20200219-iot@loft#8_security_of_smarthome
1 like1,777 views
IoT@loft #8 AWS session document, Smarthome Security
More Related Content
What's hot (20)
Similar to 20200219-iot@loft#8_security_of_smarthome (20)
More from Amazon Web Services Japan (20)
![[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介](https://cdn.slidesharecdn.com/ss_thumbnails/20220126-anti-220126190603-thumbnail.jpg?width=560&fit=bounds)
![[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな](https://cdn.slidesharecdn.com/ss_thumbnails/awsxon18howfarstepfunctionsgo-211124111849-thumbnail.jpg?width=560&fit=bounds)
20200219-iot@loft#8_security_of_smarthome
- 1. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark スマートホームの セキュリティ脅威と対策
- 2. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ??紹介 飯? 起弘(いいだ たつひろ) ? AWS プロトタイピングソリューションアーキテクト ? 電機メーカーでソフトウェアエンジニアとしてIoT関連の新 規事業の?ち上げを経験の後、AWSにてプロトタイピングソ リューションアーキテクトとして、IoT関連案件のPoC, 本番 導?などの?援に携わる。
- 3. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark あらすじ ? はじめに ? IoTでのセキュリティ対策 ? 対策にあたり考慮すべきこと ? AWS IoT を?いたセキュリティ対策 ? まとめ
- 4. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark はじめに ? 2020年で400億台 ? デバイス数は5年で倍増 ? 産業?途、コンシューマー、?動?、医療分 野などが10%以上の年成?率 出典:総務省ホームページ ( https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/html/nd111200.html ) 世界のIoTデバイス数の推移及び予測
- 5. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IoT機器が狙われている 1 IPアドレス当たりの年間総観測パケット数 宛先ポート番号別パケット数分布 ??部分はIoT機器を狙った攻撃 ? 攻撃の試?回数が増えている ? 攻撃対象の約半分がIoT機器を狙ったもの 出典:NICT 国立研究開発法人情報通信研究機構 ホームページ ( https://www.nict.go.jp/press/2019/02/06-1.html )
- 6. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IoTではどのような対策が必要か 出典?IoT セキュリティガイドライン(総務省?経済産業省) https://www.meti.go.jp/press/2016/07/20160705002/20160705002.html ?項? 指針 ?針 IoTの性質を考慮した基本?針を定める 分析 IoTのリスクを認識する 設計 守るべきものを守る設計を考える 構築?接続 ネットワーク上での対策を考える 運??保守 安全安?な状態を維持し、情報発信?共有を?う
- 7. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 対策にあたり考慮すべきこと Web系サービスの場合と?較して 1. 攻撃者の?標や攻撃?法が異なる 2. セキュリティ対策がハードウェアの設計?製造に影響を与える 3. 製品出荷後に変えられないことが多い 4. Embedded C, C++ での実装が主流
- 8. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 1.攻撃者の?標や攻撃?法が異なる Web?不正アクセスなどによるアカウント乗っ取り、個?情報取得など IoT?なりすまし、DDoS参加、機械の動作を停?させる ?が所持しない → 物理的な攻撃がしやすい ユーザーに紐付かない → IDやパスワードがデフォルトや簡単なものにされる 「mirai」ボットネットによる攻撃などが発?している
- 9. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 2.セキュリティ対策とハードウェアの設計?製造?程 IoT開発の開発スケジュール(1年) EVT1 手作りの試 作 EVT2 手作りの試 作 商品企画 PVT 量産確認 の試作 MP 量産 DVT 金型を使っ た試作 部品が決まる ?型が決まる ?場が決まる 出典:IoT設計製造のテンプレ?ガントチャート~Shiftall流、設計製造のポイントを添えて (Shiftail blog) https://ja.blog.shiftall.net/archives/2291/ セキュリティ?針?分析?設計 → 部品選定、?場へのリクエスト
- 10. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 3.出荷後に変えられないことが多い ? クレデンシャル管理?法 ? 証明書?秘密鍵の書き込み ? 暗号化エレメントの使? ? ハードウェアスペック ? 脆弱性対策の更新が必要になる可能性 ? OTA ? サポート期間 ? ?度出荷したら、最低でもサポート期間が終わるまで更新が必要 ? セキュリティインシデント発?時の対応ポリシーを明確化
- 11. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 4.Embedded C, C++ での実装が主流 クラウド開発? ?級?語で開発 開発効率化するためのIDEやデバッグ, CI/CD環境が充実 組込みシステム開発 ? ライブラリが?分に揃っていない、メモリが潤沢では無い 情報が少ない、ラーニングコスト… → 以下を検討 経験が浅い?の場合には、それらを考慮したスケジューリングが必要 ビジネスロジックをクラウドに寄せる ?ロットであれば、ハードスペックを上げる(AWS IoT Greengrassなどの利?)
- 12. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark …特に、スマートホームデバイスの場合には ? 物理的な攻撃のリスク 商品を購?して分解することは容易 → 鍵を共通化した場合のリスクは?い → リスク分析を?い、どこまでやるべきかを検討 ? ?量?産?短納期 ?程のリスケは?変 1?でも早く出したい 早く売ればその分売上がたつ → 無理のないスケジューリング ハードウェアの原価インパクトが? ハード視点だと、1円でも安くしたい、安いMCUが選定される傾向 → セキュリティ要件を満たせているか確認
- 13. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ?項? 指針 ?針 IoTの性質を考慮した基本?針を定める 分析 IoTのリスクを認識する 設計 守るべきものを守る設計を考える 構築?接続 ネットワーク上での対策を考える 運??保守 安全安?な状態を維持し、情報発信?共有 を?う IoTのセキュリティ対策 ? 企画?試作段階に実施 →IoT セキュリティガイドラインや AWSのベストプラクティスを参照 IoTソリューションにおける10のゴールデンルール https://aws.amazon.com/jp/blogs/news/ten-security-golden-rules-for-iot-solutions/ IoT セキュリティのホワイトペーパー https://aws.amazon.com/jp/blogs/news/aws-security-releases-iot-security-whitepaper/
- 14. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IoTのセキュリティ対策 ?項? 指針 ?針 IoTの性質を考慮した基本?針を定める 分析 IoTのリスクを認識する 設計 守るべきものを守る設計を考える 構築?接続 ネットワーク上での対策を考える 運??保守 安全安?な状態を維持し、情報発信?共有 を?う ? 短い期間に、確実にセキュリ ティ要件の対応が必要 → AWS IoTの利?
- 15. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IoTを?いた セキュリティ対策 ?設計?構築?接続? ?項? 指針 ?針 IoTの性質を考慮した基本?針を定める 分析 IoTのリスクを認識する 設計 守るべきものを守る設計を考える 構築?接続 ネットワーク上での対策を考える 運??保守 安全安?な状態を維持し、情報発信?共有 を?う
- 16. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark クラウド ネットワーク デバイス ゲートウェイ 3つのレイヤー
- 17. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark クラウド ネットワーク デバイス ゲートウェイ 3つのレイヤー
- 18. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ネットワークのセキュリティ対策 ? 特定の信頼できる機器同?のみ、 通信を許可 ? なりすまし防? ? 電波の盗聴を防ぐための暗号化 ? 情報漏えい防? → TLSの採? TLS相互認証 TLS暗号化 サーバー証明書の ルート証明書 クライアント証明書 クライアント証明書 のルート証明書 サーバ証明書 デバイス個別の証明書を使用
- 19. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark TLSの利? AWS IoT Core Amazon FreeRTOS AWS IoT Greengrass AWS IoT SDKs クラウドおよび あらゆるデバイス向けの TLS実装を提供
- 20. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark クラウド ネットワーク デバイス ゲートウェイ 3つのレイヤー
- 21. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark クラウドのセキュリティ対策 ? 認証情報が漏洩した場合のリスクを最?化する 1. デバイスに許可する操作を最?化 ? 攻撃範囲が最?化される 2. 不正デバイスの排除 ? デバイス証明書を管理し、不正なデバイス のアクセスを塞ぐ
- 22. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IoT Policy Pulish:NG Subscribe:OK ? AWS IoT Coreに対するアクション の制御が可能 ? デバイス証明書ごとに設定可能 1. デバイスに許可する操作を最?化 AWS IoTポリシー https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/client-authentication.html AWS IoTポリシーで権限制御が可能 AWS IoT Core
- 23. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ? クラウドから証明書を無効化 ? 特定デバイスからのアクセスを禁? 2. 不正デバイスの排除 AWS IoT Coreはデバイス証明書の管理をサポート AWS IoT Coreでのデバイス証明書の発行および登録方法 https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/device-certs-create.html
- 24. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark クラウド ネットワーク デバイス ゲートウェイ 3つのレイヤー
- 25. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark デバイスのセキュリティ対策 ? 物理的な攻撃に備える 1. 鍵情報の抜き取りを防ぐ ? プライベートキーは、セキュアな領域に保 存 ? デバイスごとに個別の鍵を?れる 2. 新たな脆弱性への迅速な対応 不正なファームウェアのインストール防? ? OTA(ファームウェア更新) ? ファームウェアの署名?検証
- 26. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 1. 鍵情報の抜き取りを防ぐ ? AWSやベンダーが提供するセキュリティ機能を活? ? セキュアエレメント, Hardware Security Module(HSM)の使? ? Arm TrustZone の使? ? 内部犯?や管理ミスのリスクを下げる ? 鍵の?成からデバイスへの書き込みまで、?気通貫でチェック AWS IoT Greengrassのハードウェアセキュリティ統合 https://docs.aws.amazon.com/ja_jp/greengrass/latest/developerguide/hardware-security.html Amazon FreeRTOS のセキュアエレメント https://aws.amazon.com/jp/about-aws/whats-new/2019/10/secure-elements-in-amazon-freertos/
- 27. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 2. 新たな脆弱性への迅速な対応 不正なファームウェアのインストール防? AWS IoT Greengrass Amazon FreeRTOS ? OTA エージェントが新たな ファームウェアを検証しイ ンストールを実施 AWS IoT Device Management ? S3でファームウェア管理 ? ファームウェアへの署名 ? 特定のタグがついたデバイ スへのOTAの実施
- 28. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IoTを?いた セキュリティ対策 ?運??保守? 大項目 指針 方針 IoTの性質を考慮した基本?針を定める 分析 IoTのリスクを認識する 設計 守るべきものを守る設計を考える 構築?接続 ネットワーク上での対策を考える 運用?保守 安全安?な状態を維持し、情報発信?共有 を?う
- 29. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 安全安?な状態を維持し、情報発信?共有を?う ? 主なポイント 1. 攻撃を受けたら、すぐに検知し、関係者に伝える 2. 攻撃者や影響範囲を特定し、さらなる被害拡?を防ぐ 3. 根本原因を特定し修正を適?
- 30. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 1. 攻撃を受けたら、すぐに検知し、関係者に伝える AWS IoT Device Defenderを?いる デバイス設定の監査、異常動作の検出 を?うセキュリティサービス ? クラウドメトリクスをすぐに監視?監査可能 ? エージェントをデバイスにインストールする ことで、デバイスメトリクスを監視?監査可 能 AWS IoT Device Defender https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/device-defender.html
- 31. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 監査項?? AWS IoT Device Defender
- 32. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IoT Device Defender 異常の監視?
- 33. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IoT Device Defender アラートをメールやPush通知で配信 Amazon Simple Notification Service AWS IoT Device Defender サーバ管理者 マネージャーなど Mail Push通知 AWS IoT Core 定期チェック Alert
- 34. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 2. 攻撃者や影響範囲を特定し、さらなる被害拡?を防ぐ 操作のログを記録する Amazon CloudWatch AWS IoTサービスの 各種メトリクスおよび ログを収集および可視化 AWS CloudTrail 各AWS IoTサービスの API呼び出しを記録 AWS IoT Dashboard AWS IoTサービスの各種メト リクスをグラフ化
- 35. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IoT Coreでの設定 ログ設定 https://docs.aws.amazon.com/iot/latest/developerguide/cloud-watch-logs.html
- 36. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 3. 根本原因を特定し修正を適? 脆弱性対策をおこなったファームウェアをデバイスに適? AWS IoTのジョブ機能を?いてOTA更新を配布する AWS IoTに接続されたデバイスに任 意のジョブを配布可能 任意のOTA更新が可能AWS IoT Device Management AWS IoTジョブ https://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/iot-jobs.html
- 37. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IoT Device Management セキュアトンネリング ? ファイアウォール内のIoTデバイスに対するリモートアクセス ? 出荷後のデバイスのトラブルシューティングが可能 0. Localproxy アプリケー ションを install しておく (各 OS, HW に対応) 2. 専?トピックに publish される token を取得して local proxy を起動 1. トンネルを作成 3. Token を利 ?して remote shell でアクセ ス 4. プロキシ経由でリ モートアクセス (Websocket)
- 38. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark まとめ ?項? 指針 ?針 IoTの性質を考慮した基本?針を定める 分析 IoTのリスクを認識する 設計 守るべきものを守る設計を考える 構築?接続 ネットワーク上での対策を考える 運??保守 安全安?な状態を維持し、情報発信?共 有を?う ?針?分析?設計 関係者と早期に相談 リスク洗い出しを セキュリティ?バイ?デザイ ンの実践 設計、運?など AWS IoTを適?する ことで、効率的にセ キュリティ対応
- 39. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 参考情報 IoTソリューションにおける10のゴールデンルール https://aws.amazon.com/jp/blogs/news/ten-security-golden-rules-for-iot-solutions/ IoT セキュリティのホワイトペーパー https://aws.amazon.com/jp/blogs/news/aws-security-releases-iot-security-whitepaper/ AWS IoT Lens (AWS Well-Architected Framework) https://d1.awsstatic.com/whitepapers/architecture/AWS-IoT-Lens.pdf
- 40. ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Thank you! ? 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark