ITパスポート過去問 令和5年度(2023年)問57
IoTデバイスにおけるセキュリティ対策のうち,耐タンパ性をもたせる対策として,適切なものはどれか。
選択肢
- ア:サーバからの接続認証が連続して一定回数失敗したら,接続できないようにする。
- イ:通信するデータを暗号化し,データの機密性を確保する。
- ウ:内蔵ソフトウェアにオンラインアップデート機能をもたせ,最新のパッチが適用されるようにする。
- エ:内蔵ソフトウェアを難読化し,解読に要する時間を増大させる。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
耐タンパ性とは、IoTデバイスが入手された場合でも、内部のプログラムや保存データを解析されたり改ざんされたりしにくくする性質です。内蔵ソフトウェアを難読化して、リバースエンジニアリングに要する時間や手間を増やす対策は、耐タンパ性を高める方法として適切です。
Point
この問題は、耐タンパ性が対象とする範囲を理解し、通信の保護や運用上の対策ではなく、デバイス内部の解析・改ざんを難しくする対策を選べるかを確認するものです。
解くために必要な知識
この問題を解くには、耐タンパ性(タンパリング対策)が何を目的とするかを理解している必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| IoTデバイス | センサや機器などがネットワークに接続され、データ送受信や制御を行う装置です。 |
| 耐タンパ性(タンパリング対策) | 装置やソフトウェアの解析・改造・改ざん・不正な読み出しを困難にし、不正利用を防ぐための性質や対策です。 |
| 難読化 | プログラムの動作は変えずに、解析しにくい形へ変換して、リバースエンジニアリングなどを困難にする手法です。 |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| 接続認証 | 正当な利用者・装置かどうかを確認し、接続可否を決める仕組みです。 |
| 暗号化 | データを第三者に読めない形に変換し、機密性を確保する技術です。 |
| オンラインアップデート | ネットワーク経由でソフトウェアを更新する仕組みです。 |
| パッチ | 不具合修正や脆弱性対策のための更新プログラムです。 |
判断ポイントの整理
-
耐タンパ性は、装置内部(ソフトウェア、ファームウェア、内部に保持する情報)の解析や改ざんを難しくする方向の対策です。
-
代表例としては、難読化、改ざん検知、セキュアブート、保護領域(セキュアエレメントなど)での鍵管理などが挙げられます。
-
暗号化やアップデートも重要な対策ですが、主目的がそれぞれ通信の機密性確保、脆弱性修正であり、耐タンパ性とは区別して扱われます。
問題の解法手順
この問題では「耐タンパ性をもたせる対策」が問われています。
着目点
耐タンパ性かどうかは、対策の目的が次のどちらかで判断します。
-
機器内部の解析をしにくくする
-
機器内部の改ざんをしにくくする
各選択肢の目的の整理
| 選択肢 | 対策の目的 | 耐タンパ性に該当するか |
|---|---|---|
| ア | 不正な接続の抑止(認証失敗時のロック) | 該当しない |
| イ | 通信データの機密性の確保(盗聴対策) | 該当しない |
| ウ | 脆弱性の修正(パッチ適用) | 該当しない |
| エ | ソフトウェア解析を困難にする | 該当する |
このため、正解は「エ」です。
選択肢ごとの解説
- ア:不正解
接続認証の連続失敗で遮断するのは、パスワード総当たりなどの不正ログイン試行を抑止する対策です。装置内部のプログラム解析や改ざんを困難にする対策(耐タンパ性)ではありません。
- イ:不正解
通信データの暗号化は、盗聴されても内容を読めないようにして機密性を確保する対策です。耐タンパ性が対象とする装置内部の解析・改ざんへの耐性とは目的が異なります。
- ウ:不正解
オンラインアップデートで最新パッチを適用するのは、既知の脆弱性を修正し攻撃を受けにくくする対策です。解析や改ざんそのものを難しくする施策ではないため、耐タンパ性としては適切ではありません。
- エ:正解
内蔵ソフトウェアの難読化は、コード解析やリバースエンジニアリングをしにくくし、改ざんや不正な機能追加の難度を上げます。これは装置の解析・改ざんへの耐性を高める対策であり、耐タンパ性に該当します。
まとめ
耐タンパ性とは、IoTデバイスが入手された場合でも、内部のプログラムや保存データを解析されたり改ざんされたりしにくくする性質です。内蔵ソフトウェアを難読化して、リバースエンジニアリングに要する時間や手間を増やす対策は、耐タンパ性を高める方法として適切です。
テクノロジ系 > 技術要素 > セキュリティ
接続認証の連続失敗で遮断するのは、パスワード総当たりなどの不正ログイン試行を抑止する対策です。装置内部のプログラム解析や改ざんを困難にする対策(耐タンパ性)ではありません。
通信データの暗号化は、盗聴されても内容を読めないようにして機密性を確保する対策です。耐タンパ性が対象とする装置内部の解析・改ざんへの耐性とは目的が異なります。
オンラインアップデートで最新パッチを適用するのは、既知の脆弱性を修正し攻撃を受けにくくする対策です。解析や改ざんそのものを難しくする施策ではないため、耐タンパ性としては適切ではありません。
内蔵ソフトウェアの難読化は、コード解析やリバースエンジニアリングをしにくくし、改ざんや不正な機能追加の難度を上げます。これは装置の解析・改ざんへの耐性を高める対策であり、耐タンパ性に該当します。