JAWS-UG IoT 専門支部「IoTとセキュリティ:JC-STARをきっかけに」を開催しました
2025.02.28こんにちは、クラスメソッド製造ビジネステクノロジー部所属、JAWS-UG IoT専門支部 運営メンバーの若槻です。
2025/02/25 に開催された JAWS-UG IoT 専門支部のオンライン勉強会「IoTとセキュリティ:JC-STARをきっかけに」を開催したのでレポートします。
今回のイベントでは、IoT 機器のセキュリティに関する新しい認証制度である「セキュリティ要件適合評価及びラベリング制度(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)」、通称 JC-STAR を軸に、IoT セキュリティの現状と対策について学びました。
録画(YouTube)
イベント概要
| タイトル | 登壇者 | 動画チャプターリンク | 時間枠 |
|---|---|---|---|
| セキュリティラベリング制度 JC-STAR概要 | IoT 専門支部 青木さん | リンク | 30 分 |
| コンテナOSでLinux搭載のIoT機器をJC-STARに対応 | アットマークテクノ 實吉社長 | リンク | 45 分 |
| AWSを活用したIoTにおけるセキュリティ対策のご紹介 | AWSJ 川崎さん | リンク | 20 分 |
| 【LT】SwitchBotの通知をAWSを使ってDiscordに飛ばしてみました | 株式会社ゆめみ 白”雪姫”(しらゆき)さん | リンク | 5 分 |
レポート
セキュリティラベリング制度 JC-STAR概要
| タイトル | 登壇者 | 動画チャプターリンク | 時間枠 |
|---|---|---|---|
| セキュリティラベリング制度 JC-STAR概要 | IoT 専門支部 青木さん | リンク | 30 分 |
(資料はアップロード待ち)
IoT 専門支部の青木さんからは、2025年3月から開始される JC-STAR の制度概要について、詳しい解説がありました。
JC-STAR は、IoT 製品のセキュリティ機能を「共通の物差し」で評価・可視化する制度として経済産業省が策定したものです。この制度の背景には、ベンダー側のセキュリティ対策のアピールが難しい点や、消費者側の製品選定における判断基準の不在という課題がありました。
制度のポイントとして以下が挙げられます:
- ★1(レベル1)から★4までのレベル分けがあり、★1・2は自己適合宣言、★3・★4は第三者認証が必要
- 対象は IP 通信機能を持つ IoT 製品全般で、PC のような自由にソフトウェアをインストールできる機器は対象外
- 2025年3月から★1レベルの申請受付開始、★2以降は2026年度以降に開始予定
- シンガポールや EU、米国との相互認証も検討中
特に★1レベルでは、16項目の基本的なセキュリティ要件があり、以下のような対策が求められます:
- 推測されにくいパスワード設定の仕組み
- ソフトウェアアップデート機能
- 未使用インターフェースの無効化機能
- 通信の保護対策
- 情報の安全な削除機能
- 電源断後のセキュリティ設定維持
IoT デバイスのセキュリティ課題に対する具体的な評価基準として、JC-STAR は重要な役割を果たすことが期待されます。特に、最低限のセキュリティ要件を示す★1レベルが来月から始まることで、IoT 製品のセキュリティ対策の底上げにつながることが期待できる発表でした。
コンテナOSでLinux搭載のIoT機器をJC-STARに対応
| タイトル | 登壇者 | 動画チャプターリンク | 時間枠 |
|---|---|---|---|
| コンテナOSでLinux搭載のIoT機器をJC-STARに対応 | アットマークテクノ 實吉社長 | リンク | 45 分 |
アットマークテクノ社長の實吉さんからは、IoT 機器向けの Linux ディストリビューションとして Armadillo Base OS を開発した背景と、JC-STAR への対応についての説明がありました。
まず、IoT 機器のセキュリティ要件として、EU、米国、日本それぞれで新しい規制や認証制度が始まろうとしていることが示されました。特に EU のサイバーレジリエンス法は非常に厳しい基準となる可能性があり、将来的な相互認証も見据えて対応を検討する必要があるとの指摘がありました。
これらの要件に対し、従来の選択肢である汎用 Linux(Debian/Ubuntu)や Yocto ベースの Linux には一長一短があります。汎用 Linux は開発が容易である反面、不要なパッケージも含まれて SBOM(Software Bill of Materials) 管理が難しく、IoT 機器の長期運用には課題があります。特に大量のデバイスを運用する場合、アップデートの自動化や失敗時の対応が困難です。一方 Yocto は最小構成を作りやすい反面、学習コストが高く開発に時間がかかるという課題があります。
そこでアットマークテクノでは、20年以上の組み込み Linux の開発経験を活かし、コンテナ技術を活用した Armadillo Base OS を開発。OS とアプリケーションの責任境界を明確に分離することで、サポートの効率化と SBOM 管理の容易さを実現しつつ、セキュリティ機能も充実させたとのことです。具体的には:
- コンパクトな OS(約130MB)でセキュリティ脆弱性を限定
- セキュアエレメントやセキュアブートによる改ざん防止
- コンテナによるサンドボックス化とアクセス権限管理
- 強固なパスワードポリシーの強制
- OTA アップデート機能の標準搭載
- 使用しないインターフェースの無効化機能
- 安全な初期化機能
など、JC-STAR ★1 の要件に対応する機能が実装されています。
特筆すべきは、これらの機能を「半完成品」として提供することで、中小規模の開発でもセキュリティレベルの高い製品が作れるようにしている点です。IoT デバイスの開発では、数十台から数百台程度の中規模案件が多く、開発費用の制約も大きいため、このようなアプローチは実用的だと感じました。
IoT 機器のセキュリティ対策は、ハードウェアからソフトウェア、運用まで多岐にわたる課題があります。Armadillo Base OS はそれらの課題に包括的に対応しようとする意欲的な取り組みだと感じました。特に、コンテナ技術を組み込み機器に適用することで、開発のしやすさとセキュリティの両立を図りつつ、実用的な運用性も確保している点が印象的でした。
またアットマークテクノの長年にわたる IoT への取り組みを通じて培われたノウハウが発表の中で惜しみなく共有されており、、非常に楽しく且つ興味深く聞くことができました。
AWSを活用したIoTにおけるセキュリティ対策のご紹介
| タイトル | 登壇者 | 動画チャプターリンク | 時間枠 |
|---|---|---|---|
| AWSを活用したIoTにおけるセキュリティ対策のご紹介 | AWSJ 川崎さん | リンク | 20 分 |
AWSJ 川崎さんからは、IoT セキュリティの課題と AWS IoT Core を活用した解決策をテーマに登壇していただきました。
まず、IoT デバイスとデータの特徴として、無線ネットワークでの接続、大量のデバイスが様々な場所に配置される点、機器出荷後の回収が難しい点などが挙げられました。これらの特徴を踏まえ、IoT セキュリティでは「データ」「ソフトウェア」「通信」「デバイス」「物理」の5つのレイヤーでの対策が必要とのことです。ただし、限られたリソースの中ですべてに対応することは難しいため、優先順位をつけて対応することが現実的だと説明がありました。
その上で、AWS IoT Core を使ったセキュリティ対策として、デバイス証明書の管理機能が紹介されました。AWS IoT Core では証明書を無制限に発行・登録でき、デバイスごとに個別の証明書を発行したり、クラウドから証明書を無効化したりできます。また、証明書の配布方法として「開発フェーズでの直接書き込み」「ジャストインタイムプロビジョニング(JITP)」「ジャストインタイム登録(JITR)」「フリートプロビジョニング」など複数の選択肢が用意されており、用途に応じて選択できることが分かりました。
これら対応により JS-STAR ★1で考慮すべき脅威である「①弱い認証機能により、外部からの不正アクセスの対象となり、マルウェア感染や踏み台となる攻撃等を受けることで、情報漏えい、改ざん、機能異常の発生につながる脅威」への対策が可能となりそうですね。
最後に紹介があった AWS IoT Greengrass の Black Belt の動画はこちらになります。合わせてご覧いただくと AWS IoT のセキュリティの理解がより深まるかと思います。
【LT】SwitchBotの通知をAWSを使ってDiscordに飛ばしてみました
| タイトル | 登壇者 | 動画チャプターリンク | 時間枠 |
|---|---|---|---|
| 【LT】SwitchBotの通知をAWSを使ってDiscordに飛ばしてみました | 株式会社ゆめみ 白”雪姫”(しらゆき)さん | リンク | 5 分 |
白"雪姫"さんからは、SwitchBot の 通知を Discord に送信する仕組みを作ったという内容のLTでした。
家庭用スマートホーム機器である SwitchBot を家に導入したところ、通知が多すぎてスマートフォンのバッテリー消費が激しいという課題に直面したとのこと。かといって通知をオフにすると、鍵の状態確認のためにいちいちアプリを開く必要があり、これも不便だったそうです。
そこで SwitchBot の公開 API を利用し、AWS Lambda と SQS を使って Webhook 化することで、通知を Discord に送信する仕組みを実装。さらに Step Functions でステータスの差分チェックを行うことで、必要な通知だけを送信するように改良したとのことでした。
実装されたコードは GitHub で公開されており、また設定方法も詳しくブログで解説されているので、同じ課題を持つ人は参考にできそうです。
おわりに
2025/02/25 に開催された JAWS-UG IoT 専門支部のオンライン勉強会「IoTとセキュリティ:JC-STARをきっかけに」を開催したのでレポートしました。
今回のイベントでは、2025年3月から始まる JC-STAR を軸に、IoT セキュリティの現状と対策について多角的に学ぶことができました。青木さんからは制度の全体像、實吉さんからは実装面での課題と解決策、川崎さんからはクラウドサービスを活用したアプローチ、そして白"雪姫"さんからは実践的な活用例と、それぞれの視点から IoT セキュリティについての知見が共有されました。また当日は参加者からの質問やディスカッションも活発で、JC-STAR に対する関心の高さが伺えました。
JAWS-UG IoT 専門支部としても、今後も IoT セキュリティに関する情報共有や議論の場を提供していきたいと考えています。次回以降のイベントもご期待ください。
以上
![[Workshop] The future: Where smart home meets AI-powered robots に参加しました #IOT302 #AWSreInvent](https://images.ctfassets.net/ct0aopd36mqt/3IQLlbdUkRvu7Q2LupRW2o/edff8982184ea7cc2d5efa2ddd2915f5/reinvent-2024-sessionreport-jp.jpg)
