, 無線デー

タ通信入門解説,ソフトリサーチセンタ
ー, 1994
[43] 無線 LAN 技術講座, 松下温, 重野寛, ソフトリサーチセンタ,
1994
[44] Wi-Fi Alliance, https://www.wi-fi.org
[45] 802.11 無線ネットワーク管理, Matthew Gast, オライリージャパ
ン, 2003
[46] i モード Java プログラミング - スタンドアロン・アプリケーシ
ョン編, アスキー書籍編集部, アスキー, 2001
[47] iPhone/iPad ゲーム開発ガイド Objective-C で作る 2D/3D ゲーム,
Paul Zirkle, Joe Hogue, オライリージャパン, 2010
[48] FPGA マガジン No.5 Linux/Android×FPGA, Interface 編集部, CQ
出版, 2014
[49] ARCNET tutorial, https://www.ccontrols.com/pdf/Tutorial.pdf
[50] ローカルエリアネットワークイーサネット概説, 上谷晃弘,丸
善,1989
[51] ユーザーのための工場防爆設備ガイド, 労働安全衛生総合研究
所技術指針,
JNIOSH-TR-NO.44, 2012, ISSN1882-2703,
https://www.jniosh.go.jp/publication/doc/
tr/ TR_No44.pdf
[52] 昇降・搬送用機械を対象とした基本安全技術の検討, 岡部康平
ら,
労働安全衛生 3 総合研究所特別研究報 JNIOSH-SRR-NO.43, 2013,
ISSN1882-2703
https://www.jniosh.go.jp/publication/doc/srr/SRR-No43-2-3.pdf
[53]第三次産業で使用される機械設備の基本安全技術に関する研究,
梅崎重雄ら,
労働安全衛生総合研究所特別研究報 JNIOSH-SRR-NO.43, 2013,
ISSN1882-2703
https://www.jniosh.go.jp/publication/doc/srr/SRR-No43-2-0.pdf
[54] 各種電波利用機器の電波が植込み型医療機器等へ及ぼす影響を
防止するための指針 , 総務省 , 2016,
http://www.tele.soumu.go.jp/j/sys/ele/medical/chis/
[55] 知っていますか？「植込み型医療機器」をより安心して使用す
るためにできること, 総務省, 2016, 同上
[56] USB Implementers Forum, http://www.usb.org/home
[57] 組み込み機器への USB ホスト実装技法―パソコン用 USB 周辺
機器を組み込みマイコン
から自在に使いこなす, インターフェース編集部, CQ 出版, 2008
[58] USB ターゲット機器開発のすべて―各種 USB コントローラの使
い方と基本ソフトウェアの作成法, インターフェース編集部,
CQ 出版, 2005
[59] Raspberry PI3model B,
https://www.raspberrypi.org/products/raspberry–pi-3- model-b/, 2016
[60] RFC4251, The Secure Shell (SSH) Protocol Architecture, 2006
[61] SSH, The Secure Shell: The Definitive Guide: The Definitive Guide,
Daniel J.
Barrett, Richard E. Silverman, O'Reilly, 2001
[62] Applied Cryptography: Protocols, Algorithms, and Source Code in C,
Bruce
Schneier, John Wiley & Sons, 1996
[63] OpenSSH セキュリティ管理ガイド, 新山祐介, 春山征吾, 秀和シ
ステム,
2001
[64] SAMBA, https://www.samba.org
[65] SAMBA で GO×2!, 太田俊哉, 浜野賢一朗, 加藤浩, 秀和システ
ム, 2000
[66] ソフトイーサ Web サイト, https://www.softether.jp
[67]SoftEther 活用ガイド, 登大遊・池嶋俊・村上和美, 株式会社ア
スキー, 2004
[68] RFC4301, Security Architecture for the Internet Protocol, IETF,
2005
[69] RFC7146, Securing Block Storage Protocols over IP: RFC3723
Requirements Update for IPsec v3,IETF ,2014
[70] IPSec Securing VPNs, Carlton R. Davis, Osborn, 2001
[71] RFC2821, Simple Mail Transfer Protocol, 2001
[72] sendmail システム管理, ブライアンコステールス, オライリ
ー・ジャパン,1997
[73] LINUX ネットワーク管理, Olaf Kirch, オライリー・ジャパン,
1996
[74] RFC1081, Post Office Protocol - Version 3, 1998
[75] RFC1730, INTERNET MESSAGE ACCESS PROTOCOL -
VERSION 4,1994
[76] RFC2616, Hypertext Transfer Protocol - HTTP/1.1, 1999
[77] サーバ構築の実際がわかる Apache[実践]運用/管理, 鶴長鎮一,
技術評論社, 2012
[78] HTML 4.01 Specification,
W3C,1999,https://www.w3.org/TR/html401/
[79] HTML 5.1, W3C, 2016,
https://www.w3.org/TR/2016/REC-html51-20161101/
[80] (無料電話サポート付)できるホームページ・ビルダー21, 広野忠
敏, インプレ, 2016
[81] RaspberryPi3+Node-RED によるネットワークデバイスの構築,⻫斉
藤直希,2017
http://researchmap.jp/mu64fv6cz-46465/#_46465
[82] ハッキングツールプログラム大全, 金床, DATA HOUSE, 2002
[83] Linux 版クラッカー迎撃完全ガイド―本物のハッカーが語るク
ラッキング
の手口と対策, Anonymous, インプレス, 2000
[84] コンピュータネットワークの政治学, 英司郎, 電気通信協会,
1994
[85] 科学の四分類と確率分布 , 小川清 , SWEST18, 2016,
https://www.slideshare.net/kaizenjapan/ss-65852140
[86] プロトコル言語, 水野忠則, カットシステム, 1994
[87] コンピュータプロトコルの設計法―正しいプロトコルの設計と
検証へ導く
総合解説書, ジェラード・J.ホルツマン, カットシステム, 1994
[88] オンラインネットワークの構造設計最適化ネットワークの理
論と手法,
国友義久, 近代科学社, 1978
[89] TCP/IP による PC ネットワーク管理, Craig Hunt, 1997
[90] インタネット QoS, Paul Ferguson, Geoff Huston, Ohmsha, 2000
[91] ネットワークトラブルシューティングツール, Joseph D. Sloan, O’
Reilly,
2002
[92] ISO/IEC 9899:2011 Information technology - Programming languages
- C, ISO, 2011
[93] ISO/IEC 9899:2011/Cor 1:2012, 2pages,
https://www.iso.org/obp/ui/#iso:std:iso-iec:9899:ed-3:v1:cor:1:v1:en
[94] B.W.カーニハン,D.M.リッチー著,石田晴久(訳:1989)プログラミ
ング言語Ｃ、共立出版
[95] GCC: Gnu Compiler Collection, https://gcc.gnu.org/
[96] LLVM, The LLVM CompilerInfrastructure, http://llvm.org/
[97] The Motor Industry Software Reliability
Association(1994):Development Guidelines for Vehicle Base
Software,ISBN 0952415607
[98] The Motor Industry Software Reliability Association(1998):Guidelines
for THE USE Of The language IN Vehicle Based Software ISBN
0952415690
[99] Guidelines for the use of the C language in critical systems, 2013,
ISBN 9781906400-11-8 PDF
[100] JSAE(2002):JASO/TP-01001 自動車用ソフトウェアの開発ガイ
ドライン,社団法人自動車技術会
[101] JSAE(2002):JASO/TP-01002 自動車用Ｃ言語利用のガイドライ
ン、社団法人自動車技術会
[102] CERT C Coding Standard, SEI, 2017,
https://www.securecoding.cert.org/confluence/display/c/SEI+CERT+
C+Coding+Standard
[103] CERT C セキュアコーディングスタンダード, Robert C. Seacord,
アスキー・メディアワークス, 2009
104] ISO/IEC TS 17961 Information technology - Programming languages,
their environments and system software interfaces - C secure coding
rules
[105] STARC RTL 設計スタイルガイド verilog-HDL 編, HDLab, 2011
[106] STARC RTL 設計スタイルガイド
VHDL 編, HDLab, 2011
[107] STARC RTL 設計スタイルガイドを「こう使おう」Verilog-HDL
版 , 小川清 , 2013, https://

www.slideshare.net/kaizenjapan/starc-verilog-hdl2013d-16795634
[108] IEC 61882:2016 Hazard Analysis and Operability
studies, IEC, 2016
[109] 安全分析において HAZOP,FMEA,FTA の組み合わせによるリス
クアセスメントの進め方の検討, 小川明秀,小川清, 安全工学シ
ンポジウム 2015,
https://www.slideshare.net/kaizenjapan/hazopogawa2015
[110] ENGINEERING A SAFER WORLD Systems,Thinking Applied to
Safety, Nancy G. Leveson,2012,
https://mitpress.mit.edu/books/engineering-safer-world
[111] はじめての STAMP/STPA ～システム思考に基づく新しい安全
性解析手法 , IPA, 2016,
http://www.ipa.go.jp/sec/reports/20160428.html
[112] Visual Studio, https://www.microsoft.com/ja-jp/dev
[113] Turbo C 初級プログラミング, 河西朝雄,技術評論社, 1987
[114] JAVA, https://java.com/ja/
[115] Visual j++ 6.0 en action, Stephen R.Davis, Microsoft Press, 1996
[116] 基礎からわかる TCP/IP Java ネットワークプログラミング, 小
高知宏, オーム社, 1999
[117] 基礎からわかる TCP/IP アナライザ作成とパケット解析―
Linux/FreeBSD 対応, 小高知宏, オーム社, 2001
[118] 基礎からわかる TCP/IP セキュリティ実験―Linux/FreeBSD の対
応, 寺田真敏, オーム社, 2000
[119] 入門 Python 3, Bill Lubanovic, オライリージャパン, 2015
[120] Python チュートリアル第 3 版, Guido van Rossum, オライリー
ジャパン, 2016
[121] ゼロから作る Deep Learning ―Python で学ぶディープラーニン
グの理論と実装, 斎藤康毅, オライリージャパン,2016
[122]ゼロから作る Deep Learning 勉強会, 斉藤直希, 2016[300]ISO/IEC
7064:2003 Information technology - Security techniques - Check character
systems
[301]ISO/IEC 7813:2006 Information technology - Identification cards -
Financial transaction cards
[302]ISO 9564-1:2011 Financial services - Personal Identification Number
(PIN) management and security - Part 1: Basic principles and requirements
for PINs in card-based systems
[303]ISO/IEC 9796-2:2010 Information technology - Security techniques -
Digital signature schemes giving message recovery - Part 2: Integer
factorization based mechanisms
Digital signature schemes giving message recovery - Part 3: Discrete
logarithm based mechanisms
Message Authentication Codes (MACs) - Part 1: Mechanisms using a block
cipher
Message Authentication Codes (MACs) - Part 2: Mechanisms using a
dedicated hash-function
Message Authentication Codes (MACs) - Part 3: Mechanisms using a
universal hash-function
Entity authentication - Part 1: General
Entity authentication - Part 2: Mechanisms using symmetric encipherment
algorithms
Entity authentication - Part 3: Mechanisms using digital signature
techniques

Entity authentication - Part 4: Mechanisms using a cryptographic check
function
Entity authentication - Part 5: Mechanisms using zero-knowledge
techniques
Entity authentication - Part 6: Mechanisms using manual data transfer
[314]ISO/IEC 10116:2006 Information technology - Security techniques -
Modes of operation for an n-bit block cipher
Hash-functions - Part 1: General
Hash-functions - Part 2: Hash-functions using an n-bit block cipher
Hash-functions - Part 3: Dedicated hash-functions
Hash-functions - Part 4: Hash-functions using modular arithmetic
Key management - Part 1: Framework
Key management - Part 2: Mechanisms using symmetric techniques
Key management - Part 4: Mechanisms based on weak secrets
Key management - Part 5: Group key management
Key management - Part 6: Key derivation
[324]ISO/IEC 11889-1:2015 Information technology - Trusted platform
module library - Part 1: Architecture
Non-repudiation - Part 1: General
Non-repudiation - Part 2: Mechanisms using symmetric techniques
Non-repudiation - Part 3: Mechanisms using asymmetric techniques
[328]ISO/IEC TR 14516:2002 Information technology - Security
techniques - Guidelines for the use and management of Trusted Third Party
services
Digital signatures with appendix - Part 1: General
Digital signatures with appendix - Part 2: Integer factorization based
mechanisms
Digital signatures with appendix - Part 3: Discrete logarithm based
mechanisms
Evaluation criteria for IT security - Part 1: Introduction and general model
Evaluation criteria for IT security - Part 2: Security functional components
Evaluation criteria for IT security - Part 3: Security assurance components
[335]ISO/IEC TR 15443-1:2012 Information technology - Security
techniques - Security assurance framework - Part 1: Introduction and
concepts
[336]ISO/IEC TR 15443-2:2012 Information technology - Security
techniques - Security assurance framework - Part 2: Analysis
[337]ISO/IEC 15444-8:2007 Information technology - JPEG 2000 image
coding system: Secure JPEG 2000
techniques - Guide for the production of Protection Profiles and Security
Targets
Security information objects for access control
Specification of TTP services to support the application of digital signatures
Cryptographic techniques based on elliptic curves - Part 1: General
Cryptographic techniques based on elliptic curves - Part 5: Elliptic curve
generation
Testing methods for the mitigation of non-invasive attack classes against
cryptographic modules
Time-stamping services - Part 1: Framework
Time-stamping services - Part 2: Mechanisms producing independent
tokens
Time-stamping services - Part 3: Mechanisms producing linked tokens
Time-stamping services - Part 4: Traceability of time sources
Random bit generation
Encryption algorithms - Part 1: General
Encryption algorithms - Part 3: Block ciphers
Encryption algorithms - Part 4: Stream ciphers
Encryption algorithms - Part 5: Identity-based ciphers
Methodology for IT security evaluation
Cryptographic algorithms and security mechanisms conformance testing
Blind digital signatures - Part 1: General
Blind digital signatures - Part 2: Discrete logarithm based mechanisms
Secret sharing - Part 1: General
Security requirements for cryptographic modules
techniques - Security assessment of operational systems
Authenticated encryption
Security evaluation of biometrics
[362]ISO/IEC 19794-7:2014 Information technology - Biometric data
interchange formats - Part 7: Signature/sign time series data
techniques - Refining software vulnerability analysis under ISO/IEC 15408
and ISO/IEC 18045
Anonymous digital signatures - Part 1: General
Anonymous digital signatures - Part 2: Mechanisms using a group public
key
Anonymous entity authentication - Part 1: General
Anonymous entity authentication - Part 2: Mechanisms based on signatures
using a group public key
[368]ISO 20301:2014 Health informatics - Health cards - General
characteristics
[369]ISO 20302:2014 Health informatics - Health cards - Numbering
system and registration procedure for issuer identifiers
Systems Security Engineering - Capability Maturity Model®
(SSE-CMM®)
[371]ISO 24534-4:2010 Automatic vehicle and equipment identification -
Electronic registration identification (ERI) for vehicles - Part 4: Secure
communications using asymmetrical techniques
[372]ISO 24534-5:2011 Intelligent transport systems - Automatic vehicle
and equipment identification - Electronic Registration Identification (ERI)
for vehicles - Part 5: Secure communications using symmetrical techniques
Biometric information protection
Test requirements for cryptographic modules
A framework for identity management - Part 1: Terminology and concepts
A framework for identity management - Part 2: Reference architecture and
requirements
A framework for identity management - Part 3: Practice
Authentication context for biometrics
[379]ISO/IEC 25024:2015 Systems and software engineering - Systems and
software Quality Requirements and Evaluation (SQuaRE) - Measurement
of data quality
[380]ISO 26429-6:2008 Digital cinema (D-cinema) packaging - Part 6:
MXF track file essence encryption
Information security management systems - Overview and vocabulary
Information security management systems - Requirements
[383]ISO/IEC 27001:2013/Cor 1:2014
[384]ISO/IEC 27001:2013/Cor 2:2015
Code of practice for information security controls
[386]ISO/IEC 27002:2013/Cor 2:2015
Information security management system implementation guidance
Information security management - Monitoring, measurement, analysis and
evaluation
Information security risk management
Requirements for bodies providing audit and certification of information
security management systems

Guidelines for information security management systems auditing
techniques - Guidelines for auditors on information security controls
Sector-specific application of ISO/IEC 27001 - Requirements
Information security management for inter-sector and inter-organizational
communications
Code of practice for Information security controls based on ISO/IEC 27002
for telecommunications organizations
Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC
20000-1
Governance of information security
techniques - Information security management guidelines for financial
services
techniques - Information security management - Organizational economics
Code of practice for information security controls based on ISO/IEC 27002
for cloud services
Code of practice for protection of personally identifiable information (PII)
in public clouds acting as PII processors
techniques - Information security management guidelines based on
ISO/IEC 27002 for process control systems specific to the energy utility
industry
techniques - Mapping the revised editions of ISO/IEC 27001 and ISO/IEC
27002
Guidelines for information and communication technology readiness for
business continuity
Guidelines for cybersecurity
Network security - Part 2: Guidelines for the design and implementation of
network security
Network security - Part 3: Reference networking scenarios - Threats, design
techniques and control issues
Network security - Part 4: Securing communications between networks
using security gateways
Network security - Part 5: Securing communications across networks using
Virtual Private Networks (VPNs)
Network security - Part 6: Securing wireless IP network access
Application security - Part 1: Overview and concepts
Application security - Part 2: Organization normative framework
Application security - Part 6: Case studies
Information security incident management - Part 1: Principles of incident
management
Information security incident management - Part 2: Guidelines to plan and
prepare for incident response
Information security for supplier relationships - Part 2: Requirements
Information security for supplier relationships - Part 3: Guidelines for
information and communication technology supply chain security
Information security for supplier relationships - Part 4: Guidelines for
security of cloud services
Guidelines for identification, collection, acquisition and preservation of
digital evidence
Specification for digital redaction
Selection, deployment and operations of intrusion detection and prevention
systems (IDPS)
Storage security
Guidance on assuring suitability and adequacy of incident investigative
method
Guidelines for the analysis and interpretation of digital evidence
Incident investigation principles and processes
Electronic discovery - Part 1: Overview and concepts
[427]ISO 27799:2016 Health informatics - Information security
management in health using ISO/IEC 27002
Privacy framework
Privacy architecture framework
[430]ISO/IEC 29115 Information technology - Security techniques -
Privacy capability assessment model
Entity authentication assurance framework
Verification of cryptographic protocols
A framework for access management
Vulnerability disclosure
techniques - Best practices for the provision and use of time-stamping
services
Signcryption
[437]ISO/IEC 29167-1:2014 Information technology - Automatic
identification and data capture techniques - Part 1: Security services for
RFID air interfaces
identification and data capture techniques - Part 10: Crypto suite AES-128
security services for air interface communications
identification and data capture techniques - Part 11: Crypto suite
PRESENT-80 security services for air interface communications
identification and data capture techniques - Part 12: Crypto suite ECC-DH
identification and data capture techniques - Part 13: Crypto suite
Grain-128A security services for air interface communications
identification and data capture techniques - Part 14: Crypto suite AES OFB
identification and data capture techniques - Part 17: Crypto suite cryptoGPS
identification and data capture techniques - Part 19: Crypto suite RAMON
Requirements for partially anonymous, partially unlinkable authentication.
Lightweight cryptography - Part 1: General
Lightweight cryptography - Part 2: Block ciphers
Lightweight cryptography - Part 3: Stream ciphers
Lightweight cryptography - Part 4: Mechanisms using asymmetric
techniques
Lightweight cryptography - Part 5: Hash-functions
Vulnerability handling processes
[452]IEC 62243, 2012 Artificial Intelligence Exchange and Service Tie to
All Test Environments (AI-ESTATE)
[453]IEC/TR 80001-2-3:2012 Application of risk management for
IT-networks incorporating medical devices - Part 2-3: Guidance for
wireless networks
[454]IEC/TR 80001-2-5:2014 Application of risk management for
IT-networks incorporating medical devices - Part 2-5: Application guidance
- Guidance for distributed alarm systems
:
略号(由来を示すだけの場合有)

AAA: authentication, authorization, and accounting
AES: Advanced Encryption Standard
ANSI: American National Standards Institute
AOC:
ARCNET: Attached Resource Computer NETwork
Autosar: AUTomotive Open System Architecture
ASV: Approved Scanning Vendor.”
-
CAV – Card Authentication Value (JCB payment cards)
CVC – Card Validation Code (MasterCard payment cards)
CVV – Card Verification Value (Visa and Discover payment cards)

CSC – Card Security Code (American Express)
CID – Card Identification Number (American Express and Discover
payment cards)
CAV2 – Card Authentication Value 2 (JCB payment cards)
CVC2 – Card Validation Code 2 (MasterCard payment cards)
CVV2 – Card Verification Value 2 (Visa payment cards)
-
CD: Conpact Disc
CERT: Computer Emergency Response Team
CHD: Card Holder Data
CIFS: Common Internet File System
CIS: Center for Internet Security
DMZ: demilitarized zone.”
CSIRTs: computer security incident response teams
co, com: commercial
DHCP: Dynamic host configuration Protocol
DNS: Domain Name System
DSS: Data Security Standard
DVD: Digital Versatile Disc
ECC: elliptic curve cryptography.”
Echonet: Energy Conservation & Homecare Network
ECNL: Echonet light
FAQ: Frequent Asked Question
FIPS: Federal Information Processing Standards
FTP: file transfer protocol
go, gov: government
GPRS: General Packet Radio Service
GSM: Global System for Mobile Communications
HTTP: HyperText transfer protocol
ID: Identifier
IDS: intrusion detection system
IEC: International Electrotechnical Commission
IETF: Internet Engineering task force
IoT: Internet of Things
IMAP: Internet Message Access Protocol
IP: Internet Protocol
IPA: Information Promotion Agency
IPS: intrusion prevention system.”
IPSec: IP Security
ISBN: International Standard Book Number
ISO: International Organization for Standardization
ISSN: International Standard Serial Number
jp, Japan
LAN: Local Area Network
LDAP: lightweight direct access protocol
LPAR: logical partition
LSB :Linux Standard Base
MAC: message authentication code
MAC Adress: media access control address
MPLS: multi protocol label switching
NAT: Network Address Transfer
NFS: Network File System
NIS: Network Information Service
NIS: National Institute of Standards and Technology
NO: number
NTP: Network Time Protocol
NTT: Nippon Telephone and Telegram
or, org: organization
OS: Operating Systems
OSEK: Open interface for embedded automotive applications
QAD:
QIR: Qualified Integrator or Reseller
QSA: Qualified Security Assessor
PA: Payment Applications
PAN: primary account number
PAT: port address translation
PCI: Payment Card Industry
PDA: personal data assistant
pdf: portable description format
P2PE: Point-to-Point-Encryption
PED: PIN entry device
PIN: personal identification number
POI: Point of Interaction
POP: post office protocol
PTS: PIN Transaction Security
PVV: PIN verification value
RADIUS: remote authentication and dial-in user service
RBAC: role-based access control
RFC: Request for Comment
ROC: report of conformance
ROM: Read Only Memory
POS: point of sale
RSA: Ron Rivest, Adi Shamir, and Len Adleman
SANS: SysAdmin, Audit, Networking and Security
SAQ: Self-Assessment Questionnaire
SCR: Secure Card Reader
SD: Secure Digital Memory Card
SDLC: system development life cycle
sec: Software Reliability Center(Software Engineering Center)
SMTP: simple mail transfer protocol
SNMP: Simple Network Management Protocol
SQL: Structured Query Language
Srr: special research report
√SSC: Security Standard Council
SSH: Secure Shell
SSL: secure sockets
SSP: smallest set profile
SWEST: Summer Workshop on Embedded System Technologies
sys: system
TCP: Transport Control Protocol
TDES: Triple Data Encryption Standard
telnet: telephone network protocol
TLS: transport layer security
TOPPERS: Toyohashi Open Platform for Embedded Real-time Systems
TR: Technical Report
UDP: User Datagram Protocol
URL: Uniform Resource Locator
USB: Universal Serial Bus
V: version
VPN: Virtual Private Network
W3C, The World Wide Web Consortium
WEP: wired equivalent privacy
Wifi: Wireless Fidelity
WOCS: Workshop on Critical Softwere Systems
WPA: WiFi Protected Access
www: world wide web
版履歴
V.0.1 2017.02.07, V.0.2 2017.02.24, V.0.3 2017.3.1

A start point on a security study of a Raspberry pi version 0.4

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (15)

Similar a A start point on a security study of a Raspberry pi version 0.4

Similar a A start point on a security study of a Raspberry pi version 0.4 (20)

Más de Kiyoshi Ogawa

Más de Kiyoshi Ogawa (20)

A start point on a security study of a Raspberry pi version 0.4