KDL BLOG

サイバーセキュリティシンポジウム道後のナイトセッションを担当しました

もうすぐでこの会社に入社してから一年が過ぎ、新入社員の肩書がなくなってしまうのかと悲しんでいるセキュリティソリューション事業部の村島です。

お声掛けをいただき日本三大温泉シンポジウムのひとつである、「サイバーセキュリティシンポジウム道後2018」のナイトセッション座長を担当してきました!今回は、そちらをご紹介します。

サイバーセキュリティシンポジウム道後とは

secdougo_01.png

(上図:サイバーセキュリティシンポジウム道後 2018)
出典: http://www.sec-dogo.jp/

このシンポジウムの目的は、「サイバーセキュリティ月間(※1)の行事として、全国のサイバーセキュリティ専門家が集い、最新情報の共有や意見交換を行うシンポジウムを開催することにより、我が国のセキュリティレベルの向上に寄与するとともに、サイバーセキュリティ人材の育成及び地域におけるサイバーセキュリティに対する気運の醸成に資すること」としています。
参加者数も全国から約400名が参加するというセキュリティイベントとしては大規模なシンポジウムです。
参加者の多くに、セキュリティ業界などで大変有名な先生方やエンジニアの方々が参加されており、発言の1つ1つに大変緊張しました。

今回のサイバーセキュリティシンポジウム道後 2018は、「Society 5.0(超スマート社会)の到来とサイバーセキュリティ」をテーマに、国のサイバーセキュリティ政策をはじめ、技術・法制度や事例等も含め、多様な側面から最新の事情を学び、議論を深め、対策等につなげる機会にしたいと考え開催されました。

※1 サイバーセキュリティ月間とは
内閣サイバーセキュリティセンターが呼び掛ける、「国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、サイバーセキュリティに関する様々な取組を集中的に行う」期間です。2018年は2月1日~3月18日にさまざまな普及啓発強化活動が行われています。

テーマ「IoTセキュリティの課題」

私が担当したナイトセッションは、IoTセキュリティの枠でした。もう一人エンジニアを座長としてお呼びできたので、IoTセキュリティに強いエンジニアをIoTSecJPメンバーの1人にお願いしました。
登壇にあたっては幾つかの議論を交わし、私たちのナイトセッションテーマは、「IoTセキュリティへの課題」になりました。
それに伴って、テーマに対してディスカッションを行う必要があるため、以下の4つのサブテーマを取り扱ってみました。

secdougo_02.png

(上図:4つのサブテーマ)

サブテーマの概要は以下の通りです。

  • 問題:「IoT製品で起きている問題(OEMやbrick問題やベンダーの倒産)」
  • 知識「IoT機器を解析する上での前提知識・手法」
  • 項目「OWASP IoT Top TenなどのIoTセキュリティに関する項目」
  • 成長「基本知識習得後にどのように強いエンジニアなるか」


上記のサブテーマをディスカッションで扱うためには「基本的な解析知識」などを知る必要があります。
そのため、前半パートと後半パートを用意していました。
※赤で線引きしているのは時間の都合でお話しできなかったところです。

secdougo_03.png

(上図:発表資料の目次概要)

最初は、海外などで問題になっている「子供向けのIoTおもちゃに対して子供のプライバシーを侵害している」というものです。
一番簡単な例では、CloudPetsというおもちゃはデータベースが未認証だったため、会社の株価が50円から0.1円程度まで下落しました。

secdougo_04.png

(上図: CloudPetsを販売していたメーカーの事件後の株価)
出典: https://www.marketwatch.com/investing/stock/stoy

また、「ケイラ」と呼ばれるおもちゃは「セキュリティの欠陥」や「子供が密かにマーケティングの対象とされている懸念」から違法スパイ装置とみなされドイツ国内での製造・販売・所持を禁止されました。
そういったプライバシーの面からOEM製品を販売しているメーカーが倒産し、IoT機器がレンガになってしまう話などの問題を定義し、実際のIoT機器の各種解析アプローチの紹介を行いました。

ナイトセッションの反省点

ナイトセッションの反省点としては、最初にIoTで起きている問題などを紹介して、最後にIoTペネトレーションテストを行ったことです。
最初にIoTペネトレーションテストで来場者の興味を引き、そこから各種攻撃手法の紹介を行う方が理解もしやすくスムーズだったのではないかと思います。

担当した「IoTセキュリティへの課題」ナイトセッション会場の風景は、以下の通りで、大変綺麗な会場でナイトセッションが行われていました。

secdougo_05.png

(上図:IoTナイトセッションの画像)
出典: https://www.facebook.com/secdogo/

ナイトセッション総括

2時間程度の発表を通して、次の日のナイトセッション総括では「IoTハッキングを行い、訴訟や逮捕がされてしまう人が出ないためにどのようなことに注意し気を付けるべきか」という話をすることに決定しました。
そこで私がIoTハッキングの発表をするときに注意している点などをお話ししました。

secdougo_06.png

(上図:脆弱性の検証)

セキュリティ技術を紹介する多くのブログでも同様だと思いますが、サーバーソフトウェアの検証記事ではCVE等が割り当てられたPoCが公開されている脆弱性の検証を行い、提示が可能であれば「対策」まで書いていくことが多いかと思います。
私も同じく、発表資料や原稿で用いる脆弱性はそういったものが多いという話をしました。
そこで重要になることは「検証結果以上の推測を述べない」ということです。
検証できていないが99%推測は正しいだろうということで、誤った情報を公開してしまうと製品メーカー様との問題に発展してしまうことがあります。

secdougo_07.png

(上図: 推測による指摘発表は裁判に発展する可能性がある)
出典: https://abcnews.go.com/images/HT-panasonic-statement-jef-161220.PDF

そういった問題を避けるためにも、新規の脆弱性を見つけてしまった場合は、IPAや対象メーカーのPSIRT(Product Security Incident Response Team)に届け出て速やかに対応してもらいましょう!

secdougo_08.png

(上図: ナイトセッション統括)
出典: https://www.facebook.com/photo.php?fbid=10156043029339034

サイバーセキュリティシンポジウム道後感想

恥ずかしながら、私自身が今回のSEC道後含めて3大温泉シンポジウムに参加したことは今回が初めてでした。
おそらく、進行に関して他のナイトセッションに比較すると残念なところもあったかと思いますが、サイバーセキュリティ人材の育成及び地域におけるサイバーセキュリティに対する気運の醸成に少しでも貢献することができれば幸いに存じます。

参加者層は年齢が高い印象がありましたが、このような場に若手を連れていくことで何かしらの成長を望めるのではないかと思いました。
参加チケットは即売するほどの人気ですが、ぜひ老若男女問わずサイバーセキュリティに関わっていれば情報収集を兼ねてご参加していただきたいイベントだと感じました。

最後になりますが、このような素晴らしいご機会をいただき、サイバーセキュリティシンポジウム道後の運営陣の方々、また、お声をかけてくださった神戸大学大学院の森井教授に大変感謝いたします。