Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

IoT Security を実現する3つの視点とShift Left

2.304 visualizaciones

Publicado el

CSA Summit 2017 Tokyo における招待講演資料
OWASP Japan
岡田良太郎

Publicado en: Tecnología
  • Sé el primero en comentar

IoT Security を実現する3つの視点とShift Left

  1. 1. IoT セキュリティを実現する3つの視点 とシフトレフト 岡田 良太郎 OWASP Japan Chapter Leader アスタリスク・リサーチ エグゼクティブ・リサーチャ riotaro@owasp.org
  2. 2. 岡⽥良太郎 OWASP JAPAN 代表 アスタリスク・リサーチ 代表取締役 asteriskresearch.com riotaro@rsrch.jp
  3. 3. OWASP?
  4. 4. OWASP NAGOYA 2017 まもなく設立発表 OWASP NATORI 2017 佐藤 将太 OWASP FUKUSHIMA 2016 金子正人・山寺純 OWASP OKINAWA 2016 淵上真一・又吉伸穂 OWASP SENDAI 2015 小笠貴晴・佐藤ようすけ OWASP KYUSHU 2015 服部 祐一・花田智洋 OWASP KANSAI 2014 長谷川陽介・三木剛 OWASP JAPAN 2011 岡田良太郎・上野宣 ⽇本のチャプター (地域の集まり)
  5. 5. (ex - OWASP Top 10 IoT Vulnerabilities Project) OWASP IoT Project • 製造業者 • 開発者 • 消費者 The OWASP Internet of Things Project is designed to help manufacturers, developers, and consumers better understand the security issues associated with the Internet of Things, and to enable users in any context to make better security decisions when building, deploying, or assessing IoT technologies.
  6. 6. OWASP Internet of Things Project 代表的な成果物 ガイドライン名称 内容 IoT Attack Surface Areas 攻撃対象となりうる領域と、脆弱性の関係 Top 10 IoT Vulnerabilities IoTにおける代表的な10の脆弱性に関する攻撃手法や攻撃シナリ オ例、対策など Firmware Analysis ファームウェアの解析に関する情報 IoT Testing Guides IoTにおける代表的な10の脆弱性に対する、試験実施時のセキュリ ティ上の考慮事項 IoT Security Guidance IoTにおける代表的な10の脆弱性に対する、製造者、開発者、消費 者(利用者)のセキュリティ上の考慮事項 Principle of IoT Security IoTセキュリティに関する16項目の原則 IoT Framework Assessment IoTシステムの構成要素に対する、セキュアなIoTフレームワークとし て考慮するべき事項
  7. 7. SHIFT LEFT
  8. 8. SHIFT LEFT 基本のキ https://en.wikipedia.org/wiki/Shift_left_testing
  9. 9. 繰り返す SHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing ・アジャイル ・リーン
  10. 10. DevOps 高頻度 SHIFT LEFT https://en.wikipedia.org/wiki/Shift_left_testing ・コードレビューツール ・テスト自動化 ・デリバリー自動化
  11. 11. SHIFT LEFT KPI • 要件定義の段階でシステムの影響の対応の優先順位を決定しているか • 設計チームはつくりやすい・メンテしやすい・壊されにくいコンポーネント や、アーキテクチャを選択しているか • 実装チームは、何をどうすればセキュアなコードとして合格なのかを確信 しているか。それを確かめる手段は提供されているか • 運用チームは脆弱性やアプリケーションのログを管理し、 開発・設計チームへのフィードバックはどれほどあるか ©Asterisk Research, Inc. 14
  12. 12. Why SHIFT LEFT
  13. 13. ENISA Threat Landscape Report 2016 (2017/1) • Malware • Web-based attacks • Web application attacks • Denial of service • Botnets • Phishing • Ransomware • Physical manipulation • Exploit Kits • Data breaches • Identity theft • Information leakage
  14. 14. 攻撃面・脆弱性・リスクにさらされるデータ 攻撃面 脆弱性の散見 データの窃取 管理インターフェース • 虚弱なパスワードポリシー • アカウントロックアウト機構の欠如 認証情報(クレデンシャル) ローカルデータストレージ 暗号化されていないデータ保存 個人の機微情報 ウェブ・クラウドインターフェース SQLインジェクション 個人の機微情報、アカウント関連 デバイスのファームウェア HTTPで送られている パスワードのハードコーディング 暗号化キーのハードコーディング クレデンシャル アプリケーションそのもの ベンダーのバックエンドAPI 任意のAPIデータ抽出 個人の機微情報 アカウント関連 デバイスの物理インターフェース 認証されていないルート権限でのアク セス いろいろ
  15. 15. 被害までのプロセス 無頓着な 開発方針 ぜい弱性の ある攻撃面 データの 窃取 全体の崩壊 被害 SHIFT LEFTSHIFT LEFTSHIFT LEFT
  16. 16. IoT Attack Surface Areas 攻撃面一覧
  17. 17. OWASP IoT Top 10 Vulnerabilities 脆弱性 (2014) 1. Insecure Web Interface 2. Insufficient Authentication/Authorization 3. Insecure Network Services 4. Lack of Transport Encryption 5. Privacy Concerns 6. Insecure Cloud Interface 7. Insecure Mobile Interface 8. Insufficient Security Configurability 9. Insecure Software/Firmware 10. Poor Physical Security • このリストは「結果」一覧 – Attack Surfaceの分析がざっくり – Exploitシナリオも抽象的 • 現在は13に分類している – 暗号化
  18. 18. IoT Vulnerability を IoT Attack Surface Areasにマッピング Device Web I/F Device Network I/F Administrati ve Interface Cloud Web Interface Update Mechanism Mobile Application … ユーザリスト奪取 ○ ○ ○ ○ 虚弱なパスワード ○ ○ ○ ○ アカウントロックアウ ト ○ ○ ○ ○ 平文のサービス ○ ○ 多要素認証の欠如 ○ ○ ○ 旧式な暗号化 ○ ○ DoS ○ 暗号化なしの更新 ○ ○ ○ 位置情報の改ざん ○ ○ ….
  19. 19. 攻撃側のプロセス 攻撃面 調査 脆弱性発見 脆弱性悪用 データ奪取 成功
  20. 20. OWASP Top 10 グローバルで大人気 ©2016 Asterisk Research, Inc. 24 出典:SANS Institute (2015)
  21. 21. OWASP Top 10 容易 x 甚大な影響を及ぼす脆弱性。 25 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング (XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
  22. 22. アンサードキュメント: OWASP Proactive Controls Enabling Security ©2016 Asterisk Research, Inc. 26 1: 早期に、繰り返しセキュリティを検証する 2: クエリーのパラメータ化 3: データのエンコーディング 4: すべての⼊⼒値を検証する 5: アイデンティティと認証管理の実装 6: 適切なアクセス制御の実装 7: データの保護 8: ロギングと侵⼊検知の実装 9: セキュリティフレームワークやライブラリの活⽤ 10: エラー処理と例外処理
  23. 23. 原因と結果の対応 正しい構築手法とプロセス → 複数の脆弱性を激減させる。 大半がコーディングにかかわるもの。 ©2016 Asterisk Research, Inc. 27 OWASP Top 10 1:インジェクション 2:認証とセッション 管理の不備 3:クロスサイトスク リプティング 4:安全でないオブ ジェクト直接参照 5:セキュリティ設定 のミス 6:機密データの露出 7:機能レベルのアク セス制御の⽋落 8:クロスサイトリク エストフォージェリ 9:既知の脆弱性を持 つコンポーネントの使 ⽤ 10:未検証のリダイレ クトとフォワード ProactiveControls 1: 早期に、繰り返しセキュリティを検証する ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 2: クエリーのパラメータ化 ✔ 3: データのエンコーディング ✔ ✔ 4: すべての⼊⼒値を検証する ✔ ✔ ✔ 5: アイデンティティと認証管理の実装 ✔ 6: 適切なアクセス制御の実装 ✔ ✔ 7: データの保護 ✔ 8: ロギングと侵⼊検知の実装 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 9: セキュリティフレームワークやライブラリの活⽤ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ 10: エラー処理と例外処理 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ OWASP Top 10 x Proactive Controls MAPPING
  24. 24. システムのセキュリティ問題 原因の85%は構築。 ©Asterisk Research, Inc. 28 0 10 20 30 40 50 60 70 80 90 100 設計 構築 検証 運用 1 6.5 15 対応コスト 100 SHIFT LEFT 原因85
  25. 25. 脅威分析 誤用ケース 想定の開発 デバイス 誤用パターン プラットフォーム 誤用パターン 検知 ログ統合 エンドポイント監査 安全モニタリング 脅威モニタリング クラウド、オンプレ セキュリティの 導入とアップデート モニタリングの 展開 脅威と情報収集源 のアップデート Ops LoopDev Loop Plan + Learning SHIFT LEFT
  26. 26. Enabling Security ©Asterisk Research, Inc. 30 95% 検査の結果、深刻な脆弱性を 含んでいたITシステムの割合
  27. 27. 2017年「いかにアプリを構築し、実装するか、 新たな議論が巻き起こる」 • 11 things we think will happen in business technology in 2017 • “A new debate in how to build and ship applications.” Business Insider誌, Jan. 2, 2017
  28. 28. ©2015 Asterisk Research, Inc. 32 2016/11 リリース NISTIR-8151 Dramatically Reducing Software Vulnerabilities Report to the White House Office of Science and Technology Policy Dramatic 業界平均 1-25 errors per 1000 lines of code. これを 2.5 errors per 10000 lines of code にできるプロセスとメソドロジをリサーチ
  29. 29. NISTIR 8151 said • Aはソフトウェアセキュリティ保証の価値: • p = 開発プロセス • s = セキュリティテスト • e = 実行環境 •A = f(p, s, e) 33
  30. 30. 「IoT開発におけるセキュリティ設計の手引き」 2016年12月改版 (2017/1E公開) • IoTのセキュリティ設計 • IoTのセキュリティガイド • IoTシステムにおける脅威分析と 対策検討の実施例 • IoTセキュリティの根幹を支える 暗号技術
  31. 31. 「実践的なIoTセキュリティ」 - Brian Russell 2016年6月 • A Brave New World • Vulnerabilities, Attacks, and Countermeasures • Security Engineering • The IoT Security Lifecycle • Cryptographic Fundamentals • Identity and Access Management • Mitigating IoT Privacy Concerns • Setting Up a Compliance Monitoring Program • Cloud Security for the IoT • IoT Incident Response
  32. 32. IoTセキュリティ - 製品開発13のステップ 2016/10, 2017/5(日本語) 日本語版 2017/4
  33. 33. 「製品開発13のステップ」 1. セキュアな開発手法から始めよう 2. 安全な開発環境とインテグレーション環境を 実装する 3. フレームワークとプラットフォームのセキュリ ティ機能の確認 4. プライバシー保護の確立 5. ハードウェアベースのセキュリティ機能の設 計 6. データ保護 7. セキュアなアプリケーションとサービスの結 合 8. 論理インターフェース/APIの保護 9. 安全な更新機能の提供 10. 認証、認可、アクセスコントロール機 能の実装 11. セキュアな鍵システムの構築 12. ログ機能の提供 13. セキュリティレビューの実施
  34. 34. 「製品開発13のステップ」 1. セキュアな開発手法から始めよう • 脅威モデリング – OWASP IoT Top 10 • IoT機器、クラウド、モバイルアプリ、ネットワークインターフェース、ソフト ウェア、暗号、認証、物理的セキュリティ、USB – STRIDE +1 • ID詐称、データの不正操作・改ざん、否認、情報の暴露、サービス妨害、 権限昇格 + 物理セキュリティのバイパス
  35. 35. 「製品開発13のステップ」 1. セキュアな開発手法から始めよう 39 Governance セキュリティ・イニシアチブのマネジメントにまつわる活動 1. Strategy & Metrics (SM) 2. Compliance & Policy (CP) 3. Training (T) Intelligence 情報収集及びセキュリティ対策のプランニング 4. Attack Models (AM) 5. Security Features & Design (SFD) 6. Standards & Requirements (SR) SSDL Touchpoints 開発ライフサイクルにおけるセキュリティコントロールと安全性の証拠 7. Architecture Analysis (AR) 8. Code Review (CR) 9. Security Testing (ST) Deployment ソフトウェア保守・維持管理、及び環境にまつわるセキュリティ対策 10. Penetration Testing (PT) 11. Software Environment (SE) 12. Configuration Management & Vulnerability Management (CMVM)
  36. 36. ベストプラクティス調査結果の発表 2015年10月 BSIMM 6 • 先行企業を調査:参加数 78社 • 業種別の統計情報を発表 – 金融関係(33社)、ソフトウェア事業者 (27社)、(新)電気製品(13社)、 (新)ヘルスケア(10社) 膨大な体制が調査対象となった • 企業数 78社 • セキュリティチーム 1,084人 • セキュリティサテライト 2,111人 • 開発チーム 287,006人 40
  37. 37. BSIMM 6 調査参加企業• Adobe • Aetna • ANDA • Autodesk • Bank of America • BMO Financial Group • Black Knight Financial Services • Box • Capital One • Cisco • Citigroup • Comerica Bank • Cryptography Research • Depository Trust & Clearing Corporation • Elavon • EMC • Epsilon • Experian • F-Secure • Fannie Mae • Fidelity • HP Fortify • HSBC • Intel Security • JPMorgan Chase & Co. • Lenovo • LinkedIn • Marks and Spencer • McKesson • NetApp • NetSuite • Neustar • Nokia • NVIDIA • PayPal • Pearson Learning Technologies • Qualcomm • Rackspace • Salesforce • Siemens • Sony Mobile • Symantec • The Advisory Board • The Home Depot • TomTom • Trainline • U.S. Bank • Vanguard • Visa • VMware • Wells Fargo • Zephyr Health 41 金融機関 33社 ISV 27社 CE 13社 ヘルスケア 10社
  38. 38. 業種別のベストプラクティス 42 取り組んでいない領域 充実している領域 やっていないことによるリスクとは何か? 現在の対策、投資は妥当か? 最近のトレンド 自社にとってこのレベルの対策で十分か?
  39. 39. OWASP SAMM ソフトウェアセキュリティ保証成熟度モデル ©2015 Asterisk Research, Inc. 43 グローバルのOWASP コミュニティが策定 ・ 日本語訳は経済産業省のプロジェクトで翻訳 レベル1 アドホック レベル2 方針化 レベル3 組織的取り組み X 「ガバナンス」 「実装」 「検証」 「デプロイ」
  40. 40. まさに A = f(p, s, e) ©2015 Asterisk Research, Inc.44 ソフトウェア開発 ガバナンス 構築 検証 デプロイ 戦略&指標 ポリシー&コンプライアンス 教育&指導 脅威の査定 セキュリティー要件 セキュアなアーキテクチャ 設計レビュー コードレビュー セキュリティテスト 脆弱性管理 環境の堅牢化 運用体制の セキュリティ対応 ep s
  41. 41. Before ©Asterisk Research, Inc. 45 s e p
  42. 42. After… ©2015 Asterisk Research, Inc. 46 s e p
  43. 43. 「OWASPでビルトイン・セキュリティ」連載一覧 https://codezine.jp/article/corner/608
  44. 44. まとめ • 「シフトレフト」 1. 攻撃シナリオと脆弱性の関係をふまえたコントロール計画 2. インシデントレスポンスへの備えとカイゼン 3. 開発プロセスの成熟度スコアリングの視点 • OWASP IoT Projectは頭出しに使える • IoTでもDevSecOpsやインシデントレスポンス計画が有効
  45. 45. Security is everyone’s responsibility
  46. 46. SHIFT LEFT
  47. 47. Enabling Security 51 JOIN OWASP

×