1. HOME
  2. ブログ
  3. JSSECとSIOTP協議会が2023年度の成果を発表!~「セキュリティフォーラム2024」(後編)

JSSECとSIOTP協議会が2023年度の成果を発表!~「セキュリティフォーラム2024」(後編)

中央大学産学官連携・社会共創フロアにおいて3月6日、(一社)日本スマートフォンセキュリティ協会(以下、JSSEC)、および(一社)セキュアIoTプラットフォーム協議会(以下、SIOTP協議会)、中央大学研究開発機構・情報セキュリティに関する総合的研究ユニットが、ビジネス活用が進む「生成AI」(Generative AI)のプライバシーとセキュリティをテーマとした「セキュリティフォーラム2024」を開催した。後編ではJSSEC(利用部会/技術部会/啓発事業部/PR部会)とSIOTP協議会の1年間の取り組みと成果についてレポートする。

成果①~「スマホ利用シーンに潜む脅威 Top10」解説編リリースについて

JSSEC利用部会は、2023年度の活動方針として、オンライン/オフラインを融合させたハイブリッドなワーキンググループ(WG)の開催や情報発信を実施し、このWGの成果物を活用した啓発活動を行ってきた。それとは別にコラムによる情報発信、ワークショップの開催も行った。ワークショップでは「スマートフォン利用シーンに潜む脅威 Top10 2023」(https://www.jssec.org/news/news20230228.html)の活発な議論を「解説編」としてリリースしようとしているところだ。その一部について、利用部会 部会長の松下綾子氏が発表した。

JSSEC 利用部会 部会長 松下綾子氏(アルプスシステムインテグレーション)

昨年の脅威 Top10のうち、トップ3を順に挙げると、①「依然猛威を振うスミッシング詐欺」、②「なりすまし契約とアカウント詐取」、③「ディープフェイク」である。特に関心が高かったのはフィッシングとフェイク関連のニュースだ。これらを踏まえて、利用部会はワークショップを開催し、事例や技術背景、初動対応、恒久策などについて議論した。そのうえで成果物として、今春にも解説編を公開する予定だ。本ワークショップ全体からの考察としては、「脅威を回避するために利用者のリテラシーが求められること」「相談先がないので窓口を増やすこと」などが求められるとのこと。いま利用部会自身で可能な対策を幅広く啓発したいという。

近々リリースされる「スマートフォン利用シーンに潜む脅威 Top10 2023」の解説編のチラ見せ。

成果②~「OWASP Mobile Top 10」に入ったJSSEC Mobile Top 10の重要項目

昨年報告した「モバイルアプリケーション開発 10大チェックポイント 2023」(通称JSSEC Mobile Top 10)の完成と前後して、このTop 10のベースとなる標準化団体OWASP(Open Web Application Security Project)の「Mobile Top 10」も7年ぶりに再始動し、あらたにTOP10を発効することになった。その内容についてJSSEC 技術部会の小笠原 徳彦氏が説明した。

JSSEC 技術部会 マルウェア対策WGリーダー 小笠原 徳彦氏(SHIFT SECURITY)

実はJSSEC Mobile Top 10には、OWASP Mobile Top 10にない「不適切なクレデンシャルの利用」という新しい項目が入っている。スマートフォンのアプリには、秘密情報を書き込めるシークレット領域があり、リバースエンジニアリングによって、この中のハードコード(鍵)を容易に読み取れて悪用される危険があった。これはCVEでも報告されており、JSSECでは本項目をTop10に追加したという経緯がある。しかしOWASPのTOP10には、この項目がランク外だったため、そのリスクを強調したところJSSECの意見が通り、最終版のOWASP Mobile TOP10 2023のトップ1に反映された。ちなみに、こちらの特徴は以下の通りだ。Mobile以外でも注目を集めているサプライチェーンセキュリティが2位に入っていることも特筆すべき点だろう。

TOP1に入った「不適切なクレデンシャルの利用」の新項目。OWASP Mobile Top 10にJSSECの意見が取り入れられた。サプライチェーン関係のリスクも2位に入っている。

成果③~セキュア設計・セキュアコーディングガイドの最新版が登場!

JSSEC技術部会 セキュアコーディングWGからは、セキュアコーディングガイドについての紹介と解説がなされた。このガイドブックは10年以上に渡り改定を続けており、Androidアプリ開発者向けコーディングガイドとして有名だ。今回はAndroid 14がリリースされたことを機に、同部会のリーダー 宮崎 力氏が最新版における開発上の2つの注意点として「画像と動画の部分的アクセス」、および「メディア所有者のパッケージ名」についてオンラインで説明した。

JSSEC 技術部会 セキュアコーディングWGリーダー 宮崎 力 氏(ラック)

画像と動画の部分的アクセスとは、アプリのインストール時に権限許可を要求される変更で、Android 14からメディア・ファイル単位のアクセスが選択になった(以前はファイルの全許可か全拒否の2択)。開発者視点では、動画とピクチャに追加権限が必要になった。メディア所有者のパッケージ名については、Android端末にあるメディア・ファイルの所有者を検索するとAndroid 14では出力がNGになる変更が加えられた。ユーザーが端末にどんなアプリをインストールしているのか分かってしまうので、個人情報の観点から取得できないようにする配慮からだ。 これら2つの改定をここで取り上げた理由は、メディア・ファイルのアクセス時に「Media Store API」と「ContentsResolver」を使用するようにOSの仕様として決められており、今後の保守性を考えた場合には、いち早く対応したほうがよいという判断からだ。バージョンごとのファイルアクセス方法と必要な権限は以下のようになる。判断に迷ったら、この基準に立ち返るとよいとのことだ。

ファイルアクセス方法の整理。細かい仕様変更はあるものの、大枠は変わっていないという。もし判断に迷ったら、上のアクセス方法を参照するとよい。

成果④~学生のスマートフォン利用傾向と「セキュリティかるた」による啓発活動

次にJSSEC 啓発事業部会 部会長の藤平武巳氏が、学生のスマートフォン利用傾向と、スマートフォンセキュリティの啓発ツール「セキュリティかるた」について報告した。まずスマートフォン利用傾向調査では、SNSごとの利用など学生のリアルな実態を紹介。本調査では、学生がスマートフォンやSNSを通じて幅広い人々と交流し、課金サービスを利用しているため、大人と同等のセキュリティ対策が必要なことが分った。もちろん学生もセキュリティに留意しているが、リスク対策に自信があるユーザーは3割と少数で、有効なセキュリティ啓発活動が重要とのことだ。

JSSEC 啓発事業部会 部会長 藤平武巳氏(NTTコミュニケーションズ)

そこで啓発事業部会では、学生向けに活用できる啓発ツールとして「セキュリティかるた」を開発してきた。遊びながらセキュリティの気づきや考える機会を与え、周りの知識や経験から共に解決できる力を養うことを目的にしたものだ。このセキュリティかるたでは「個人情報やセキュリティとは何か」「どんなリスクがあるのか」「どんな対策が必要か」を一緒に考えられる内容になっている。かるたの読み文をファシリテータが読み上げ、かるたを取った人に問題を投げかけて答えてもらう。最後にコメントを加え、学びを確認してもらうという使い方だ。今後は使い方の動画も配信して啓発を続けていくという。

スマートフォンの活用が当たり前になっている若年層のセキュリティ意識を高めるために開発されたJSSECのセキュリティかるた。

成果⑤~安心・安全なメタバースの実現に向けて~メタバースセキュリティWGとガイドライン~

近年のメタバースは、一過的な投資ブームが過ぎて、国内外で社会実装の定着フェーズが徐々に進みつつある。その活用や事例が広がるなかで、メタバース内のプライバシーやセキュリティが重要視されている。スマートフォンやHMD(ヘッドマウンドディスプレイ)でもAndroid OSが使われ、ARやVRが活用されていることから、JSSECでは2022年にメタバースセキュリティWGを設立。このWGの取り組みについて、JSSEC 技術部会 部会長の仲上竜太氏が紹介した。

JSSEC 技術部会 部会長 仲上竜太氏(ニューリジェンセキュリティ)

メタバースにはプラットフォーム上に空間を定義する複数のワールドがあり、その中にユーザーがアクセスしてコミュニケーションが取れる。ワールド間やプラットフォーム間には相互運用性があり、アバターの往来や資産流用が可能なため、さまざまな経済活動も進展している。そんな状況で「HMDを通じた身体・心身への攻撃」「個人特的・ストーキング」「なりすまし」といった悪意ある行為や、「肖像権」「商標権」「所有権」といった権利性に対する侵害が問題になっている。アバターによる犯罪は、誰が加害者なのか分からない面もある。空間内のデータの取り扱いやセキュリティ対策は、その多くをプラットフォーマが重要な役割を担っている。 同WGでは、メタバース推進協議会・SIOTP協議会と、安心・安全なメタバースに向けてセキュリティガイドラインを作成している。また総務省の研究会にも参加し、メタバースの将来的な発展を見据えて、民主的な原則に則り、安心・安全の確保と国際議論への貢献に寄与していくという。

今年もアップデートする予定のセキュリティガイドライン(一般公開版)~メタバース特有の問題があるなかで、安心・安全なメタバース空間の実現に向けて課題を整理。

成果⑥~IoTセキュリティ手引書など、仕様検討部会の取り組みを推進中!

続いてSIOTP協議会から、事務局長の白水公康氏が、仕様検討部会の活動を報告した。

SIOTP協議会 事務局長 白水公康氏(サイバートラスト)

仕様検討部会では、IoTセキュリティの検討にあたり「モノの真正性が重要」という観点からクレデンシャルな鍵を安全に管理し、その鍵による認証と識別の仕組みを使ったライフサイクルマネジメントを中心に考えてきた。それらを「IoTセキュリティ手引書」にまとめ、この手引書をガイドラインとしてセキュアIoT認定制度もリリースした。昨年度は手引書に小型機器編も加え、より実用性の高いものを目指したという。本年度はクラウドにアップされたデータも考慮すべく、データのセキュリティとライフサイクルのホワイトペーパーを作成する予定だ。

IoTセキュリティ手引き書。国際標準になりつつあるIEC 62443とNIST SP800-171rev.2を基準に項目の検討し、実装レベルまで落とし込んだもの。

続いて仕様検討部会にあらたに設置されたデータライフサイクル分科会から、加藤 貴氏も活動を報告した。

SIOTP協議会 仕様検討部会 ライフサイクル分科会 加藤 貴氏(ワンビ)

この分科会では、IoT機器やクラウドに保存したデータを、ライフサイクルの観点から製品メーカーや事業者が安全に消去(破棄)するためのガイドラインを策定する。これに準拠することで、データを正しく消去したことを証明し、真実であることの証明になる。クラウドサービスでデータを消去する場合は、各媒体ごとにソフトウエアで消去すればよいが、仮想化データ領域では媒体が1つにまとまっているため、媒体ごとに消去できない。そこで始めに媒体ごとに暗号をかけ、その復号キーを消すことでパージレベルと同等の消去を実行するという流れだ。さまざまな関係各社に協力を仰ぎ、ガイドライン化を進めていく予定だ。

仮想化データ領域では媒体が1つにまとまっており、媒体ごとに消去できないため暗号化消去を提案。これは始めに媒体ごとに暗号をかけ、その復号キーを消すことでパージレベルと同等の消去を実行する方法だ。

成果⑦~JASAとの協業も! セキュアIoTプログラムの成果について発表

標準化部会からは、座長の山澤昌夫氏が同部会の活動内容について説明した。

SIOTP協議会 標準化部会 座長 山澤昌夫氏(中央大学大学研究開発機構)

標準化部会は、仕様検討部会でまとめたIoTセキュリティ手引書(ガイドライン)が有用かどうか、実装性をチェックし、標準的なプラクティスとして活用できるようにする活動を進めている。「真正性の担保と識別」(耐タンパ:鍵管理)、「認証と識別」(設計・製造、利用、破棄、リサイクル)、「セキュアアップデート」(OTA:Over The Air)の3つをキーワードに、セキュアIoTプログラムを開始して発信しているところだ。

このセキュアIoTプログラムについては、同部会 副座長の松本義和氏が詳しく説明した。

SIOTP協議会 標準化部会 副座長 松本義和氏(サイバートラスト)

本プログラムでは、まずIoTセキュリティ検査としてIoTシステムのライフサイクルの検査(上記の3つ)、主にIEC 62443-4準拠の鍵管理を中心にチェックする。次に脆弱性検査を実施し、ソースコードやファームウェアの解析、ネットワークスキャンなどを行う。この脆弱性検査で一定のセキュリティ認定基準をクリアしていれば3段階の認定が受けられる。最上位のGold認定の場合は、IoTセキュリティ検査要件のクリアが必要だ。昨年はGold認定ではサイバートラストとSYNCHROの2社(6件)が合格した。本プログラムはJASA(組込みシステム技術協会)との協業も調整中とのことだ。

セキュアIoT認定プログラムの概要。IoTセキュリティ検査、脆弱性検査、セキュアIoT認定の3つで構成されている。

成果⑧~あらたに発足したパーソナルデータ・ストア(PDS)部会の活動報告

新しく発足したパーソナルデータ・ストア(PDS)部会からは、座長の田中宏和氏が同部会の設立背景や活動内容などについてオンラインで報告した。近年、センサーパーソナルデータストアやライフログの利用が増えているが、それらの情報をスマートフォンやサーバーなどで安全に管理し、本人の意思に基づいてセキュアに流通させる仕組みの標準化が求められている。この標準化に加え、管理の安全性と流通の利便性の両立に貢献するために本部会が設立されたという。

PDSでは自らのプライバシー保護に加え、データがどのように扱われているのかを把握・制御できないという不安がある。そこで、これらの課題を解決するために、セキュアなセンサデータストアシステム(SDS)の実現が必要だ。同部会では国際標準を見据えながらのような3つの項目を定義することを目的に議論を進めている。具体的なユースケースとして、高齢者のヘルスケア情報などをセンサでセキュアに取得・集約し、それらをデータコンテナ(IEC63430)にパッキングしたうえで、IoTサービスプラットフォームに送る。本人の同意を得たうえでデータを分析に使ったり、2次利用のサービスとして連携したりするという流れだ。来年度は、これまでの検討内容をベースに詳細議論につなげていくという。

今年度は分散型PDSの認証を行うためのガイドライン策定に向けて、上記3つの検討項目の洗い出しを行ったという。

成果⑨~新発足の位置情報部会は、位置・時刻情報の改ざん対策と実証実験も!

位置情報とIoTの双方が密接に関わる経済活動として、トレーサビリティや人流管理などの応用が期待されるため、新たに2023年度から発足したのが位置情報部会だ。位置情報とIoTセキュリティ(位置・時刻情報の改ざん対策)に関わるビジネス機会を検討し、セキュアな位置情報の活用や、適用領域のガイド、および実証実験について産官学での取り組みを目指していく方針だ。その活動概要について、同部会 副座長の藤田智明氏が説明した。

SIOTP協議会 位置情報部会 副座長 藤田智明氏(LocationMind)

2023年度の活動内容としては「適合分野の模索」(ドローン、船舶、ドラックなど)、「安全性に関わるガイドライン作り」(セキュアドローン協議会との連携)、「適合分野での実証実験」(岡山大学との連携)の3つが挙げられる。そもそも位置情報とセキュリティの問題として、GPSがオープンなやり取りを行わっているため、「Spoofing」と呼ばれる位置偽装が容易にできることが挙げられる。またGPS信号を使って時刻同期するインフラなども時刻を狂わされてしまう。こういった課題は特に安全保障領域で深刻だ。本年度は共同実証実験や標準化/ガイドラインの準備を進め、2025年度には商用サービス化も目指す方針だ。

2023年度の位置情報部会の活動内容。「適合分野の模索」「安全性に関わるガイドライン作り」「適合分野での実証実験」の3本柱で推進してきた。

最後にJSSECの会長である佐々木良一氏が、閉会の辞を述べた。同氏は「本イベントではJSSECやSIOTP協議会の各部会が積極的に活動していることが分かりました。相互に関連する話題も多くあるため、それぞれが情報を交換しながら活動できれば、さらに相乗効果が得られるでしょう。今後の皆様の活動に期待します」とまとめた。

JSSEC会長 佐々木 良一氏(東京電機大学 名誉教授 兼 サイバーセキュリティ研究所 客員教授)

参考:「生成AI」のプライバシーの保護と、セキュリティの確保 ~セキュリティフォーラム2024~(前編)

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!