IoT のセキュリティを考えるにあたっては、いわゆる情報セキュリティではなく、ビジネスに直結した基幹系システムのセキュリティとして捉える必要があります。 本セッションでは、IoT に求められるセキュリティを、ビジネスの視点と、セキュア開発の 2 つの視点で解説をします。 受講対象: IoT や FinTech など、ビジネスの基幹となるシステムの開発に携わる方、ビジネス プランニングを担当される方は、是非ご参加ください。 製品/テクノロジ: IoT & デバイス/セキュリティ 高橋 正和 日本マイクロソフト株式会社 チーフ セキュリティ アドバイザー

2. 高橋 正和：チーフセキュリティアドバイザー
1980年代-1999年：ソフトウェア開発、開発環境
「事前の言い訳としてのセキュリティ」
1999年 – 2006年 ：セキュリティベンダ
「合理的で再現可能な、工学的なセキュリティ」
2006年 - 2010年：マイクロソフト
「製品の品質としてのセキュリティ」
2010年 – 2013年：マイクロソフト
「サイバー攻撃対応としてのセキュリティ」
2014年 – 2016年：マイクロソフト
「クラウドとID管理をベースにしたセキュリティ」
脆弱性スキャナ. IDS, MSS(SOC)
セキュリティポリシー
ウィルス, ワーム, Web改ざん
脆弱性。脆弱性。脆弱性。脆弱性。
脆弱性。脆弱性。脆弱性。脆弱性。
脆弱性。脆弱性。脆弱性。SDL。
Cyber Crime Center
Assume compromise
ESAE/MTDS
標的型攻撃ワークショップ
CS Gold Mark
IoT / Smart Factory
CISOダッシュボード/ハンドブック
DevSecOps / TOKYO 2020
lint,
Firewall, Anti virus
2017年 – ：マイクロソフト
「業務執行としてのセキュリティ」

3. セキュリティ
プライバシー
基幹系としての
ITとセキュリティ
激変するIT環境
現実化する
サイバー攻撃
サイバーセキュリティ
経営
安全性
流動化する
ビジネス環境
ITへの要求サイクル
IoTに対して
これまでの
方法論で
対応できるのか
激しく
移り変わる
要求や課題に
追従することが
できるのか
経営にITと
セキュリティを
組み込む事は
できるのか

4. 製造業の
デジタル
ビジネスへの
取り組み

5. Will sell less cars unless we "Define ourselves as a mobility company and not just as a car and truck manufacturer"
デジタルが業界のあり方を根本から変えている
5
製品/テクノロジー ビジネスモデル
Car sharing services
Autonomous cars Pay-as-you-go insurance
Electric vehicles Fleet management services
Connected cars
顧客の期待値
New connected experiences
Smart
ecosystems
Sales and service relationships
Smart Homes
Smart Cities
Smart Infrastructure
“我々は自分自身を単なる車やトラックの製造者ではなく mobility company と位置づけなければ、今より
車を売れなくなるだろう。“ – Bill Ford, Chairman, Ford Motor Company

6. Will sell less cars unless we "Define ourselves as a mobility company and not just as a car and truck manufacturer"
デジタルが業界のあり方を根本から変えている
6
製品/テクノロジー ビジネスモデル
Car sharing services
Autonomous cars Pay-as-you-go insurance
Electric vehicles Fleet management services
Connected cars
顧客の期待値
New connected experiences
Smart
ecosystems
Sales and service relationships
Smart Homes
Smart Cities
Smart Infrastructure
“我々は自分自身を単なる車やトラックの製造者ではなく mobility company と位置づけなければ、今より
車を売れなくなるだろう。“ – Bill Ford, Chairman, Ford Motor Company
OnStar(GM): 車載テレマティクスサービス
運転の支援や情報提供をするサービス
年会費・使用料などのサブスクリプションモデル
http://business.nikkeibp.co.jp/article/world/20110325/219136/?rt=nocnt
QOROS: 上海の自動車会社 コネクティッドカー
QorosQloud経由の情報共有、目的地の設定、関連情報の提供
http://www.qoros.com/en/qoros_qloud/
Uconnect: :コネクティッドカー CHRYSLER, JEEP, DOUDGE, RAM, SRT, FIAT
コンピュータ等からの制御、パフォーマンス、行先のサポート
http://www.driveuconnect.com/features/uconnect_access/
Delphi (GM): http://www.delphi.com/delphi-drive
Google: https://www.google.com/selfdrivingcar/
Apple: https://en.wikipedia.org/wiki/Apple_electric_car_project
BMW: http://www.bmw.co.uk/en_GB/new-vehicles/bmw-i.html
日産：http://ev.nissan.co.jp/
TESLR：https://www.tesla.com/

7. Will sell less cars unless we "Define ourselves as a mobility company and not just as a car and truck manufacturer"
デジタルが業界のあり方を根本から変えている
7
製品/テクノロジー ビジネスモデル
Car sharing services
Autonomous cars Pay-as-you-go insurance
Electric vehicles Fleet management services
Connected cars
顧客の期待値
New connected experiences
Smart
ecosystems
Sales and service relationships
Smart Homes
Smart Cities
Smart Infrastructure
“我々は自分自身を単なる車やトラックの製造者ではなく mobility company と位置づけなければ、今より
車を売れなくなるだろう。“ – Bill Ford, Chairman, Ford Motor Company
zipcar: 時間単位、アプリ等によるオンデマンド
http://www.zipcar.com/
http://likeasiliconvalley.blogspot.jp/2011/05/zipcar.html
Car2Go(ベンツ): 分単位、オンデマンド、乗り捨て
https://car2go.com
https://www.carsharing360.com/hack/6105.html
http://greenz.jp/2013/10/23/car2go/
UBER :白タク（利用者、提供者）
https://www.uber.com/
metromile: 従量制自動車保険
https://www.metromile.com/
Omnitracs: 物流向け輸送情報サービスシステム
http://www.omnitracs.com/
ARI：車両管理（サプライチェーンマネジメント）、運転者管理
https://www.arifleet.com/

8. Will sell less cars unless we "Define ourselves as a mobility company and not just as a car and truck manufacturer"
デジタルが業界のあり方を根本から変えている
8
製品/テクノロジー ビジネスモデル
Car sharing services
Autonomous cars Pay-as-you-go insurance
Electric vehicles Fleet management services
Connected cars
顧客の期待値
New connected experiences
Smart
ecosystems
Sales and service relationships
Smart Homes
Smart Cities
Smart Infrastructure
“我々は自分自身を単なる車やトラックの製造者ではなく mobility company と位置づけなければ、今より
車を売れなくなるだろう。“ – Bill Ford, Chairman, Ford Motor Company
Bright box: リモートテレメトリ、ディーラ・オーナサポート、分析
http://www.bright-box.com/
waze:: カーナビアプリ、渋滞情報のシェアに基づくルート選定
https://www.waze.com/ja/
BestParking.com :駐車場検索サービス
http://www.bestparking.com/
TRUECar: 中古車販売
https://www.truecar.com/
Cars.com: 中古車売買
https://www.cars.com/about/
WhoCanFixMyCar.com: 自動車修理工場検索
https://www.whocanfixmycar.com/

9. Will sell less cars unless we "Define ourselves as a mobility company and not just as a car and truck manufacturer"
デジタルが業界のあり方を根本から変えている
9
製品/テクノロジー ビジネスモデル
Car sharing services
Autonomous cars Pay-as-you-go insurance
Electric vehicles Fleet management services
Connected cars
顧客の期待値
New connected experiences
Smart
ecosystems
Sales and service relationships
Smart Homes
Smart Cities
Smart Infrastructure
“我々は自分自身を単なる車やトラックの製造者ではなく mobility company と位置づけなければ、今より
車を売れなくなるだろう。“ – Bill Ford, Chairman, Ford Motor Company
nest: 家庭用スマートデバイス（モニター、省エネルギー、監視カメラ等）
https://nest.com/
ADT Pulse: 自動化されたホームセキュリティ
（リモート制御、ライト、ビデオコントロール等）
https://www.adtpulse.com/home/what-is-pulse.html
wink:スマートホーム制御
PHILIPS, GE, LEVITON, nest, Honeywell, TCP, Kindde, Kwikest, Rheem, etc
https://www.wink.com/
DTM TRAFFIC MANAGEMT SOLUTIONS: 交通制御全般
http://www.dtmtraffic.co.uk/
GLOBAL PARKING SOLUTIONS:パーキングメータとマネジメント
http://www.globalparkingsolutions.com/
MORE THAN GREEN/Smart cities by IBM:
http://www.morethangreen.es/en/smarter-cities-by-ibm/
Cityworks:地図情報を使った物理インフラ・デバイス管理
http://www.cityworks.com/

11. 品質 セキュリティ
定義 = いわゆる故障
• 意図した操作通りに機能しない
• 経年劣化
• 設計・製造上の不具合
≒ 泥棒の手口
• 意図しない操作が行われる
• ロックされたドアを開ける
• キーを使わずにエンジンをかける
• 想定外の方法で自動車を操作する
特性 • 工学的な管理手法による管理
• 偶発的な発生、バスタブ曲線
• 緩やかな外部環境の変化
• 機能追加はスコープ外
• 一台・一台の個別の問題
• 工学的な管理手法が困難
• 意図性、予測不能性、突発性（突然全車が対象）
• 急激な外部環境の変化
• 変化する攻撃手法、Weakest link、Moving Target
• ネットワークを経由による全体の問題
説明責任 • 主に製造上の責任 • 安全性（セキュア）の要求事項が常に変化する
• 国際的な基準は出来つつあるが、免責にはならない
• 製造上の責任に加えて、運用上の責任が問われる

12. Confidentiality
（機密性）
Integrity
（完全性）
Availability
（可用性）
Confidentiality
（機密性）
Integrity
（完全性）
Availability
（可用性）
Confidentiality
（機密性）
Integrity
（完全性）
Availability
（可用性）
事象・事件・事故
想定されるセキュリティ侵害
情報資産・ITセキュリティ
経営への
影響
ソフトウェアの脆弱性
設定の不備
プロトコルや暗号の不備
ネットワークや通信の不備
運用上の不備
利用者による改造
認証の不備
ワーム・ウィルス
利用状況の漏洩
画像・音声の漏洩
踏み台による漏洩
プログラム等の改ざん
制御データの改ざん
反社会的な指示
プログラム等の改ざん
制御データの改ざん
遠隔操作による停止
ストーキング
秘密の暴露
スパイ行為
事故や誤動作の誘発
テロ行為への利用
殺人・犯罪行為
リコール
意図しない停止
操作不能状態
運行システムの混乱
事故の誘発
競合優位性の低下：競合の躍進、評判の低下
費用的な損失：損害賠償、営業機会損失
事業への影響：リコール、営業停止
Confidentiality
（機密性）
Integrity
（完全性）
Availability
（可用性）

13. 自動車の操作
（安全機能）
走行性能等
人
人
人
I
T
車
I
T
車
I
T
車
人
人
人
IT車
IT車
IT車
人・車・ITの割合
現在 コネクティッドカー
人
人
人
IT車
IT車
IT車
自動運転
≒ 運転者とメーカーの責任の割合
運転の大半は運転手だが、
TPMS, DRCC, LKAS,
NAVI Assist Break, RSA
など、ITが運転への関与
を始めている。
安全面を中心に、ITによ
る運転への関与が増えて
いく。
NAVI等を経由して、
ネットとの接続が増え,
ネットを通じた運転への
関与が増加する。
運転手という概念が薄く
なり、人間の役割は目的
地の設定や指示が中心と
なる。
操作の大半をITが行うよ
うになる。
• 不具合など
• 事故の誘発
• 外部からの自動車の操作・モニタ
• 意図的な事故の誘発（殺人）
• 誘拐、盗難
• ストーキング
• 自動運転の特性を活かした操作
• 自動車を使ったテロ行為
• 爆弾、踏切、人混み
• 犯罪行為への悪用
• 殺人、死体遺棄
• 麻薬などの運搬、販売
• 管制システムへの関与
• 大規模な操作
• 意図的な交通システム操作
• 情報集約に基づく脅威
• 個人の行動追跡
• プライバシーの漏えい
• 犯罪捜査との関わり
想定脅威

14. 経年劣化
問題の対策
改良
経年劣化
問題の対策
改良
攻撃等の対策
新機能の追加
モニタリング
• 経年劣化
• 部品交換
• 問題の対策
• リコール
• 予防保全的な対処
• 改良
• 電子制御系の改善
継続的な改良
• 経年劣化
• 部品交換
• 問題の対策
• リコール
• 予防保全的な対処
• 攻撃や脆弱性への対処
• 改良
• 電子制御系の改善
• 自動運転等に係る継続的な改良
およびデータの更新
• 競争環境の変化に伴う、新機能
の追加
• 安全性、経済性などの観点から
のモニタリング項目の追加
• 通信環境変化への追従
現在
経年劣化を中心とした戦略
工場出荷後のリソースの追加は
想定されない
将来
改良を前提とした戦略
工場出荷後のリソース追加は必須
この部分のコスト戦略が重要
• セキュアデベロップメント
• 端末側・クラウド側の実装判断
• 出荷後を見据えたリソース設計
予防保全
On
site
Off
site
On
site
Off
site

15. 売上
売上原価
販管費および一般管理費
営業外損益等
特別損益
売上
総利益
営業利益
経営利益
純利益
②ビジネス基盤としての
ITにおけるリスク
①-2 売上減少等に
つながるリスク
(ビジネスインパクト)
①-3 セキュリティ施策
単体の投資対効果
①-1 特別損失を
発生させるリスク
IoT, フィンテック等の利用方法により、ITが情報系からビジネス基盤へと変化している。
IT部門、セキュリティ部門がIT推進のブレーキとなり、ビジネス部門がIT推進のアクセル
になってきた。
ビ
ジ
ネ
ス
基
盤
と
し
て
の
IT

17. ①システムの規模が肥大化
②全ての取引を総勘 定元帳にリアルタイ
ムで反映させる仕組みと なっている結果、
システムの一部に手を入れようとすると、
システム全体をメンテナンス しなければ
ならない
③ユーザー側が細かな 仕様変更を繰り返
した結果、小さな修正がシ ステムの随所
に当てられてモジュールが崩れている
これまでわが国の金融機関は、安全性と安 定性を重視する極めて保守的なIT対応を進 めてきた。
金融分野におけるイノベーシ ョンの重要性が強調されるにつれて、金融 ITと普通のITとの間にギャップが存在することが認識
維持管理や制度対応 のための「守りのIT投資」のウェイトが高く、 イノベーションを生み出すための
「攻めの IT投資」が少なかった
システムの共同化を進めてきた地域 金融機関に関しては、「共同化してい
る勘定 系システムが巨大化・複雑化することにより、 共同化による費用
圧縮を図ったはずなのに、 実際には費用が高止まりしている」
金融ITの 現状とその背景
楽天の試み
• スキルと経験があり新しくチームに参加したエンジニアが、
初日にはソースコードの変更が可能であり、その次の日にはその
ソースコードがテストされ、本番環境にリリースが可能なこと
• 新しい機能の依頼をビジネス側から受けたときに、その機能を
1週間で開発し、リリースが可能なこと
出典：変革の軌跡 Garry Gruver, Tommy Mouser著、吉羽龍太郎,原田騎郎訳
• しかもセキュアに（高橋追記）

18. Design
設計
Verification
検査
Implementation
実装
Release
出荷
Requirements
要件定義
Response
対応・対処
Years
Test
Deploy
Build
Check in
Release
Weeks/Month
Test
Deploy
Build
Check in
Release
Weeks/Month
Test
Deploy
Build
Check in
Release
Weeks/Month
Test
Deploy
Build
Check in
Release
Weeks/Month
Test
Deploy
Build
Check in
Release
Weeks/Month
Test
Deploy
Build
Check in
Release
Weeks/Month
Waterfall
DevOps

19. Test
Deploy
Build
Check in
Release
アーキテクチャ
モジュール化
継続的なリリース
自動化
計測

20. Predictive
Maintenance
Remote
Monitoring
Asset
Management

21. https://www.azureiotsuite.com/

22. https://docs.microsoft.com/ja-jp/azure/iot-suite/iot-suite-remote-monitoring-sample-walkthrough

25. Devices
Azure IoT Suite Remote Monitoring
What you get with remote monitoring preconfigured solution
Back end
systems
and
processes
C# simulator
Event Hub
Storage blobs DocumentDB
Web/Mobile App
Stream Analytics Logic Apps
Azure
Active Directory
IoT Hub Web Jobs
Power BI

26. https://docs.microsoft.com/ja-jp/azure/iot-suite/iot-suite-predictive-overview

32. Azure Storage
(Blog)
IoT HubWeb Job
Devices
What you get with predictive maintenance solution
Back end
systems and
processes
C# simulator
Azure Stream
Analytics
Web Job
Web App
Event Hub
Simulated
Device
Event Hub
Document DB
Event Processor Host
Dashboard
Device Portal
RUL Output
Telemetry History
Azure ML
Training
Data
Trained
Module
Input Dataset
Consumer
Group
Job 2
Telemetry
Job 1 Device Info

44. Test
Deploy
Build
Check in
Release
アーキテクチャ
モジュール化
継続的なリリース
自動化
計測
-> DevSecOps
システム更新
検証の組み込み
モジュールに対する
セキュリティチェック
の自動化
セキュリティチェック
の自動化
継続的な
セキュリティ対策
セキュリティの計測

45. 脅威レベル
インシデント数
等
脅威レベル
インシデント数
等
Dev
+
Sec対処すべき攻撃の低減
• IDS/IPS/AV/WAF
• Anti SPAM
• etc
アタックサーフェスの縮小
• Secure Development
• Secure Architecture
• Secure Configuration
Ops
+
Sec
現状 DevSecOpsの狙い
DevSecOpsの狙い
• Attack Surfaceを縮小しProtect
を向上させるとともに、
Detect・Respondも向上させる
• テスト等の自動化と、定期的な
リリースにセキュリティ対策を
組み込むことで、変化する脅威
に対するセキュリティ強度を
維持・向上させる
運用設計・構築
• SOC/CSIRT
Protect
Detect
+ Respond

47. Sensor
Actuator
Central
Data
Central
Operation
Central
Analytic
Central
Application
Central
Human IN
Central
Human Out
9324 Yoyogi Caltava
3571 Sanguu LeCuscet
4423 Shibuya Fujiuya
9324 Ebisu Nomi
0041Soshiga KoumiB
9324 ShinjyuSue Pain
keI
JuNn
sUmiE
tMo
tiAKi
PoAp
PoAp
SaTm
yAsui
Central
Server
センサーネットワーク、監視カメラ、農業
S
A

48. Central
Data
Central
Operation
Central
Analytic
Central
Application
Central
Server
家庭用IoT、小規模オフィス向けIoT
Sensor Actuator
Central
Human IN
S A
Sensor Actuator
Central
Human IN
S A
9324 Yoyogi Caltava
3571 Sanguu LeCuscet
4423 Shibuya Fujiuya
9324 Ebisu Nomi
0041Soshiga KoumiB
9324 ShinjyuSue Pain
9324 Yoyogi Caltava
3571 Sanguu LeCuscet
4423 Shibuya Fujiuya
9324 Ebisu Nomi
0041Soshiga KoumiB
9324 ShinjyuSue Pain

49. Sensor
Actuator
Local
Data
Central
Data
Central
Operation
Central
Analytic
Central
Application
Central
Human IN
Central
Human Out
Local
Human IN
Local
Human Out
9324 Yoyogi Caltava
3571 Sanguu LeCuscet
4423 Shibuya Fujiuya
9324 Ebisu Nomi
0041Soshiga KoumiB
9324 ShinjyuSue Pain
keI
JuNn
sUmiE
tMo
tiAKi
PoAp
PoAp
SaTm
yAsui
9324 Yoyogi Caltava
3571 Sanguu LeCuscet
4423 Shibuya Fujiuya
9324 Ebisu Nomi
0041Soshiga KoumiB
9324 ShinjyuSue Pain
Central
Server
自動車、家電、ビル管理
Local
Operation
Local
Analytic
Local
Application
Local Server
S
A

50. Local
Data
Central
Data
Local
Operation
Local
Analytic
Central
Operation
Central
Analytic
Central
Application
Local
Application
Central
Human IN
Central
Human Out
Local
Human IN
Local
Human Out
9324 Yoyogi Caltava
3571 Sanguu LeCuscet
4423 Shibuya Fujiuya
9324 Ebisu Nomi
0041Soshiga KoumiB
9324 ShinjyuSue Pain
keI
JuNn
sUmiE
tMo
tiAKi
PoAp
PoAp
SaTm
yAsui
9324 Yoyogi Caltava
3571 Sanguu LeCuscet
4423 Shibuya Fujiuya
9324 Ebisu Nomi
0041Soshiga KoumiB
9324 ShinjyuSue Pain
Local Server
Central
Server
Other System
Smart Factory
S
End node
A
S
End node
A

51. Local
Data
Central
Data
Local
Operation
Local
Analytic
Central
Operation
Central
Analytic
Central
Application
Local
Application
Central
Human IN
Central
Human Out
Local
Human IN
Local
Human Out
9324 Yoyogi Caltava
3571 Sanguu LeCuscet
4423 Shibuya Fujiuya
9324 Ebisu Nomi
0041Soshiga KoumiB
9324 ShinjyuSue Pain
keI
JuNn
sUmiE
tMo
tiAKi
PoAp
PoAp
SaTm
yAsui
9324 Yoyogi Caltava
3571 Sanguu LeCuscet
4423 Shibuya Fujiuya
9324 Ebisu Nomi
0041Soshiga KoumiB
9324 ShinjyuSue Pain
Local Server
Central
Server
Other System
Smart Factory, Medical
S
End node
A
S
End node
A

52. 1. Node to Nodeの
安全な通信
2. Nodeの識別 3. Node単体の保護
4. 保護ドメインの構築と
ドメイン間通信の保護
6.データの保護5. アカウント戦略 7. プログラム等の保護 8. サーバー群の保護
12. 製造環境等の保護10. SDL
11. サプライチェーン
マネジメント
9. IT環境/開発環境
の保護
13. メンテナンス戦略 14.ライフサイクル
導入・ 廃棄・転売・レンタル
15. SOC/CSIRT等の構築
16. コミュニケーション
プランの構築

53. 1. Node to Nodeの
安全な通信
ネットワークの安全性が担保で
きない環境で、Node – Nodeの
安全な接続・通信を確保する
2. Nodeの識別
Node – Nodeの安全な通信、
ノードの管理/メンテナンス、
ノイズの排除
3. Node単体の保護
Nodeそのもののセキュリティを
担保するための施策
6.データの保護
ストレージ、メモリ、通信、外
部メディアにおいて、暗号に基
いたデータの保護
5. アカウント戦略
管理者、運用者、顧客、フィー
ルドエンジニアなどのアカウン
ト戦略
4. 保護ドメインの構築と
ドメイン間通信の保護
複数のノードで構成される保護
単位をドメインとして定義し、
ドメイン内のノード保護する
7. プログラム等の保護
プログラムの保護(改ざん等）、
更新管理、真正確認
8. サーバー群の保護
クラウドなどに展開されるサー
バー群の保護
12. 製造環境等の保護
製品の製造、流通におけるセ
キュリティの確保
10. SDL
Security Development Lifecycle.
安全性の高い製品の開発
11. サプライチェーン
マネジメント
発注や開発、受入れなどにおけ
る、品質とセキュリティの担保
13. メンテナンス戦略
リモートメンテナンス、オンサ
イトメンテナンス、サポート体
制等
14.ライフサイクル
導入・ 廃棄・転売・レンタル
各国の個人情報保護法等の考慮
機器IDの管理方法
15. SOC/CSIRT等の構築
セキュリティ監視や、セキュリ
ティ対応を実施と組織構築
Red teamも検討
9. IT環境/開発環境
の保護
通常利用する、いわゆるIT環境
の保護および、開発環境や、検
証環境のセキュリティの確保。
16. コミュニケーション
プランの構築
顧客、メディアなどに対する、
セキュリティに関するコミュニ
ケーションプランの構築

55. 1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
• Concept
• Melissa
• I LOVE YOU• SolarSunrise
• DDoS on DNS root
• MyDoom
•NetSky
•Bagle
Client-server/PC-LAN Internet
Computer Crimes
Protocol Weaknesses/Remote Buffer overflow
• SPAM Mails
• Spyware
• Phishing proliferated
Cyber Crimes
• WiityWorm• Agobot
• Sobig
• Yahoo DDoS
• Linux
• MOSAIC
• Net BSD
•Free BSD
•NetWare
• Targeted Attack
• Huge Data Leak
•Mac OS-X
• JP Gov. HP
• AT&T Janes
•IIJ
• ADSL• テレホーダイ
• Ping of Death
• Yahoo
•eBay
• Google
• Winny • Winny Incident
• Brown orifice
• Attacks for JP Soft
Virus via Media
• INN/phf
• Back Orifice
• statd,named,popd
•DDoS tools
Broad band Network
Virus via E-Mail
Worm communizationWorm in the wild
Document / Local BO
• Netscape
• Virus Creation Laboratory
• Michelangelo
• Netcat
• YouTube
• Skype
• Amazon
• mySpace
• mixi
• Blog
• First SPAM
• Java
• JavaScript
• Real Player• PDF
• Little Black Book
• Windows 3.0 • Windows 95 • Windows 98
•NT3.1 • NT 4.0 •Win 2000
•Win XP SP2 •Win Vista
•Win Server 2003
•Win
XP
•Win Server 2008
•Internet Explorer
• Sasser
ADHOC /Product/Marketing
TwC (Trustworthy Computing)
STF
W2K
Pen-
testPREfix
XPPREfast
.NET
MSRC (secure@microsoft.com)
2003
SWI(Secure Windows Initiative)
• Slammer
• Blaster
SDL
Security Development Lifecycle
OF2003
SQL2K3
EXC2K-3
Etc..
Single User OS
Multi User OS
MSRC
• secure@Microsoft
• Windows Update
• メディア対応の一本化
STF: 有益な知見を得るが実施されず
SD3+C
WS2K: 多数のセキュリティ機能を実装、
しかしバグの多さが問題
SWI: 製品部門の教育、設計とコードレ
ビュー、問題の修正
Ship Stopper
XP: 魚を釣る代りに釣り方を教える
Security Day/Bug bash
.NET: First Security Push
W2K3: 8500人の開発を停止
良好な状態での出荷
1年以上の出荷遅れ
毎週水曜にセキュリティ更新
（2002年5月）
毎月第二火曜にセキュリティ更新
（2003年11月）
SDL: Ad hocからエンジニアリングへ
全ての製品がSDL必須に
年に二回、SDLを更新
• CodeRed
• Nimda
SecurityPush
+FinalSecurityReview

56. 設計
ｾｷｭﾘﾃｨに関するｱｰｷﾃｸ
ﾁｬと、設計要件の規
定
弱い暗号の禁止
ｿﾌﾄｳｪｱのｱﾀｯｸｻｰﾌｪｽの
ﾄﾞｷｭﾒﾝﾄ化
脅威のモデル化
設計上のﾘｽｸを軽減す
る
開発ﾂｰﾙと技術
静的なｺｰﾄﾞ分析ﾂｰﾙ
群
問題のあるAPIの禁
止
DiD ﾌﾟﾛﾃｸｼｮﾝでの
ﾋﾞﾙﾄﾞ (/GS,
HeapTerm,
/NOEXECUTE, and
ASLR)
XSS 対策ﾗｲﾌﾞﾗﾘの
利用
ﾃｽﾄの為のﾂｰﾙと技術
Fuzzing
ｱﾀｯｸｻｰﾌｪｽ分析
ｾｷｭﾘﾃｨｺｰﾄﾞﾚﾋﾞｭｰ
集中的なｾｷｭﾘﾃｨﾃｽﾄ
ﾍﾟﾈﾄﾚｰｼｮﾝﾃｽﾄ
ﾚｽﾎﾟｽの計画の立案
Security Push
出荷基準への準拠
Final Security
Review
ｾｷｭﾘﾃｨﾁｰﾑによる独
立したﾚﾋﾞｭ
SDL適応情報のド
キュメント化
出荷と導入
承認
ｾｷｭﾘﾃｨﾚｽﾎﾟﾝｽ
計画の立案と実施
開発に対するﾌｨｰﾄﾞ
ﾊﾞｯｸﾙｰﾌﾟ
原因の分析
教育とﾄﾚｰﾆﾝｸﾞ
セキュアな開発を
実施できるように
教育する
開始要件
ｾｷｭﾘﾃｨｱﾄﾞﾊﾞｲｻﾞの
配属
開発ﾂｰﾙと環境の用
意
ｾｷｭﾘﾃｨﾏｲﾙｽﾄｰﾝの設
定
要件定義 設計 実装 検査 出荷 対応・対処

57. Tampering
対破壊性
Information
disclosure
情報露呈
Repudiation
否認
Denial of service
サービス不能
Spoofing
なりすまし
Elevation of
privilege
権限昇格
STRIDE分析
Secure in
Deploy
Secure by
Default
Secure by
Design
Communication
SDLの基本コンセプト：SD3+C
コードレビューでは見つけにくい、バグ以外の
脅威を見つける
• アプリケーションの分解と、境界の明確化
• 脅威の分析・定義と分類(STRIDE分析）
• 攻撃手法の特定
• 脅威への対策
Threat Modeling tool
脅威モデル（Threat modeling）

59. 61
IDとアクセス管理 ホスト アプリケーション データネットワーク物理的
管理・監査

60. INTERNET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DNS
Wins
DHCP
DC
No Compliant
Machine
Mac/*NI
X
XBOX
LAB
Tablet
phone
Authorized
PC
Unauthorized
PC
ACL
リモート アクセス環境におけるセキュリティ強化へのマイクロソフトの取り組み
http://technet.microsoft.com/ja-jp/library/bb735234.aspx
DirectAccess の機能:
http://www.microsoft.com/ja-jp/server-cloud/windows-server/directaccess-features.aspx
Authorized
PC
IPsec
Unauthorized
PC
• 端末間、端末 / サーバー間の接
続を、IPsec を使ったロジカル
セグメンテーションで構築
• Authorized な端末間でしか、
接続ができない
• 無線 LAN の場合も、802.1x を
使い、証明書を利用し端末の
接続許可と排除を制御
• ユーザー認証の以前に、デバイ
ス レベルでネットワーク接続の
可否を制御
• 例外的な許可ルールが容易
• DirectAccess への展開により、
外部からの接続についても、
イントラネットと同様に制御が
可能

62. セキュリ
ティ施策
(PROTECT)
攻撃 侵入
設
計
・
実
装
ポリシー等
検
知
・
防
御
し
た
攻
撃
各種規準
監査
IDENTIFY
PROTECT
一般的なPROTECT=ポリシー遵守状況

63. セキュリ
ティ施策
(PROTECT)
攻撃 侵入
設
計
・
実
装
ポリシー等 各種規準
IDENTIFY
PROTECT
DETECT
RESPOND
RECOVER
業務執行
監査
CSIRT等
検
知
・
防
御
し
た
攻
撃
みなし攻撃
状況
侵入＝攻撃 - みなし
攻撃状況
（直接的な計測が不能
な指標）
攻撃などを考慮した指標

64. Security and Risk condition
③ Suspicious activity
侵入が疑われる状況のKPI
SIEM/ATA/WDATP等による
検出や、その他の侵入が疑わ
れるもの
内部犯行を含んだ、疑わしい
イベント
① Attack condition
攻撃検出状況に関するKPI
AV/IDS等による検出
セキュリティ製品の
アラート等
攻撃などに関する情報
② Protect condition
対策状況に関するKPI
ウィルス対策, システムバー
ジョン、パッチ、コンフィ
グレーション等、セキュリ
ティ対策として実施すべき
項目の適用率等
脆弱性情報
Governance
Risk
Risk = Security and Risk condition
≒f(Attack condition, Protect condition, suspicious
activity, Indirect activity)
CISOが果たすべきガバナンス
＝経営会議で報告すべき、業務執行にかかわる事項
Attack
④Indirect activity
人事的、物理的等、直接IT
とは関係しない状況のKPI
退職者、PCやデバイスの紛
失・盗難
外部からのインテリジェン
ス
CSIRTではなく、業務執行としてのセキュリティ 経営会議で何を報告すべきなのか
どのように決済を仰ぐべきなのか

66. セキュリティ
プライバシー
基幹系としての
ITとセキュリティ
激変するIT環境
現実化する
サイバー攻撃
サイバーセキュリティ
経営
安全性
流動化する
ビジネス環境
ITへの要求サイクル
IoTに対して
これまでの
方法論で
対応できるのか
激しく
移り変わる
要求や課題に
追従することが
できるのか
経営にITと
セキュリティを
組み込む事は
できるのか
セキュリティ
ドメインとSDL
DevSecOps
ビジネスの
言葉と概念
CISOダッシュ
ボード
楽天の試み
• スキルと経験があり新しくチームに参加したエンジニアが、
初日にはソースコードの変更が可能であり、その次の日にはその
ソースコードがテストされ、本番環境にリリースが可能なこと
• 新しい機能の依頼をビジネス側から受けたときに、その機能を
1週間で開発し、リリースが可能なこと
出典：変革の軌跡 Garry Gruver, Tommy Mouser著、吉羽龍太郎,原田騎郎訳
• しかもセキュアに（高橋追記）

67. Design
設計
Verification
検査
Implementation
実装
Release
出荷
Requirements
要件定義
Response
対応・対処
Years
Waterfall
DevSecOps
Secure
Test
Deploy
Build
Check in
Release
Weeks/Month
Secure
Test
Deploy
Build
Check in
Release
Weeks/Month
Secure
Test
Deploy
Build
Check in
Release
Weeks/Month
Secure
Test
Deploy
Build
Check in
Release
Weeks/Month
Secure
Test
Deploy
Build
Check in
Release
Weeks/Month
Secure
Test
Deploy
Build
Check in
Release
Weeks/Month

68. © 2017 Microsoft Corporation. All rights reserved.
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。
© 2016 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The
information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it
should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO
WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.