最終更新日 2011年2月22日
独立行政法人 情報処理推進機構
セキュリティセンター
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ネットワークへ接続する組込みシステムのセキュリティ対策推進のため、IPv6等の新技術への対応策等について追記した「組込みシステムのセキュリティへの取組みガイド(2010年度改訂版)」を、2010年9月7日(火)から、IPAのウェブサイトで公開しました。本ガイドを活用することにより、情報家電を含む組込みシステムのセキュリティへ取り組むための、具体的な指針を得ることができます。
改訂の背景
近年、インターネット接続機能を持つデジタルテレビ等の情報家電の普及が進んでいます。ネットワークにつながる組込みシステムは、PCと同じくネットワークを介した脅威にさらされる恐れがあります。IPv6(*1)やNGN(*2)等の新しいネットワーク環境が整備されつつある中で、ネットワークに接続される組込みシステムのセキュリティを確保するための対応策普及のため、「組込みシステムのセキュリティへの取組みガイド」を改訂し、公開しました。
主な改訂点
(1)「新技術への対応」を追加
組込みシステムに今後取り入れられると考えられる新技術について、必要とされるセキュリティへの対応策を追加しました。特に、IPv6技術の利用については下記のような対応策が考えられます。
- グローバルなIPアドレスに対する保護
IPv6技術ではアドレス空間の拡大により、ネットワークに接続するあらゆる機器に世界で唯一かつ固定的なIPアドレスを割り当てることが可能になります。これにより、攻撃者が組込みシステムを特定しやすくなり、特定の組込みシステムを狙って攻撃する可能性が高まります。
<対策>
組込みシステムに対して、脆弱性対策等のIPv4と同様のセキュリティ対策を実施すると同時に、IPAが提供している「TCP/IPに係る既知の脆弱性検証ツール」 (*3)のような、IPv6の脆弱性検証にも対応しているツールを用いてセキュリティ検証を行う必要があります。また、IPv6への移行は段階的に進むと考えられるため、多くの組込み機器がIPv6とIPv4の両方の機能を持つと考えられます。そのような場合には、両機能に対するセキュリティ対策を実施する必要があります。
- IPv6特有のアドレス付与方式による攻撃機会の増加への対策機能
IPv6を利用した機器がネットワークに接続する際、IPアドレスの一部に装置ベンダ特有の情報が組み込まれる場合があります。これは、組込みシステムの利用しているハードウェアを特定する情報として、攻撃者が特定の機器の脆弱性をついた攻撃を行う際の参考情報として利用される可能性があります。
<対策>
ネットワークに接続する組込みシステムの開発時に、機器が推測されないアドレスを用いる、通信に応じて適宜アドレスを変更する等の機能を実装する必要があります。
(2)組込みシステム開発組織等へのヒアリング結果を反映
2009年6月に公開した本ガイドについて、デジタルテレビ等の組込みシステムの開発組織やネットワーク関連組織等にヒアリングを実施して現場の声を取り入れ、より製品開発者が理解しやすくなるように内容の整理を行いました。また、既に下記項目について、ヒアリングにより明らかになった組込みシステム開発を行う上での考慮点を追加しました。
- 製品の長期利用
- オープンソースの利用
- 暗号の危殆化
- 開発工場におけるPC管理
本ガイドの活用法
組込みシステムのセキュリティ対策を確実に実行するには、製品の技術的な対策だけでなく、製品開発企業が組織として、製品のライフサイクル(企画・開発・運用・廃棄)全体を通して取り組むことが必要となります。本ガイドでは、組込みシステムのライフサイクルの各フェーズについて、セキュリティを考慮すべき具体的な取組み項目を16個設定し、各項目について4つのレベルを設定しています。本ガイドを参考に自組織の「セキュリティへの取組み」のレベルを把握し、上位のレベルを目指すことで、よりセキュアな製品の開発が可能になります。
IPAでは、本ガイドが、安心・安全な組込みシステムの開発に寄与し、情報セキュリティ上の脅威が減少することを期待するとともに、今後も組込みシステムのセキュリティに関して、「IPv6普及・高度化推進協議会」(*4) 、「IPv6技術検証協議会」、「社団法人 組込みシステム技術協会」(*5) 等の関係団体等と協力の下、利用者やメーカー、サービス事業者の情報リテラシー向上に向けた活動を継続していきます。
資料のダウンロード
(参考)
脚注
(*1)IPv6(Internet Protocol version 6)。ネットワーク規格の一つ。約340澗個(43億の4乗個)のIPアドレスが用意されており、IPv4アドレスの枯渇対策として、IPv6アドレスへの移行が進められている。
(*2)NGN(Next Generation Network)。
IP(Internet Protocol)をベースとして、誰もがいつでもどこでも、アクセス手段に依存することなく、データ通信や情報提供サービス、認証サービスなどを享受できるマルチサービスの基幹インフラストラクチャ。
(*3)TCP/IPに係る既知の脆弱性検証ツール。
IPAが無償で貸出している、IPv4環境で19項目、IPv6環境で5項目の脆弱性を体系的に検証できるツール。
http://www.ipa.go.jp/security/vuln/documents/2009/200901_vuln_TCPIP.html
(*4)IPv6普及・高度化推進協議会
http://www.v6pc.jp/jp/index.phtml
(*5)社団法人 組込みシステム技術協会(Japan Embedded Systems Technology Association)
http://www.jasa.or.jp/top/
本件に関するお問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 小林/中野/長谷川
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:
報道関係からのお問い合わせ先
独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/大海
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:
更新履歴
2011年 2月22日 | ガイド(改訂版)の英語版を掲載 |
---|---|
2010年 9月7日 | ガイド(改訂版)を掲載 |