| 講演名 | 2022-11-08 コンシューマ向けIoT機器のサポートポリシーの設定・開示状況の調査 笠間 貴弘(NICT), 村上 洸介(NICT/KDDI総合研究所), 藤田 彬(NICT), 井上 大介(NICT), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | ベンダによるサポート期間が終了した状態(EoL:End of Life)のIoT機器がマルウェア感染し,サイバー攻撃に悪用される事例が多発している.EoLとなったIoT機器では新たに脆弱性が発見された場合でも当該脆弱性を修正されたファームウェアやセキュリティパッチがベンダから提供されない可能性が高い.そのため,サイバー攻撃のリスクを軽減するためにIoT機器利用者に対してEoLとなった機器の利用を控える注意喚起が行われている.またベンダには,サポートポリシーを明確にし機器利用者(ユーザ)に適切に開示することで,EoLとなった機器をユーザが正しく認識できるようにすることが求められている.一方,IoT機器のサポート期間を含むサポートポリシーはベンダや機器によって異なり,サポートポリシーをユーザに開示する方法も統一されていないと考えられる.そこで本稿では,ユーザが機器のサポート状況を正確に把握し適切なセキュリティ対応を行うことの実効性を検証するために,3種類のコンシューマ向けIoT機器(ルータ,ネットワークカメラ/DVR,NAS)を日本国内で販売する計63社のベンダについて,IoT機器のサポートポリシーの設定状況とユーザに対する開示方法について調査した結果について報告する.結果より,公式Webサイト上でソフトウェアサポートポリシーについて開示しているベンダは1割に満たず,EoL機器リストを開示するなどユーザがEoLか判断できる情報を公式Webサイト上で開示しているベンダも3割程度であることがわかった.さらに各ベンダに対してサポートポリシーの設定・開示に関するアンケートを行った結果,明確なサポートポリシーを設定していないベンダや,設定していても公表を行っていないベンダも存在し,ユーザが自ら情報を収集しEoL機器を正しく判断することの困難さが確認された. |
| 抄録(英) | There have been many cases of IoT devices that are in the End of Life (EoL) state, in which the vendor's support period has expired, being infected with malware and exploited in cyber attacks. Even if a new vulnerability is discovered in an EoL IoT device, it is unlikely that the vendor will provide a firmware update or security patch that fixes the vulnerability. Therefore, in order to reduce the risk of cyber attacks, IoT device users are warned to refrain from using EoL devices. In addition, product vendors are required to clarify their support policies and publish them appropriately to device owners (users) so that users can correctly recognize devices that have become EoL. However, support policies for IoT devices, including support periods, differ among vendors and devices, and there is no unified method for announcing support policies to users. In this paper, we report the results of a survey of 63 vendors of three types of consumer IoT devices (router, network camera/DVR, and NAS) in Japan on the status of their support policies for IoT devices and their publish methods to users, in order to verify the effectiveness of users' accurate understanding of device support status and appropriate security measures. |
| キーワード(和) | IoT機器 / EoL / サポートポリシー |
| キーワード(英) | IoT device / EoL / Support policy |
| 資料番号 | ICSS2022-41 |
| 発行日 | 2022-10-31 (ICSS) |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2022/11/7(から2日開催) |
| 開催地(和) | 北海道自治労会館 |
| 開催地(英) | Hokkaido Jichiro Kaikan |
| テーマ(和) | セキュリティ、一般 |
| テーマ(英) | Security, etc. |
| 委員長氏名(和) | 吉岡 克成(横浜国大) |
| 委員長氏名(英) | Katsunari Yoshioka(Yokohama National Univ.) |
| 副委員長氏名(和) | 笠間 貴弘(NICT) / 山田 明(神戸大) |
| 副委員長氏名(英) | Takahiro Kasama(NICT) / Akira Yamada(Kobe Univ.) |
| 幹事氏名(和) | 山内 利宏(岡山大) / 木藤 圭亮(三菱電機) |
| 幹事氏名(英) | Toshihiro Yamauchi(Okayama Univ.) / Keisuke Kito(Mitsubishi Electric) |
| 幹事補佐氏名(和) | 菅原 健(電通大) / 鐘本 楊(NTT) |
| 幹事補佐氏名(英) | Takeshi Sugawara(Univ. of Electro-Comm.) / Yo Kanemoto(NTT) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Information and Communication System Security |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | コンシューマ向けIoT機器のサポートポリシーの設定・開示状況の調査 |
| サブタイトル(和) | |
| タイトル(英) | Survey of Support Policy Settings and Publication for Consumer IoT Devices |
| サブタイトル(和) | |
| キーワード(1)(和/英) | IoT機器 / IoT device |
| キーワード(2)(和/英) | EoL / EoL |
| キーワード(3)(和/英) | サポートポリシー / Support policy |
| 第 1 著者 氏名(和/英) | 笠間 貴弘 / Takahiro Kasama |
| 第 1 著者 所属(和/英) | NICT(略称:NICT) NICT(略称:NICT) |
| 第 2 著者 氏名(和/英) | 村上 洸介 / Kosuke Murakami |
| 第 2 著者 所属(和/英) | NICT/KDDI総合研究所(略称:NICT/KDDI総合研究所) NICT/KDDI Research, Inc.(略称:NICT/KDDI Research, Inc.) |
| 第 3 著者 氏名(和/英) | 藤田 彬 / Akira Fujita |
| 第 3 著者 所属(和/英) | NICT(略称:NICT) NICT(略称:NICT) |
| 第 4 著者 氏名(和/英) | 井上 大介 / Daisuke Inoue |
| 第 4 著者 所属(和/英) | NICT(略称:NICT) NICT(略称:NICT) |
| 発表年月日 | 2022-11-08 |
| 資料番号 | ICSS2022-41 |
| 巻番号(vol) | vol.122 |
| 号番号(no) | ICSS-244 |
| ページ範囲 | pp.19-24(ICSS), |
| ページ数 | 6 |
| 発行日 | 2022-10-31 (ICSS) |