100%

神谷健司

プロフィール

コース

1
IoT機器への攻撃手法とその対策
有効期限: 3か月

コース名:IoT機器への攻撃手法とその対策

受講期間:3か月(91日)

標準学習時間:10時間

(内、ビデオ聴講時間 5時間、理解度確認クイズ回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要

 IoT機器のプログラムは日々高機能になっており、その結果、WebアプリケーションやPCアプリケーションと同様の脆弱性が発生しうる状況にあります。その一方で、IoT機器はメモリー・ストレージなどのリソースが限られることや屋外を含む様々場所に設置されるため、WebサーバやPCのような不正アクセスの常時監視が困難です。そのため、IoT機器の開発者や利用者はこうしたリスクを踏まえた適切な設計や運用を行う必要があります。

 本コースでは、IoT機器における典型的な脆弱性の発生理由、こうした脆弱性を突いて機器に意図しない動作を行わせる手法や攻撃を受けた場合の影響をデモを含めて具体的に解説します。さらに、脆弱性の発生原因をふまえた対策を解説します。

2.コースの目的

・IoT機器の脆弱性テストに使用するツールの使用方法を学ぶ

・IoT機器における典型的な脆弱性の発生原因と脆弱性を突く攻撃手法学ぶ

・脆弱性に対する対策を学ぶ

3.受講対象者

・IoT機器・サービスの企画や開発をされている方

・IoT機器を設置運用するユーザ

4.受講の前提知識

・Linux本体や追加パッケージのインストールができる基礎知識

・C言語を使用したプログラムの基礎知識(他のプログラミング言語でも可)

5.講師

神谷健司

ICT企業において通信システムのアーキテクチャ開発、ネットワークの設計・構築業務を経て、関連団体にてIoTやデータ連携のユースケースのリサーチに従事。同時に、情報処理安全確保支援士(登録番号:第021533号)として、セキュリティマネジメント体制の構築やリスク分析に従事。

6.注意事項

・受講者の業務内容に深く関わるご質問には回答しかねる場合があります

・本コースのデモ内容関して、コースで紹介した動作環境と異なる環境での動作の問題に関する質問には回答できない場合があります。

7.カリキュラム

 

1.    本コースで使用する機器やソフトウェアの概要
– Burp Suiteの概要と使い方
– Peda-ARM(デバックツール)の使い方、他

2.    Shodan Search Engine for IoTを使用したリスクの確認
– IoT機器のサーチエンジンであるShodanの解説と防御的な目的での活用方法

3.    IoT機器のWeb管理画面の脆弱性
– IoT機器のファームウェアをPC上で動かすエミュレータの解説
– 管理画面に脆弱性があるIoT機器用ファームウェアの脆弱性の解説
– エミュレータを使用した攻撃のデモ
– 脆弱性への対策

4.    ハードコードされたクレデンシャルの脆弱性
– 組み込み機器のファームウェアにハードコードされたクレデンシャル情報を取り出す方法の解説とデモ
– ハッシュ化してファームウェア内に格納したパスワードの安全性の評価(クラックツールを使用したパスワードクラックへの耐性の評価とデモ)
– 安全なクレデンシャル情報格納方法の解説

5.    バッファオーバフローの脆弱性
– バッファオーバーフローの発生原因の解説
– バッファオーバーフローを悪用した攻撃手法の解説とデモ(関数からの戻り番地の上書き、Return Oriented Programmingなど)
– 組み込み機器とLinux OS環境でのバッファオーバーフロー
– バッファオーバーフローへの対策

2
IoTセキュリティ基礎コース -リスク分析と対策の基本 –
有効期限: 3か月

コース名:IoTセキュリティ基礎コース~リスク分析と対策の基本~

受講期間:3か月(91日)

標準学習時間:4時間

(内、ビデオ聴講時間 2時間、理解度確認クイズ回答、参考資料学習時間を含む)

コース修了条件:各種クイズの正解率 70%以上

(修了証書のCPE時間は、上記標準時間となります)

1.コース概要  あらゆるモノがネットワークにつながるIoTでは、デバイスが収集するデータをビックデータ処理基盤で分析し、AI(人工知能)によって様々な予測や制御を行うことによって新たなサービスを生み出すことができます。このように、IoTは新たなビジネスやデジタルトランスフォーメーション(DX)を実現するための基盤として多くの期待を集めています。

一方でモノがネットワークにつながることによって、新たなセキュリティリスクが生まれています。本コースでは、IoTを使用したシステムやサービスを開発する際、もしくは自社にIoTを導入する際に考慮すべきセキュリティ対策を学びます。

2.コースの目的

・IoTプラットフォームを通じてデバイスからデータを収集およびデバイスを制御する方法を学ぶ。

・IoTにおける典型的な脆弱性やITとIoTにおけるセキュリティ対策の違いについて学ぶ。

・IoTシステムにおけるセキュリティリスク分析の手法について学ぶ。

・分析で得られたセキュリティリスクに対応した対策について学ぶ。

3.受講対象者

・IoTシステム・サービスの企画や開発をされている方

・IoTの導入を検討している方

・組織内のセキュリティ対策を検討したい方

4.受講の前提知識

・PCのマルウェア対策、メールのセキュリティ対策など、IT機器のユーザーとしてのセキュリティ対策に関する基本的な理解

・非対称鍵やデジタル署名などの暗号方式の基本的な知識

5.講師

神谷健司

ICT企業において通信システムのアーキテクチャ開発、ネットワークの設計・構築業務を経て、関連団体にてIoTやデータ連携のユースケースのリサーチに従事。同時に、情報処理安全確保支援士として、セキュリティマネジメント体制の構築やリスク分析に従事。

5.注意事項

受講者の業務内容に深く関わるご質問には回答しかねる場合があります。

6.カリキュラム 1章 IoTの特徴と構成

  1. セキュリティをとりまく状況
  2. IoTシステムの特徴 – IT機器とIoTデバイスの違い、IoT向けの無線
  3. IoTシステムの構成例
  4. IoTプラットフォームの機能
  5. IoTアプリケーションの動作モデル
  6. IoTセキュリティに関連したガイドライン

2章 IoTにおける代表的なセキュリティリスク

  1. 脅威と脆弱性
  2. IoTにおける代表的な脆弱性 – OWASP IoT Top 10
  3. IoTに関連したセキュリティインシデントの事例
  4. IoT機器を狙ったマルウェアMirai

3章 脆弱性情報の収集

  1. セキュリティ対策の実施フロー
  2. 脅威情報の収集 – 典型的な攻撃手段
  3. 脅威情報の収集 – 脆弱性DBの利用、CVSSの読み方

4章 リスク分析の手法

  1. リスク分析の準備 – システム構成とデータフローの整理
  2. 詳細リスク分析の手法
  3. 資産ベースのリスク分析
  4. シナリオベースのリスク分析

5章 具体的なセキュリティ対策の例

  1. セキュリティ対策の実施観点
  2. IoT機器/デバイスへの物理侵入への対策
  3. IoT機器への不正ログイン対策
  4. 攻撃ツリー進行の遮断
  5. 通信経路でのデータ盗聴・改ざん対策
  6. 不正なIoTデバイスの接続対策
  7. IoT機器のマルウェア対策
  8. IoTデバイスの脆弱性対策
  9. IoT機器内の情報摂取・改ざん対策