概要
AI・IoT・仮想通貨をメインテーマとして,2017-2018年前半に発生したセキュリティ事故をまとめている。
内容は,以下の4誌に掲載されたニュース・記事を編集・加筆・修正したものとなっている。
- 日経コンピュータ
- 日経 xTECH
- 日経NETWORK
- 日経SYSTEMS
掲載されている文量がけっこうあり,近年のセキュリティ事故の傾向と,その対策がよく分かる。
社内のITセキュリティ担当者にとっては,最近のセキュリティ事故の把握と対策を練る上で有用な資料になると感じた。
参考
p. 26: 脆弱性が相次いで見つかるIoTウイルスのDDoSが脅威に
図4 IoTセキュリティのガイドラインが公開
公表時期 | 名称 | 公表団体 | URL
2016年3月 | つながる世界の開発指針 | 情報処理推進機構 | https://www.ipa.go.jp/sec/reports/20160324.html 2016年4月 | Internet of Things (IoT) インシデントの影響評価に関する考察 | 日本クラウドセキュリティアライアンス | https://www.cloudsecurityalliance.jp/newsite/?p=2079
2016年4月 | IoTにおけるID/アクセス管理要点ガイダンス | 日本クラウドセキュリティアライアンス | https://www.cloudsecurityalliance.jp/newsite/?p=1926
2016年5月 | IoT開発におけるセキュリティ設計の手引き | 情報処理推進機構 | https://www.ipa.go.jp/security/iot/iotguide.html
2016年7月 | IoTセキュリティガイドライン | IoT推進コンソーシアム | http://www.meti.go.jp/press/2016/07/20160705002/20160705002.html
政府などが出しているIoTセキュリティ対策の指針がまとまっており,参考になった。
p. 35: IoTシステムへの攻撃 攻撃手法と影響度を分析 ライフサイクルで対策検討
IoTシステムのセキュリティ脅威に対し、対策をもれなく実施するには、システムで利用する機器の要件定義や基本設計の段階から、セキュリティ要件や仕様を洗い出して適用していく必要があります。そのために有効なのが、「脅威分析」です。
その場合は、米MITREが策定した脅威情報の記述仕様「STIX (Structured Threat Information eXpression)」などが参考になります。STIXは、情報処理推進機構 (IPA) が概要を解説しています (https://www.ipa.go.jp/security/vuln/STIX.html)。
脅威の識別の具体的な方法としては、「STRIDE手法」が知られています。
セキュリティ脅威の脅威情報の記述仕様や識別方法を知らなかったので参考になった。
結論
セキュリティへの関心はあまり高くない。それでも,2017-2018年はコインチェックの仮想通貨大量流出やランサムウェアのWannaCryなど,大ニュースとなるセキュリティ事故が複数発生した。
どういう経緯で発生したのか,各社の対応はどうなっているのか,対策はどうすればよいのかといったことが過去のニュースを元にまとまっている。
ITセキュリティ担当者にとっては,有益な一冊であり,セキュリティ意識を高めるにもいい本だった。
コメント