S1.1-12 では、ネットワーク経由で伝送される守るべき情報資産を、情報の盗聴から保護することを要求しています。
守るべき情報資産や必要な保護対策の定義は、チェックリストや評価ガイドを参照してください。
守るべき情報資産がネットワーク経由で伝送されるかを確認します。
標準状態の ABOS において守るべき情報資産が伝送される経路は以下の通りです。
-
ABOS Web
-
Armadillo Twin (使用している場合)
これらに加えて、開発した IoT 製品で下記のようなネットワーク経由で守るべき情報資産が伝送される経路をリストアップしてください。
-
開発したアプリケーションによるサーバとの通信
-
クラウドサービス(AWS 等)との通信
-
他の IoT 機器との通信
-
モバイルアプリとの通信
守るべき情報資産をネットワーク経由で伝送する場合、盗聴を防ぐ保護対策が必要です。
ABOS Web
ABOS Web はデフォルトで TLS 1.2 および 1.3 に対応しており、公開鍵暗号方式は ECDSA (secp384r1) を使用しています。
Armadillo Twin
Armadillo Twin は Armadillo 本体との通信と、 Armadillo Twin のページを表示する PC 間との通信でそれぞれ異なる TLS バージョンを使用します。
-
Armadillo と Armadillo Twin 間: TLSv1.2
-
Armadillo Twin と PC 間: TLSv1.2 および v1.3
暗号化スイートは TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 などを使用しています。
以下の対策を実装してください。
-
TLS 等の暗号化通信プロトコルを使用
-
CRYPTREC 推奨暗号リストに準拠した暗号技術を採用
より高いセキュリティが必要な場合、 SE050 を利用して伝送するファイル自体を暗号化することを推奨します。
SE050 を使用してファイルを暗号化した場合、以下の利点があります。
-
暗号化キーがハードウェア内に安全に保管される
-
他の Armadillo や PC では復号できない(デバイス固有の暗号化)
-
より強固なセキュリティを実現
SE050 の使用方法に関しては製品マニュアルを参照してください。
S1.1-12 の要件を満たすため、技術文書に以下のような保護対策の詳細を記載する必要があります。
-
ネットワーク経由で伝送する守るべき情報資産の有無
-
採用した保護対策(TLS、ファイル暗号化、VPN など)
-
保護対策が初期設定で有効であること
-
(保護された通信環境で利用する場合)ユーザ向けの利用環境制限の明示
