メルマガ購読
独立行政法人 情報処理推進機構(IPA)は29日に、「複数の組込み機器の組み合わせに関するセキュリティ調査報告書」と題する文書をIPAのウェブサイトで公開した。報告書本体49ページ、付録55ページがPDFファイル化のうえ公開されている。
組込みシステムの情報セキュリティ対策を推進するため、今後利用が拡大すると予測される3分野(情報家電、カーナビ、携帯電話)の組込みシステムの連携時におけるセキュリティ課題の調査を行ったもので、イラストもふんだんに用いられた内容になっている。
組込み機器のさまざまな利用シナリオやそこに発生する脅威を洗い出し、ネットワーク等を利用して使われる場合に、連携上注意すべきポイントとして「1. 保護すべき情報種別の拡大」「2. 中間に位置する機器の脆弱性」「3. 意図していない情報の拡散」「4. 利用者や連携する組込み機器の多様化・不特定化」「5. 社会・生活への影響の深刻度」の5つに分類、それぞれについて対策例を示している。研究会での検討の結果、開発社側で実施可能な対策だけでは不十分であり、利用者に適切な利用を促すことが、より安全な組込み機器の利用につながることが明らかになったとのことで、開発者側・利用者側の2つの視点から、考えられる対策例が整理されている。
具体的には「組込み機器に入力する情報がネットワーク等を介して漏えいする危険性がある事を操作説明書や画面表示などで注意を与える」「組込み機器に、設計・開発時に想定していない機器やメディアの接続を行うことの危険性を利用者に注意喚起する」などが、利用者側も注意すべきポイントにあげられており、今後はパソコンだけでなく、情報家電・カーナビ・携帯電話においてもネットワークでの情報流出に利用者も留意すべき時期にさしかかっていると言えるだろう。
また、利用シナリオと発生し得る脅威そのものについては、実際に開発・提供されている機器やサービスを基に有識者による研究会が検討を行い、「プラグアンドプレイ に潜む脅威」「生活インフラとの接続に潜む脅威」「想定外の利用方法に潜む脅威」「他機器やサービスとの接続に潜む脅威」について、図を交えてわかりやすく解説されている。プラグアンドプレイなど、機器の共通化、接続の簡便化が図られる一方で、そのぶんリスクも高まっているケースもあり、家庭内のみで視聴していたコンテンツが、いつのまにか流出しているといった危険性が指摘されている。
PDFファイルはIPAのウェブサイトから無料ダウンロード可能。
組み込み機器のネットワーク化がセキュリティリスクを高める?〜IPA調査報告
2008年1月30日(水) 14時34分
組込み機器連携の接続形態
組込み機器の注意すべき5つのポイント
プラグアンドプレイに潜む脅威
プラグアンドプレイに潜む脅威の対策
生活インフラとの接続に潜む脅威
生活インフラとの接続に潜む脅威の対策
他機器やサービスとの接続に潜む脅威
他機器やサービスとの接続に潜む脅威の対策
《冨岡晶》
注目ニュース
情報処理推進機構(IPA)は28日、ファイアウォールルーター「SRT100」、ブロードバンドVoIPルーター「RT58i」、イーサアクセスVPNルーター「RTX1100」など複数のヤマハ製ルーターに...
ヤフーは、インターネットの安全な利用の啓発を目的とした特集サイト「セキュリティ特集2008春〜止まらない情報漏えい、進化した詐欺、子どもが危ない〜」を公開中。
ミラポイントジャパンは28日、Fibre-Channel SAN対応モデル「Mirapoint Message Server 6000-SAN Edition」、ハイエンドモデル「Mirapoint...
独立行政法人 情報処理推進機構(IPA)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は、18日に共同で、「ソフトウエア等の脆弱性関連情報に関する届出状況 [20...
独立行政法人 情報処理推進機構(略称IPA)は8日、2007年12月および昨年1年間のコンピュータウイルス・不正アクセスの届出状況をまとめた「コンピュータウイルス・不正アクセスの届出状況[12月分お...
独立行政法人 情報処理推進機構(IPA)は27日より、日本国内で一般利用者が入手可能な、バイオメトリクス(生体認証)製品の情報を収集し、「バイオメトリクス製品データベース」として公開した。
情報処理推進機構は18日、JIS Q 27001:2006に対応した「情報セキュリティ対策ベンチマーク」のバージョン3.0を公開した。
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は22日、2007年第3四半期の脆弱性関連情報の届出状況のまとめを発表した。
