ジャパンセキュリティサミットDay1の午後の部は、ベンダーによるブレイクアウトセッションがAルーム、Bルーム2部屋に分かれて開催された。

Aルームでは、国際社会における日本製造業の役割、脅威インテリジェンス、IoTデバイスにけるPKI認証、セキュア分散PDS（Personal Data Storage）などについての講演があった。

守れ！”サプライチェーン”～そこから描く日本製造業の夢～

▼NECプラットフォームズ株式会社
執行役員 渡辺 裕之氏

日本の製造業は暗いイメージがあると思うが光はある。そこを考えてみたい。

20年後の製造業は想像ができない世界になっているだろう。過去を振り返ってみても20年前は、セルラー方式の携帯電話は存在していたに過ぎず、スマートフォンのような高度な情報端末を持って自由に情報にアクセスできる時代ではなかった。さらに20年後はAI、ロボットがあたりまえのように活用される世界になっているだろう。

その際のセキュリティについてはサプライチェーンが課題となっているはずだ。セキュリティを守らなくていい企業などないし、サプライチェーンは全体で守らないと意味がない。サイバーセキュリティに100％はない。認識、防御、検知、対応、復旧など最低限なことはやるべきである。

サプライチェーンを守る対策を企業規模や業種を超えてサプライチェーンのすべての企業が出来るかという課題はある。工場はクラウドとオンプレミスのミックスとなるだろうし、小規模企業はセキュリティ投資が難しいという課題もある。

こういった課題に立ち向かい、システムを共同で作って共同で運用するなどを製造業全体で考えるべきだ。

今後製造業はいっそう新興国にシフトする。そこでは新興国の企業のセキュリティは大丈夫かという課題に直面する。

そこで日本の強みを生かしたい。日本の製造業は、単に大量生産していたのではなく、技術革新を進めて、それをメタ化している。この強みを新興国にトランスファーさせることが出来るであろう。

新興国のワーカースキル問題に応じた生産スタイルの適応は可能と考えられるし、これこそがSDGs（持続可能な開発目標）にもマッチするはずである。

世界を救う物語として、日本の企業が世界の製造業をデザインする、リバランスすると信じている。

ビジネスのサイバーセキュリティを改善する方法

▼PIPELINE株式会社
代表 渡辺 アラン氏

ハッカーは39秒ごとに攻撃をし、1日あたり23万件の新しいマルウエアサンプルが登場している。そうした中で日本国内の100社に質問したら、85社からサイバー攻撃の影響があったと回答があった。

これを導入すれば大丈夫とかAIがあるから大丈夫とか言われたりするが、サイバーセキュリティは複雑化している。

ハッカーは、金銭を目的として、彼らなりの簡単な方法で攻撃する。例えば大手企業のシステムにはなかなか入り込みにくいが、セキュリティ対策が十分になされていないグループ会社や海外法人などに入り込む。そこを足がかりにして最終的に本体のシステムにもぐり込んでしまう。だからこそ、脅威データやオープンソースデータの確認が必要となるわけだ。

OSINTオープンソースはツールを使用すれば誰でも調べることが可能だ。個人情報のユーザー名、IPアドレス、ドメイン、医療データなどを得ることができる。

また、Shodan.ioというセキュリティのサーチエンジンを使うと、東京都内のWebカメラの画面を見ることができる。こういったデータを調べていくと、ユーザーの環境で何が置きているかを調べられるので、そこから何を保護すべきかがわかるはずだ。

セキュリティの中で保護するものがデータである。昔は盗むものと言えば金銭だったかもしれないが、今はデータが金になるという認識で防御を高めてほしい。

脅威インテリジェンスは、ピンポイントに標的を狙う攻撃者から自らを守るために必要な情報である。国内ではフィッシング、ダークウェブ、ダークネットなどから得られる情報が挙げられる。Japan Computer Emergency Response Team Coordination Center （JPCERT/CC）では、スパム、フィッシングなどの情報がリアルタイムに見られるので確認してほしい。

今後は、C2サーバー（command and control server：乗っ取ったコンピュータのコントロール役を担うサーバー）が様々なデバイスをコントロールしながら自動化された攻撃をするようになってくると考えている。

犯罪者はストーリーを持って攻撃している。フィッシングやマルウエアにかかった場合、それで終わりではなく、この攻撃がなんらかの前哨と考えることが必要である。

世の中のオープンソースの情報を脅威インテリジェンスのデータと組み合わせて保護をすることが大事である。

ビジネスを守るには、まずは何を守るか、何が狙われやすいか、こういったデータを調べることが大事である。ハッカーを知る、ハッカーの情報、行動を知ることを把握しないと台無しになる。

IPv6、5Gなどでネットワークが早くなっているのでセキュリティ対応をしっかりしないと、一気にデータ取られてしまうので注意しなければならない。

重要IoTデバイスへのPKI電子認証の実装

▼一般社団法人セキュアIoTプラットフォーム協議会
主席研究員 松本義和氏

セキュアIoTプラットフォーム協議会では、総務省のSCOPE（戦略的情報通信研究開発推進事業）の受託を受け研究開発を行っているが、2年目にあたって様々な課題が出てきた。

IoT機器は、コストの課題だけでなくスペックも問題となってきている。精度が高くなり、今後一気に増えていくIoT機器をどう管理するかである。メーカーが管理するか、個人が管理するか。これを解決したいと考えている。

IoT機器には様々なハッキング手法が生まれている。そこで、信頼の基準となるTrust Anchor（ここでは固有鍵を指す）をIoT機器に使用される半導体に安全に埋め込み、さらにIoT機器の製造時にそのTrust Anchorを起点に製造年月日や製造工場、製造ロットなどを書き込んだ証明書を生成し、埋め込んだ形で出荷すべきであろうと考えられる。

これによりIoT機器1台1台を特定できることになる。

しかしこれを実現するためには、対応すべき課題がある。

まず半導体を製造するチップメーカーには鍵を安全にインストールする仕組みが必要である。人が介在するとコピーがされるか盗まれるかもしれないので、できれば製造を無人化してほしい。また認証局には億単位の証明書を発行・管理するための仕組みが必要となる。

また、IoT機器は廃棄がポイントになる。廃棄を「リサイクル、リユースのスタート」と捉えたら、機器のライフサイクルの形が変わる、オーナーが変わるケースなどを想定した対応を考えなければならない。今後は10年、20年さらには50年でライフサイクルを考えた証明書を検討したい。

電子証明書の世界でも、AI（人工知能）などを使って証明のアルゴリズムを解析する動きが出てきている。そこで、第6種暗号などを含めて証明アルゴリズムの研究開発をしている。

IC基盤は色々な攻撃で狙われている。物理的な攻撃もすでに行われている。スパイチップの混入も防がないといけない。IC基盤の電圧変化、送信パケットCPU稼働率などの動作環境をモニタリングしながら、通常ではないふるまいをしていないかどうかを検出する仕組みも検討を始めている。

ライフログをプライバシーを保護して安全に保存・活用するセキュア分散PDS（Personal Data Storage）の紹介

▼株式会社ミルウス
代表取締役社長 最高経営責任者（CEO） 南 重信

個人の情報をデータ化することで、バイオテクノロジーと融合した新しい医療やヘルスケアを進展させられれば、健康長寿の長期化や医療費の削減に貢献できると考えた。生活習慣病を改善するには生活習慣を見える化をして対処しなければならない。そこで人が生まれた時からのライフログを記録した健康通帳を普及させていきたい考えから、パーソナルデータストレージ（PDS）を推進する。

ただし、パーソナルデータストレージは宝の山で、今後狙われるのは確実であり、情報収集や攻撃増えてくるであろうし、情報の流用なども課題になる。

そこでパーソナルストレージを安全に運用するために、分散型で管理するアプローチを考えた。各ノードにデータを蓄える手法である。ノードはスマートフォンでもサーバーでも構わないが、ノード間のやりとりには公開鍵暗号基盤（PKI）を使う。

そのために、秘密鍵をどう扱うかが課題になるが、たどり着いたのはICカードの活用である。ICカードの中に秘密鍵を入れる。秘密鍵が格納された“miParu Card“を使った健康情報通帳サービス「miParu」を2019年中に提供開始する予定である。

miParu のノード間では、公開鍵暗号方式によってセキュリティを確保したPeer to Peer通信を行う。カードを紛失しても問題が起こらないために、秘密分散鍵を利用する「セキュア分散PDSシステム」の導入を考えている。サーバー、スマートフォン、ICカードの3点中2つがあれば認証が出来る仕組みである。

これを北海道東神楽町で実証実験を行う予定である。写真やウエアラブルで情報を取ってきて、データのやりとりを、カードとアプリケーションで行う。

これに伴いセキュアIoTプラットフォーム協議会の中にセキュア分散PDS部会を2020年2月に設置予定である。

セキュア分散PDSシステム
中央大学山澤晶夫氏が、miParuで導入を検討しているセキュア分散PDSシステムの秘密鍵保護について以下のように解説した。

PKIの秘密鍵は失われるとPKIの仕組みが成立しなくなってしまう。しかし秘密鍵だけにバックアップを取るというわけにいかない。そこで秘密分散を使うアイデアがセキュア分散PDSシステムである。分散されたものひとつひとつは意味がないものであるので、第三者の手に渡っても情報漏洩の心配が低いといったメリットがある。分散した情報は3つのうち2つあれば元の情報が復元できるため、秘密鍵を安全に格納するシステムが構築できるメリットがあることから、研究が進められている。

ジャパンセキュリティサミットは3日間にわたって開催される。
Day2、Day3は現在参加者募集である。
詳細・申し込み：https://security-summit.jp/