SlideShare a Scribd company logo

OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう

OWASP Nagoya
OWASP Nagoya

OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう

Business
1 of 30
Download to read offline
2021.6.18 OWASP Nagoya Hitomi kato OWASP ISVS を使って IoT エコシステムの セキュリティについて考えてみよう OWASP Nagoya Chapter Meetinng #21
自己紹介 加藤 人生(かとう ひとみ) ・FB https://www.facebook.com/htmkatou ・twitter https://twitter.com/wagtail_jp ある会社の脆弱性診断サービスを提供する部門にて脆弱性診断の仕事をしています。 (主にプラットフォーム診断とツールを使ったWebアプリケーション診断をしています。) 念のため:今回の発表の内容はあくまでも個人の見解であり、私が所属する企業の見解ではあ りません。
アジェンダ 1.OWASP IoT Security Verification Standard (ISVS) について 2.IoT エコシステムのセキュリティとは 3.まとめ
1. OWASP IoT Security Verification Standardについて① ● OWASP IoT Security Verification Standard (ISVS) ※は、OWASP(Open Web Application Security Project)内で作成されたInternet of Things (IoT) アプリケーションとそれらが存在するIoTエコシステムのセキ ュリティ要件を定義したものです。 ● 現時点ではまだ Pre-release 1.0RC です。 (URL:https://github.com/OWASP/IoT-Security-Verification-Standard- ISVS) (※以降、OWASP ISVSと表記します。)
1. OWASP IoT Security Verification Standardについて② ● OWASP ISVSは、英語版のみのリリ ースとなります。 ● Webページからの参照以外に PDF、 EPUB、Docx、CSV、JSON、XML形 式での利用が可能です。 左側に表示のものはPDF版です。
1. OWASP IoT Security Verification Standardについて③ ● OWASP ISVSを利用するにあたって、知っておく必要があることが 2 点あります。 ● 「OWASP ISVSのセキュリティモデル」と「OWASP ISVSのセキュリ ティ検証レベル」です。
1. OWASP IoT Security Verification Standardについて④ ● OWASP ISVSのセキュリティモデルは、 OWASP ISVSが示すセキュリ ティ制御要素をスタックとして表記したものです。 ● 5つの要素にて構成されています。 ・Hardware Platform ・Software Platform ・Communication ・User Space Applications ・IoT Ecosystem ※5つの要素には、細分化された要素が存 在します。
1. OWASP IoT Security Verification Standardについて⑤ ● OWASP ISVSのセキュリティモデルの 各要素の関連性を示した図です。 ● 最下層に基盤としてのHardware Platformあり、その上にSoftware PlatformとCommunicationが配置、さ らにその上にUser Space Applications が配置され、最上部にUser Space Applicationsを結び付ける役割として のIoT Ecosystemがあります。
1. OWASP IoT Security Verification Standardについて⑥ ● OWASP ISVSのセキュリティ検証レベルは、何に対して何を提供す るのかという目的毎に3つのレベルに分かれています。 レベル 目的 対象デバイスの例 レベル1 ソフトウェアのみを対象とする攻撃、デバイスへの物 理的なアクセスを伴わない攻撃に対する保護を提供 スマート電球 (デバイスに機密情報なし) レベル2 ソフトウェアを超えてデバイスのハードウェアを標的 とする攻撃に対する保護を提供 スマートロック、監視カメラ (デバイスに機密情報あり) レベル3 妥協を絶対に回避する必要があるデバイスの要件を提 供 コネクテッドカー、埋込医療 機器
1. OWASP IoT Security Verification Standardについて⑦ ● OWASP ISVSの各セキュリティ要件の項目は、検証レベルの違いに より、実施の指定の有無が記されています。 レベルによる実施の有無 は、この箇所に記載され ています。
2. IoT エコシステムのセキュリティとは① ● IoT環境は、相互接続された多くのアプリケーションで構成されて おり、これらが一緒になってエコシステムを形成しています。 ● そのため、IoTアプリケーション以外の要素の安全が確保されてい ないとIoT全体に影響が波及します。 ● IoTアプリケーションの保護において、エコシステムの保護も重要 となります。
2. IoT エコシステムのセキュリティとは② ● とはいえ、一般的に話題となる IoTのセキュリティの話は、IoTデバ イスやIoTアプリケーションが対象になることが多いと思います。 ● IoTエコシステムの保護まで意識されているかは不透明のようにも 思えます。そもそも、どこまで意識すれば良いのでしょうか? そこで、OWASP ISVSのセキュリティモデルの要件の内容から、 IoTエコシステムのセキュリティとして意識すべきことを見て行 きましょう。
2. IoT エコシステムのセキュリティとは③ ● OWASP ISVSのセキュリティモデルの要件「IoT Ecosystem」は、 さ らに次の要素で構成されています。 ・Application and Ecosystem Design ・Supply Chain ・Secure Development ・Logging これら要素の項目に考えるポイントがありそうです。
2. IoT エコシステムのセキュリティとは④ ● Application and Ecosystem Designの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.1.1 IoTエコシステム内のすべてのアプリケーションが、アプリ ケーションのセキュリティの重要度に沿ったセキュリティ レベルで開発されていることを確認します。 ☑ ☑ ☑ 1.1.2 IoTアプリケーションのエコシステム内のすべてのコンポー ネントと通信チャネルが識別され、必要であることがわか っていることを確認します。不要なものはすべて削除また は無効にします。 ☑ ☑ ☑ 1.1.3 各製品導入設計(つまり、新規および成熟)の一部として の脅威モデリングの使用とセキュリティ関連の機能変更を 検証して、可能性のある脅威を特定し、セキュリティテス トをガイドする適切なリスク対応を促進します。 ☑ ☑ ☑
2. IoT エコシステムのセキュリティとは⑤ ● Application and Ecosystem Designの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.1.4 セキュリティ制御がサーバー側で実施されていること、お よびデータと命令がサーバー側のコンポーネントによって 盲目的に信頼されていないことを確認します。 ☑ ☑ ☑ 1.1.5 責任ある開示ポリシーが確立されており、会社のWebサイ トで簡単に見つけられることを確認します。ポリシーが、 脆弱性を安全に伝達する方法と、脆弱性をフォローアップ する方法について明確な概要を提供していることを確認し ます。 ☑ ☑ ☑ 1.1.6 脆弱性が確立された通信チャネル(Webサイト、電子メー ル、セキュリティアドバイザリページ、変更ログなど)を 通じて製品に影響を与える場合、ユーザーと関連する利害 関係者に通知されることを確認します。 ☑ ☑ ☑
2. IoT エコシステムのセキュリティとは⑥ ● Supply Chainの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.2.1 エコシステム内の各アプリケーション(ファームウェアを 含む)が、サードパーティコンポーネント、バージョン管 理、および公開された脆弱性をカタログ化したソフトウェ ア部品表(SBOM)を維持していることを確認します。 ☑ ☑ ☑ 1.2.2 サードパーティおよびオープンソースソフトウェアの使用 に伴う潜在的なリスク領域が特定され、そのようなリスク を軽減するための措置が講じられていることを確認します。 ☑ ☑ ☑ 1.2.3 (デバッグバージョンではなく)リリースビルドに適した 安全なデフォルトで構成されたファームウェアでデバイス がリリースされていることを確認します。 ☑ ☑ ☑
2. IoT エコシステムのセキュリティとは⑦ ● Supply Chainの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.2.4 デバイスを出荷する前に、デバッグインターフェイス (JTAG、SWDなど)へのアクセスが無効または保護されて いることを確認してください。プロセッサは、これをコー ド保護、リードバック保護、CodeGuard、またはアクセス ポート保護と呼ぶ場合があります。 ☑ ☑ 1.2.5 FPGAのデバッグ機能が実稼働PCBで無効になっていること を確認します。 ☑ ☑ 1.2.6 デバイスが、ハードウェアベースで不変の暗号化された信 頼ルートでプロビジョニングされていることを確認します。 ☑ ☑
2. IoT エコシステムのセキュリティとは⑧ ● Supply Chainの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.2.7 デバイスを顧客に出荷する前に、コード整合性保護メカニ ズムが有効になっていて、ハードウェアでロックされてい ることを確認してください。たとえば、セキュアブートが 有効になっていて、ブート構成がロックされていることを 確認します。 ☑ ☑ 1.2.8 静的分析ツールを使用してサードパーティのコードとコン ポーネントが分析されていることを確認し、バックドアが 導入されていないことを確認します。 ☑ ☑ 1.2.9 半導体ドライバー、SDK、モジュール(5G、LTE、 Bluetooth、Wi-Fi、ZigBee)を含むすべてのコンポーネント を更新して、製品のサポートまたは保守終了ポリシーに沿 ったセキュリティパッチを提供できることを確認します。 ☑ ☑
2. IoT エコシステムのセキュリティとは⑨ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.1 エコシステム内の各アプリケーションが、安全で反復可能 なビルド環境を使用してビルドされていることを確認しま す。 ☑ ☑ ☑ 1.3.2 GPLベースのファームウェアのソースコードが公開されて おり、機密情報や専有情報が誤ってプロセスに含まれてい ないことを確認してください。 ☑ ☑ ☑ 1.3.3 禁止されているC / C ++関数(memcpy、strcpy、getsな ど)の使用が、安全な同等の関数(Safe C、Safe Stringsラ イブラリなど)に置き換えられていることを確認します。 ☑ ☑
2. IoT エコシステムのセキュリティとは⑩ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.4 パッケージが信頼できるソースからダウンロードおよびビ ルドされていることを確認します。 ☑ ☑ ☑ 1.3.5 ビルドパイプラインがバージョン管理システムで維持され ているソースコードのビルドのみを実行することを確認し ます。 ☑ ☑ ☑ 1.3.6 コンパイラ、バージョン管理クライアント、開発ユーティ リティ、およびソフトウェア開発キットが分析され、改ざ ん、トロイの木馬、または悪意のあるコードがないか監視 されていることを確認します ☑ ☑ ☑
2. IoT エコシステムのセキュリティとは⑪ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.7 パッケージがオブジェクトサイズチェック(OSC)でコン パイルされていることを確認します(例:- D_FORTIFY_SOURCE = 2)。 ☑ ☑ 1.3.8 パッケージがNoeXecute(NX)またはData Execution Protection(DEP)でコンパイルされていることを確認しま す(例:-z、noexecstack)。 ☑ ☑ 1.3.9 パッケージがPositionIndependent Executable(PIE)(例: -fPIE)でコンパイルされていることを確認します。 ☑ ☑
2. IoT エコシステムのセキュリティとは⑫ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.10 パッケージがStackSmashing Protector(SSP)でコンパイ ルされていることを確認します(例:-fstack-protector-all)。 ☑ ☑ 1.3.11 パッケージが読み取り専用再配置(RELRO)でコンパイル されていることを確認します(例:-Wl、-z、relro)。 ☑ ☑ 1.3.12 リリースビルドにデバッグコードまたは特権診断機能が含 まれていないことを確認します。 ☑ ☑ ☑
2. IoT エコシステムのセキュリティとは⑬ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.13 デバッグファームウェアイメージとリリースファームウェ アイメージが異なるキーを使用して署名されていることを 確認します。 ☑ ☑ 1.3.14 デバッグ情報に、PII、クレデンシャル、暗号化資料などの 機密情報が含まれていないことを確認します。 ☑ ☑ ☑ 1.3.15 入力検証を実行し、ファームウェアコード、シェルコマン ドラッパー、およびスクリプト内のパラメーターをエスケ ープして、組み込みアプリケーションがOSコマンドインジ ェクションの影響を受けないことを確認します。 ☑ ☑ ☑
2. IoT エコシステムのセキュリティとは⑭ ● Loggingの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.4.1 認証の成功と失敗、デバッグ機能へのアクセスなど、セキ ュリティに影響するイベントに関するログをデバイスが収 集できることを確認します。 ☑ ☑ 1.4.2 収集されたログに、実用的な洞察とアラートを有効にする のに十分な粒度があることを確認します。ログには、少な くとも、イベントのタイプ、タイムスタンプ、ソース、結 果、および関与するアクターのIDを含める必要があります。 ☑ ☑ 1.4.3 ログのタイムスタンプの有効性を確認するために、デバイ スに信頼できるタイムソースが含まれているか、同期され ていることを確認してください。 ☑ ☑
2. IoT エコシステムのセキュリティとは⑮ ● Loggingの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.4.4 収集されたログに、PII、クレデンシャル、暗号化キーなど の機密情報が含まれていないことを確認します。 ☑ ☑ 1.4.5 収集されたログが、定期的またはオンデマンドで、オンラ イン収集を介してデバイスから安全に取得できることを確 認します。 ☑ ☑ 1.4.6 収集されたログが組織のポリシーで必要な期間保存され、 保存期間が終了すると安全に削除されることを確認します。 ☑ ☑
2. IoT エコシステムのセキュリティとは⑯ ● Loggingの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.4.7 収集されたログの機密性、整合性、および信頼性が、ログ を作成したデバイスと、ログを保存または処理する他のシ ステムの両方で適切に保護されていることを確認します。 ☑ ☑
2. IoT エコシステムのセキュリティとは⑰ ● OWASP ISVSのセキュリティモデルの要件「IoT Ecosystem」の各要素 から、 IoT エコシステムのセキュリティについては、次のことがポ イントになりそうです。 【 Application and Ecosystem Design】 ● IoTエコシステム内のすべてのアプリケーションが、セキュリティの重要度 に沿った適切なセキュリティレベルで開発されていることを意識する。ま た、脆弱性があった場合の通知・サポート体制が整っていることのチェッ クも必要。 ● 反復的なシステムへの脅威モデリングの実施で、脅威を特定しておくこと も重要。
2. IoT エコシステムのセキュリティとは⑰ 【Supply Chain】 ● エコシステム内の各アプリケーション(サードパーティおよびオープンソ ースソフトウェア)のリスクの洗い出しとセキュリティパッチの提供状況 等の情報管理を行う。 ● 外部提供デバイスのデバック機能の無効化、セキュリティ保護の有効化、 正式リリース版のチェックの実施。 ソフトウェアコンポジション解析ツールによるソフトウェア部品表 (SBOM)の作成等
2. IoT エコシステムのセキュリティとは⑱ 【 Secure Development 】 ● 監視されたセキュアな環境下において管理されたソースの利用、アプリケ ーションのビルドにおける不要なオプションや情報付与のチェックの実施。 【 Logging 】 ● セキュリティイベントの監査証跡のためにデバイスの有効なログの収集と ログの保護、管理の仕組みの導入。
3.まとめ ● OWASP ISVSのセキュリティモデルの要件「IoT Ecosystem」の各要素から、 IoT エコシステムのセキュリティを考える上のポイントが把握出来そう です。 ● 今回は IoT エコシステムのセキュリティを考えましたが、IoTのセキュリ ティは、 IoT エコシステム以外の安全の担保も必要です。 OWASP ISVSの セキュリティモデルの他の要件の要素も参考にして下さい。 ● あと、 OWASP ISVSのセキュリティモデルの要件の項目のうち、該当し ないものについては、実施する必要はありません。

Recommended

Proxy War
Proxy WarProxy War
Proxy Warzaki4649
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証についてHitachi, Ltd. OSS Solution Center.
 
AngularとSpring Bootで作るSPA + RESTful Web Serviceアプリケーション
AngularとSpring Bootで作るSPA + RESTful Web ServiceアプリケーションAngularとSpring Bootで作るSPA + RESTful Web Serviceアプリケーション
AngularとSpring Bootで作るSPA + RESTful Web Serviceアプリケーションssuser070fa9
 
WebRTC研修
WebRTC研修WebRTC研修
WebRTC研修株式会社 NTTテクノクロス
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明FIDO Alliance
 
3層アーキテクチャとMVCモデル -LaravelにおけるMVCモデルの流れ-
3層アーキテクチャとMVCモデル -LaravelにおけるMVCモデルの流れ- 3層アーキテクチャとMVCモデル -LaravelにおけるMVCモデルの流れ-
3層アーキテクチャとMVCモデル -LaravelにおけるMVCモデルの流れ-yoshitaro yoyo
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)Hiroshi Tokumaru
 
The Hacker's Guide to NoSQL Injection
The Hacker's Guide to NoSQL InjectionThe Hacker's Guide to NoSQL Injection
The Hacker's Guide to NoSQL InjectionPatrycja Wegrzynowicz
 

More Related Content

What's hot

徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまでHiroshi Tokumaru
 
そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?takezoe
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaCODE BLUE
 
JavaScript難読化読経
JavaScript難読化読経JavaScript難読化読経
JavaScript難読化読経Yosuke HASEGAWA
 
Redisの特徴と活用方法について
Redisの特徴と活用方法についてRedisの特徴と活用方法について
Redisの特徴と活用方法についてYuji Otani
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)Masaya Tahara
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてKeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてHiroyuki Wada
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)kazkiti
 
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策Takayuki Ushida
 
SQLインジェクション総”習”編
SQLインジェクション総”習”編SQLインジェクション総”習”編
SQLインジェクション総”習”編Yasuo Ohgaki
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方Hiroshi Tokumaru
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例briscola-tokyo
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座Hiroshi Tokumaru
 
インフラエンジニアに送るVSCode 入門
インフラエンジニアに送るVSCode 入門インフラエンジニアに送るVSCode 入門
インフラエンジニアに送るVSCode 入門Shinsuke Saito
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へHibino Hisashi
 

What's hot (20)

徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまで
 
そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?そんなトランザクションマネージャで大丈夫か?
そんなトランザクションマネージャで大丈夫か?
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
 
JavaScript難読化読経
JavaScript難読化読経JavaScript難読化読経
JavaScript難読化読経
 
Phpcon2015
Phpcon2015Phpcon2015
Phpcon2015
 
Redisの特徴と活用方法について
Redisの特徴と活用方法についてRedisの特徴と活用方法について
Redisの特徴と活用方法について
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へ
 
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてKeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
 
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
 
SQLインジェクション総”習”編
SQLインジェクション総”習”編SQLインジェクション総”習”編
SQLインジェクション総”習”編
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
 
インフラエンジニアに送るVSCode 入門
インフラエンジニアに送るVSCode 入門インフラエンジニアに送るVSCode 入門
インフラエンジニアに送るVSCode 入門
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
 
【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ
 

Similar to OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう

Modernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft AzureModernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft AzureTakeshi Fukuhara
 
Secure element for IoT device
Secure element for IoT deviceSecure element for IoT device
Secure element for IoT deviceKentaro Mitsuyasu
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshareShinichiro Kawano
 
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウドIDC Frontier
 
IoT系標準化の動き(メモ、2016年) (in Japanese)
IoT系標準化の動き(メモ、2016年) (in Japanese)IoT系標準化の動き(メモ、2016年) (in Japanese)
IoT系標準化の動き(メモ、2016年) (in Japanese)Toshihiko Yamakami
 
Java/Androidセキュアコーディング
Java/AndroidセキュアコーディングJava/Androidセキュアコーディング
Java/AndroidセキュアコーディングMasaki Kubo
 
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料OpenID Foundation Japan
 
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話Hibino Hisashi
 
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"Kazuki Ueki
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]Takeshi Takahashi
 
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)Masaya Tahara
 
Tips and tricks for Azure IoT system development
Tips and tricks for Azure IoT system developmentTips and tricks for Azure IoT system development
Tips and tricks for Azure IoT system developmentAtomu Hidaka
 
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge TechnologiesMicrosoft Intelligent Edge Technologies
Microsoft Intelligent Edge TechnologiesTakeshi Fukuhara
 
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for BeginersTyphon 666
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールIsao Takaesu
 
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?Kuniyasu Suzaki
 

Similar to OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう (20)

Modernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft AzureModernization of IT Infrastructure by Microsoft Azure
Modernization of IT Infrastructure by Microsoft Azure
 
Secure element for IoT device
Secure element for IoT deviceSecure element for IoT device
Secure element for IoT device
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
 
ゼロから学ぶIoT
ゼロから学ぶIoTゼロから学ぶIoT
ゼロから学ぶIoT
 
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
安心して利用できるパブリッククラウド、安全に利用するパブリッククラウド
 
IoT系標準化の動き(メモ、2016年) (in Japanese)
IoT系標準化の動き(メモ、2016年) (in Japanese)IoT系標準化の動き(メモ、2016年) (in Japanese)
IoT系標準化の動き(メモ、2016年) (in Japanese)
 
Java/Androidセキュアコーディング
Java/AndroidセキュアコーディングJava/Androidセキュアコーディング
Java/Androidセキュアコーディング
 
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
 
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
 
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
 
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
なぜあなたのプロジェクトのDevSecOpsは形骸化するのか(CloudNative Security Conference 2022)
 
Tips and tricks for Azure IoT system development
Tips and tricks for Azure IoT system developmentTips and tricks for Azure IoT system development
Tips and tricks for Azure IoT system development
 
[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023
 
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge TechnologiesMicrosoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
 
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
 
SecureAssist Introduction
SecureAssist IntroductionSecureAssist Introduction
SecureAssist Introduction
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
 
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
 

More from OWASP Nagoya

OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP Nagoya
 
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 OverviewOWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 OverviewOWASP Nagoya
 
(A7)cross site scripting
(A7)cross site scripting(A7)cross site scripting
(A7)cross site scriptingOWASP Nagoya
 
#24 prepare for_hands-on
#24 prepare for_hands-on#24 prepare for_hands-on
#24 prepare for_hands-onOWASP Nagoya
 
(A2)broken authentication
(A2)broken authentication(A2)broken authentication
(A2)broken authenticationOWASP Nagoya
 
#23 prepare for_hands-on
#23 prepare for_hands-on#23 prepare for_hands-on
#23 prepare for_hands-onOWASP Nagoya
 
Rethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving supportRethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving supportOWASP Nagoya
 
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxeOwasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxeOWASP Nagoya
 
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3OWASP Nagoya
 
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2OWASP Nagoya
 
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1OWASP Nagoya
 
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには20190208 脆弱性と共生するには
20190208 脆弱性と共生するにはOWASP Nagoya
 
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!OWASP Nagoya
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方OWASP Nagoya
 
WPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャンWPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャンOWASP Nagoya
 
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)OWASP Nagoya
 
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)OWASP Nagoya
 
20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LTOWASP Nagoya
 

More from OWASP Nagoya (19)

OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
 
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 OverviewOWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 Overview
 
(A7)cross site scripting
(A7)cross site scripting(A7)cross site scripting
(A7)cross site scripting
 
#24 prepare for_hands-on
#24 prepare for_hands-on#24 prepare for_hands-on
#24 prepare for_hands-on
 
(A2)broken authentication
(A2)broken authentication(A2)broken authentication
(A2)broken authentication
 
Developer tools
Developer toolsDeveloper tools
Developer tools
 
#23 prepare for_hands-on
#23 prepare for_hands-on#23 prepare for_hands-on
#23 prepare for_hands-on
 
Rethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving supportRethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving support
 
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxeOwasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
 
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3
 
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2
 
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1
 
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
 
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
 
WPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャンWPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャン
 
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
 
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
 
20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT
 

Recently uploaded

株式会社デジタルフォルン_会社説明資料~事業内容~         2024年版
株式会社デジタルフォルン_会社説明資料~事業内容~         2024年版株式会社デジタルフォルン_会社説明資料~事業内容~         2024年版
株式会社デジタルフォルン_会社説明資料~事業内容~         2024年版DIGITAL VORN
 
【株式会社オプティマインド】会社紹介資料_2024年4月11日更新(採用資料).pdf
【株式会社オプティマインド】会社紹介資料_2024年4月11日更新(採用資料).pdf【株式会社オプティマインド】会社紹介資料_2024年4月11日更新(採用資料).pdf
【株式会社オプティマインド】会社紹介資料_2024年4月11日更新(採用資料).pdf株式会社オプティマインド
 
20240318_case___________________________
20240318_case___________________________20240318_case___________________________
20240318_case___________________________i Smart Technologies
 
株式会社デジタルフォルン_会社説明資料~カルチャー~         2024年版
株式会社デジタルフォルン_会社説明資料~カルチャー~         2024年版株式会社デジタルフォルン_会社説明資料~カルチャー~         2024年版
株式会社デジタルフォルン_会社説明資料~カルチャー~         2024年版DIGITAL VORN
 
株式会社デジタルフォルン_会社説明資料~仕事内容~         2024年版
株式会社デジタルフォルン_会社説明資料~仕事内容~         2024年版株式会社デジタルフォルン_会社説明資料~仕事内容~         2024年版
株式会社デジタルフォルン_会社説明資料~仕事内容~         2024年版DIGITAL VORN
 
総合カタログ_日東工営株式会社
総合カタログ_日東工営株式会社総合カタログ_日東工営株式会社
総合カタログ_日東工営株式会社nittohkoeiweb
 
株式会社デジタルフォルン_会社説明資料~その他の働く環境~         2024年版
株式会社デジタルフォルン_会社説明資料~その他の働く環境~         2024年版株式会社デジタルフォルン_会社説明資料~その他の働く環境~         2024年版
株式会社デジタルフォルン_会社説明資料~その他の働く環境~         2024年版DIGITAL VORN
 
ENECHANGE株式会社 データ事業(エネルギークラウド事業)紹介資料_20240408.pdf
ENECHANGE株式会社 データ事業(エネルギークラウド事業)紹介資料_20240408.pdfENECHANGE株式会社 データ事業(エネルギークラウド事業)紹介資料_20240408.pdf
ENECHANGE株式会社 データ事業(エネルギークラウド事業)紹介資料_20240408.pdfryoichinojima
 
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdfjun_suto
 
20240209_case___________________________
20240209_case___________________________20240209_case___________________________
20240209_case___________________________i Smart Technologies
 
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料ssuser5a38bf
 
20240319_case___________________________
20240319_case___________________________20240319_case___________________________
20240319_case___________________________i Smart Technologies
 
第36回八子クラウド座談会「SALES TECH」の事前配布資料です。2024年4月6日開催
第36回八子クラウド座談会「SALES TECH」の事前配布資料です。2024年4月6日開催第36回八子クラウド座談会「SALES TECH」の事前配布資料です。2024年4月6日開催
第36回八子クラウド座談会「SALES TECH」の事前配布資料です。2024年4月6日開催知礼 八子
 
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料ssuser5a38bf
 

Recently uploaded (14)

株式会社デジタルフォルン_会社説明資料~事業内容~         2024年版
株式会社デジタルフォルン_会社説明資料~事業内容~         2024年版株式会社デジタルフォルン_会社説明資料~事業内容~         2024年版
株式会社デジタルフォルン_会社説明資料~事業内容~         2024年版
 
【株式会社オプティマインド】会社紹介資料_2024年4月11日更新(採用資料).pdf
【株式会社オプティマインド】会社紹介資料_2024年4月11日更新(採用資料).pdf【株式会社オプティマインド】会社紹介資料_2024年4月11日更新(採用資料).pdf
【株式会社オプティマインド】会社紹介資料_2024年4月11日更新(採用資料).pdf
 
20240318_case___________________________
20240318_case___________________________20240318_case___________________________
20240318_case___________________________
 
株式会社デジタルフォルン_会社説明資料~カルチャー~         2024年版
株式会社デジタルフォルン_会社説明資料~カルチャー~         2024年版株式会社デジタルフォルン_会社説明資料~カルチャー~         2024年版
株式会社デジタルフォルン_会社説明資料~カルチャー~         2024年版
 
株式会社デジタルフォルン_会社説明資料~仕事内容~         2024年版
株式会社デジタルフォルン_会社説明資料~仕事内容~         2024年版株式会社デジタルフォルン_会社説明資料~仕事内容~         2024年版
株式会社デジタルフォルン_会社説明資料~仕事内容~         2024年版
 
総合カタログ_日東工営株式会社
総合カタログ_日東工営株式会社総合カタログ_日東工営株式会社
総合カタログ_日東工営株式会社
 
株式会社デジタルフォルン_会社説明資料~その他の働く環境~         2024年版
株式会社デジタルフォルン_会社説明資料~その他の働く環境~         2024年版株式会社デジタルフォルン_会社説明資料~その他の働く環境~         2024年版
株式会社デジタルフォルン_会社説明資料~その他の働く環境~         2024年版
 
ENECHANGE株式会社 データ事業(エネルギークラウド事業)紹介資料_20240408.pdf
ENECHANGE株式会社 データ事業(エネルギークラウド事業)紹介資料_20240408.pdfENECHANGE株式会社 データ事業(エネルギークラウド事業)紹介資料_20240408.pdf
ENECHANGE株式会社 データ事業(エネルギークラウド事業)紹介資料_20240408.pdf
 
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf
令和5年度_サステナブルツーリズムセミナー_ビジュアルレポート(公開用).pdf
 
20240209_case___________________________
20240209_case___________________________20240209_case___________________________
20240209_case___________________________
 
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
 
20240319_case___________________________
20240319_case___________________________20240319_case___________________________
20240319_case___________________________
 
第36回八子クラウド座談会「SALES TECH」の事前配布資料です。2024年4月6日開催
第36回八子クラウド座談会「SALES TECH」の事前配布資料です。2024年4月6日開催第36回八子クラウド座談会「SALES TECH」の事前配布資料です。2024年4月6日開催
第36回八子クラウド座談会「SALES TECH」の事前配布資料です。2024年4月6日開催
 
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
Sportip, Inc. Company Deck 2024|株式会社Sportip紹介資料
 

OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう

  • 1. 2021.6.18 OWASP Nagoya Hitomi kato OWASP ISVS を使って IoT エコシステムの セキュリティについて考えてみよう OWASP Nagoya Chapter Meetinng #21
  • 2. 自己紹介 加藤 人生(かとう ひとみ) ・FB https://www.facebook.com/htmkatou ・twitter https://twitter.com/wagtail_jp ある会社の脆弱性診断サービスを提供する部門にて脆弱性診断の仕事をしています。 (主にプラットフォーム診断とツールを使ったWebアプリケーション診断をしています。) 念のため:今回の発表の内容はあくまでも個人の見解であり、私が所属する企業の見解ではあ りません。
  • 3. アジェンダ 1.OWASP IoT Security Verification Standard (ISVS) について 2.IoT エコシステムのセキュリティとは 3.まとめ
  • 4. 1. OWASP IoT Security Verification Standardについて① ● OWASP IoT Security Verification Standard (ISVS) ※は、OWASP(Open Web Application Security Project)内で作成されたInternet of Things (IoT) アプリケーションとそれらが存在するIoTエコシステムのセキ ュリティ要件を定義したものです。 ● 現時点ではまだ Pre-release 1.0RC です。 (URL:https://github.com/OWASP/IoT-Security-Verification-Standard- ISVS) (※以降、OWASP ISVSと表記します。)
  • 5. 1. OWASP IoT Security Verification Standardについて② ● OWASP ISVSは、英語版のみのリリ ースとなります。 ● Webページからの参照以外に PDF、 EPUB、Docx、CSV、JSON、XML形 式での利用が可能です。 左側に表示のものはPDF版です。
  • 6. 1. OWASP IoT Security Verification Standardについて③ ● OWASP ISVSを利用するにあたって、知っておく必要があることが 2 点あります。 ● 「OWASP ISVSのセキュリティモデル」と「OWASP ISVSのセキュリ ティ検証レベル」です。
  • 7. 1. OWASP IoT Security Verification Standardについて④ ● OWASP ISVSのセキュリティモデルは、 OWASP ISVSが示すセキュリ ティ制御要素をスタックとして表記したものです。 ● 5つの要素にて構成されています。 ・Hardware Platform ・Software Platform ・Communication ・User Space Applications ・IoT Ecosystem ※5つの要素には、細分化された要素が存 在します。
  • 8. 1. OWASP IoT Security Verification Standardについて⑤ ● OWASP ISVSのセキュリティモデルの 各要素の関連性を示した図です。 ● 最下層に基盤としてのHardware Platformあり、その上にSoftware PlatformとCommunicationが配置、さ らにその上にUser Space Applications が配置され、最上部にUser Space Applicationsを結び付ける役割として のIoT Ecosystemがあります。
  • 9. 1. OWASP IoT Security Verification Standardについて⑥ ● OWASP ISVSのセキュリティ検証レベルは、何に対して何を提供す るのかという目的毎に3つのレベルに分かれています。 レベル 目的 対象デバイスの例 レベル1 ソフトウェアのみを対象とする攻撃、デバイスへの物 理的なアクセスを伴わない攻撃に対する保護を提供 スマート電球 (デバイスに機密情報なし) レベル2 ソフトウェアを超えてデバイスのハードウェアを標的 とする攻撃に対する保護を提供 スマートロック、監視カメラ (デバイスに機密情報あり) レベル3 妥協を絶対に回避する必要があるデバイスの要件を提 供 コネクテッドカー、埋込医療 機器
  • 10. 1. OWASP IoT Security Verification Standardについて⑦ ● OWASP ISVSの各セキュリティ要件の項目は、検証レベルの違いに より、実施の指定の有無が記されています。 レベルによる実施の有無 は、この箇所に記載され ています。
  • 11. 2. IoT エコシステムのセキュリティとは① ● IoT環境は、相互接続された多くのアプリケーションで構成されて おり、これらが一緒になってエコシステムを形成しています。 ● そのため、IoTアプリケーション以外の要素の安全が確保されてい ないとIoT全体に影響が波及します。 ● IoTアプリケーションの保護において、エコシステムの保護も重要 となります。
  • 12. 2. IoT エコシステムのセキュリティとは② ● とはいえ、一般的に話題となる IoTのセキュリティの話は、IoTデバ イスやIoTアプリケーションが対象になることが多いと思います。 ● IoTエコシステムの保護まで意識されているかは不透明のようにも 思えます。そもそも、どこまで意識すれば良いのでしょうか? そこで、OWASP ISVSのセキュリティモデルの要件の内容から、 IoTエコシステムのセキュリティとして意識すべきことを見て行 きましょう。
  • 13. 2. IoT エコシステムのセキュリティとは③ ● OWASP ISVSのセキュリティモデルの要件「IoT Ecosystem」は、 さ らに次の要素で構成されています。 ・Application and Ecosystem Design ・Supply Chain ・Secure Development ・Logging これら要素の項目に考えるポイントがありそうです。
  • 14. 2. IoT エコシステムのセキュリティとは④ ● Application and Ecosystem Designの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.1.1 IoTエコシステム内のすべてのアプリケーションが、アプリ ケーションのセキュリティの重要度に沿ったセキュリティ レベルで開発されていることを確認します。 ☑ ☑ ☑ 1.1.2 IoTアプリケーションのエコシステム内のすべてのコンポー ネントと通信チャネルが識別され、必要であることがわか っていることを確認します。不要なものはすべて削除また は無効にします。 ☑ ☑ ☑ 1.1.3 各製品導入設計(つまり、新規および成熟)の一部として の脅威モデリングの使用とセキュリティ関連の機能変更を 検証して、可能性のある脅威を特定し、セキュリティテス トをガイドする適切なリスク対応を促進します。 ☑ ☑ ☑
  • 15. 2. IoT エコシステムのセキュリティとは⑤ ● Application and Ecosystem Designの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.1.4 セキュリティ制御がサーバー側で実施されていること、お よびデータと命令がサーバー側のコンポーネントによって 盲目的に信頼されていないことを確認します。 ☑ ☑ ☑ 1.1.5 責任ある開示ポリシーが確立されており、会社のWebサイ トで簡単に見つけられることを確認します。ポリシーが、 脆弱性を安全に伝達する方法と、脆弱性をフォローアップ する方法について明確な概要を提供していることを確認し ます。 ☑ ☑ ☑ 1.1.6 脆弱性が確立された通信チャネル(Webサイト、電子メー ル、セキュリティアドバイザリページ、変更ログなど)を 通じて製品に影響を与える場合、ユーザーと関連する利害 関係者に通知されることを確認します。 ☑ ☑ ☑
  • 16. 2. IoT エコシステムのセキュリティとは⑥ ● Supply Chainの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.2.1 エコシステム内の各アプリケーション(ファームウェアを 含む)が、サードパーティコンポーネント、バージョン管 理、および公開された脆弱性をカタログ化したソフトウェ ア部品表(SBOM)を維持していることを確認します。 ☑ ☑ ☑ 1.2.2 サードパーティおよびオープンソースソフトウェアの使用 に伴う潜在的なリスク領域が特定され、そのようなリスク を軽減するための措置が講じられていることを確認します。 ☑ ☑ ☑ 1.2.3 (デバッグバージョンではなく)リリースビルドに適した 安全なデフォルトで構成されたファームウェアでデバイス がリリースされていることを確認します。 ☑ ☑ ☑
  • 17. 2. IoT エコシステムのセキュリティとは⑦ ● Supply Chainの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.2.4 デバイスを出荷する前に、デバッグインターフェイス (JTAG、SWDなど)へのアクセスが無効または保護されて いることを確認してください。プロセッサは、これをコー ド保護、リードバック保護、CodeGuard、またはアクセス ポート保護と呼ぶ場合があります。 ☑ ☑ 1.2.5 FPGAのデバッグ機能が実稼働PCBで無効になっていること を確認します。 ☑ ☑ 1.2.6 デバイスが、ハードウェアベースで不変の暗号化された信 頼ルートでプロビジョニングされていることを確認します。 ☑ ☑
  • 18. 2. IoT エコシステムのセキュリティとは⑧ ● Supply Chainの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.2.7 デバイスを顧客に出荷する前に、コード整合性保護メカニ ズムが有効になっていて、ハードウェアでロックされてい ることを確認してください。たとえば、セキュアブートが 有効になっていて、ブート構成がロックされていることを 確認します。 ☑ ☑ 1.2.8 静的分析ツールを使用してサードパーティのコードとコン ポーネントが分析されていることを確認し、バックドアが 導入されていないことを確認します。 ☑ ☑ 1.2.9 半導体ドライバー、SDK、モジュール(5G、LTE、 Bluetooth、Wi-Fi、ZigBee)を含むすべてのコンポーネント を更新して、製品のサポートまたは保守終了ポリシーに沿 ったセキュリティパッチを提供できることを確認します。 ☑ ☑
  • 19. 2. IoT エコシステムのセキュリティとは⑨ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.1 エコシステム内の各アプリケーションが、安全で反復可能 なビルド環境を使用してビルドされていることを確認しま す。 ☑ ☑ ☑ 1.3.2 GPLベースのファームウェアのソースコードが公開されて おり、機密情報や専有情報が誤ってプロセスに含まれてい ないことを確認してください。 ☑ ☑ ☑ 1.3.3 禁止されているC / C ++関数(memcpy、strcpy、getsな ど)の使用が、安全な同等の関数(Safe C、Safe Stringsラ イブラリなど)に置き換えられていることを確認します。 ☑ ☑
  • 20. 2. IoT エコシステムのセキュリティとは⑩ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.4 パッケージが信頼できるソースからダウンロードおよびビ ルドされていることを確認します。 ☑ ☑ ☑ 1.3.5 ビルドパイプラインがバージョン管理システムで維持され ているソースコードのビルドのみを実行することを確認し ます。 ☑ ☑ ☑ 1.3.6 コンパイラ、バージョン管理クライアント、開発ユーティ リティ、およびソフトウェア開発キットが分析され、改ざ ん、トロイの木馬、または悪意のあるコードがないか監視 されていることを確認します ☑ ☑ ☑
  • 21. 2. IoT エコシステムのセキュリティとは⑪ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.7 パッケージがオブジェクトサイズチェック(OSC)でコン パイルされていることを確認します(例:- D_FORTIFY_SOURCE = 2)。 ☑ ☑ 1.3.8 パッケージがNoeXecute(NX)またはData Execution Protection(DEP)でコンパイルされていることを確認しま す(例:-z、noexecstack)。 ☑ ☑ 1.3.9 パッケージがPositionIndependent Executable(PIE)(例: -fPIE)でコンパイルされていることを確認します。 ☑ ☑
  • 22. 2. IoT エコシステムのセキュリティとは⑫ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.10 パッケージがStackSmashing Protector(SSP)でコンパイ ルされていることを確認します(例:-fstack-protector-all)。 ☑ ☑ 1.3.11 パッケージが読み取り専用再配置(RELRO)でコンパイル されていることを確認します(例:-Wl、-z、relro)。 ☑ ☑ 1.3.12 リリースビルドにデバッグコードまたは特権診断機能が含 まれていないことを確認します。 ☑ ☑ ☑
  • 23. 2. IoT エコシステムのセキュリティとは⑬ ● Secure Developmentの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.3.13 デバッグファームウェアイメージとリリースファームウェ アイメージが異なるキーを使用して署名されていることを 確認します。 ☑ ☑ 1.3.14 デバッグ情報に、PII、クレデンシャル、暗号化資料などの 機密情報が含まれていないことを確認します。 ☑ ☑ ☑ 1.3.15 入力検証を実行し、ファームウェアコード、シェルコマン ドラッパー、およびスクリプト内のパラメーターをエスケ ープして、組み込みアプリケーションがOSコマンドインジ ェクションの影響を受けないことを確認します。 ☑ ☑ ☑
  • 24. 2. IoT エコシステムのセキュリティとは⑭ ● Loggingの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.4.1 認証の成功と失敗、デバッグ機能へのアクセスなど、セキ ュリティに影響するイベントに関するログをデバイスが収 集できることを確認します。 ☑ ☑ 1.4.2 収集されたログに、実用的な洞察とアラートを有効にする のに十分な粒度があることを確認します。ログには、少な くとも、イベントのタイプ、タイムスタンプ、ソース、結 果、および関与するアクターのIDを含める必要があります。 ☑ ☑ 1.4.3 ログのタイムスタンプの有効性を確認するために、デバイ スに信頼できるタイムソースが含まれているか、同期され ていることを確認してください。 ☑ ☑
  • 25. 2. IoT エコシステムのセキュリティとは⑮ ● Loggingの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.4.4 収集されたログに、PII、クレデンシャル、暗号化キーなど の機密情報が含まれていないことを確認します。 ☑ ☑ 1.4.5 収集されたログが、定期的またはオンデマンドで、オンラ イン収集を介してデバイスから安全に取得できることを確 認します。 ☑ ☑ 1.4.6 収集されたログが組織のポリシーで必要な期間保存され、 保存期間が終了すると安全に削除されることを確認します。 ☑ ☑
  • 26. 2. IoT エコシステムのセキュリティとは⑯ ● Loggingの項目 (Google翻訳したもの) # 説明 L1 L2 L3 1.4.7 収集されたログの機密性、整合性、および信頼性が、ログ を作成したデバイスと、ログを保存または処理する他のシ ステムの両方で適切に保護されていることを確認します。 ☑ ☑
  • 27. 2. IoT エコシステムのセキュリティとは⑰ ● OWASP ISVSのセキュリティモデルの要件「IoT Ecosystem」の各要素 から、 IoT エコシステムのセキュリティについては、次のことがポ イントになりそうです。 【 Application and Ecosystem Design】 ● IoTエコシステム内のすべてのアプリケーションが、セキュリティの重要度 に沿った適切なセキュリティレベルで開発されていることを意識する。ま た、脆弱性があった場合の通知・サポート体制が整っていることのチェッ クも必要。 ● 反復的なシステムへの脅威モデリングの実施で、脅威を特定しておくこと も重要。
  • 28. 2. IoT エコシステムのセキュリティとは⑰ 【Supply Chain】 ● エコシステム内の各アプリケーション(サードパーティおよびオープンソ ースソフトウェア)のリスクの洗い出しとセキュリティパッチの提供状況 等の情報管理を行う。 ● 外部提供デバイスのデバック機能の無効化、セキュリティ保護の有効化、 正式リリース版のチェックの実施。 ソフトウェアコンポジション解析ツールによるソフトウェア部品表 (SBOM)の作成等
  • 29. 2. IoT エコシステムのセキュリティとは⑱ 【 Secure Development 】 ● 監視されたセキュアな環境下において管理されたソースの利用、アプリケ ーションのビルドにおける不要なオプションや情報付与のチェックの実施。 【 Logging 】 ● セキュリティイベントの監査証跡のためにデバイスの有効なログの収集と ログの保護、管理の仕組みの導入。
  • 30. 3.まとめ ● OWASP ISVSのセキュリティモデルの要件「IoT Ecosystem」の各要素から、 IoT エコシステムのセキュリティを考える上のポイントが把握出来そう です。 ● 今回は IoT エコシステムのセキュリティを考えましたが、IoTのセキュリ ティは、 IoT エコシステム以外の安全の担保も必要です。 OWASP ISVSの セキュリティモデルの他の要件の要素も参考にして下さい。 ● あと、 OWASP ISVSのセキュリティモデルの要件の項目のうち、該当し ないものについては、実施する必要はありません。