(toppers-users 3662) 組み込み機器のセキュリティについて

[hirose ＠ soundnet.yamaha.co.jp]

ヤマハの広瀬です。

# サブジェクト変えました。

組み込み機器のセキュリティについては、例えば下記URL等で喚起されているよ
うに、以前から重要視されています。

http://www.ipa.go.jp/security/fy17/reports/vuln_handling/documents/booklet_manager.pdf

>From: 高橋和浩@nifty <takahashi_kazuhiro ＠ nifty.com>
>Date: Thu, 27 Oct 2011 10:03:58 +0900

> ITRONとは無縁なことなので、議論に値しないという見解は理解しました。

セキュリティ対策がITRONであれば不要、というのは間違いです。OSがなんであ
れ、あるいはOSが存在しないシステムだとしても、セキュリティに対する考慮
は常に必要です。ITRONでも対策していなければ簡単に攻撃されます。ITRONを
用いた製品での問題が少なく見えるのは、攻撃対象となる製品が出回っている
数がWindows等に比べると少なく、攻撃者のモチベーションが低いのが一番の理
由です。研究者によると、セキュリティに気を配っていない製品が多いので、
実際に攻撃するのは組み込み機器の方が容易だ、という意見もあります。

JPCERTやJVNがWindows等のOSしか扱わないというのも間違いで、もちろん、そ
れらのOSの脆弱性情報も扱いますが、OSに何を使っているかの情報がない個別
製品の脆弱性情報についても扱っています。それらの中にはITRONを利用してい
る製品もあるかもしれません。

また、上記URLでは製品自体に対するネットワーク経由の攻撃について重点が置
かれていますが、実際の製品では製品添付のCD-ROMやUSBメモリにウィルスを混
入させてしまうという問題もたびたび起きています。これは、生産システムの
セキュリティ対策の問題とも言えます。

自分のが使うだけのものを作っている分にはセキュリティ対策で多少手抜きを
しても問題ありませんが、他人に販売するもの、しかもそれが多数となるなら
ば、真剣にセキュリティ対策を検討してください。また、その場合も情報のつ
まみ食いはさけ、体系的な検討をお願いします。

# 少しは後進のためになる文章になったかしら?