前のページ   次のページ

S1.1-15

目次

17.1. 製品内の削除すべきデータを定義する
17.2. Armadillo 内の指定したデータを削除する方法
17.2.1. ユーザーデータ削除機能の削除レベル
17.3. ABOSにおけるユーザーデータの保存場所
17.4. アプリケーションからユーザーデータ削除機能を利用する

S1.1-15 は、 IoT 機器の利用が終了し、廃棄・譲渡された後にデータが窃取されないような対応を求める要件です。

S1.1-15 はドキュメント評価と実機テストによる評価のどちらも対象になります。

17.1. 製品内の削除すべきデータを定義する

一般に IoT 機器は、アプリケーション本体やライブラリなどの、製品が製品として動作するために必要なアプリケーション部分と、エンドユーザーが製品を利用しているときに保存されるログやデータなどのデータ部分に分かれます。 本要件では、前者のアプリケーション部分を残しつつ後者のデータ部分を削除することで、製品の出荷状態に戻し、廃棄や譲渡を行っても IoT 機器が稼働中に収集したデータが流出しないようにすることを期待しています。

この要件を満たすためには、まずは製品の中の残したいアプリケーション部分と、削除したいデータ部分を明確に定義する必要があります。

削除したいデータ部分として、具体的には以下のようなものが考えられます。

  • IoT 機器が収集した個人情報
  • IoT 機器が収集したログ情報
  • ユーザーが設定した項目
  • ユーザーが設定したパスワードなどの認証値
  • 利用中に取得した暗号鍵やデジタル署名

上記以外にも様々なデータが削除対象となる可能性がありますので、製品の特性に応じて決定してください。

17.2. Armadillo 内の指定したデータを削除する方法

ABOS では、容易にデータの削除を行うための「ユーザーデータ削除機能」を提供しています。

ユーザーデータ削除機能は、以下のいずれかの方法で実行できます。

  • abos-ctrl reset-default コマンドを実行する
  • ABOS Web の UI から「ユーザーデータ削除」を実行する
  • ABOS Web の REST API を利用して、ユーザーデータ削除を実行する

ユーザーデータ削除機能では、デフォルトで以下のデータを削除します。

  • ネットワーク設定

    • LAN、WLAN、WWAN の設定を全て削除します。WLAN はクライアント設定とアクセスポイント設定の両方を削除します。
  • DHCP 設定
  • NAT 設定
  • VPN 設定
  • NTP 設定
  • /var/app/volumes ディレクトリ下のファイルを全て
  • /var/log ディレクトリ下のファイルを全て

また、上記のデータに加えて /etc/atmark/reset_default_list.txt ファイルに記載されているファイルも削除します。 書き方のサンプルファイルとして、/etc/atmark/reset_default_list.txt.example も用意されていますので、リネーム・編集してご利用ください。

17.2.1. ユーザーデータ削除機能の削除レベル

JC-STAR★1 では、どの程度までデータを削除すべきかを以下のように定義しています。

単純な非侵襲のデータ回復技術(市販のデータ復旧ソフトによるサルベージ等)から保護できるセキュリティレベル(NIST SP800-88 Rev.1 での「Clear」レベル)での削除を求める。

ABOS が提供するユーザーデータ削除機能は、NIST SP800-88 Rev.1 での「Clear」レベルを満たすように設計されています。

ABOS では、データの保存領域のファイルシステムとして、 ext4 と btrfs を採用しています。 ext4 の領域に保存されたデータは、ユーザーデータ削除機能を実行すると、 discard 処理を含むフォーマットを行いデータをセキュアに削除します。 btrfs の領域に保存されたデータは、ユーザーデータ削除機能を実行すると、当該のファイルや subvolumeを削除した後、 sync と fstrim を実行することで metadata を含むデータをセキュアに削除します。

17.3. ABOSにおけるユーザーデータの保存場所

「Armadillo 内の指定したデータを削除する方法」で紹介したユーザーデータ削除機能は、任意の場所のデータを削除できますが、データの保存場所として以下を推奨しています。

表17.1 ABOSにおけるユーザーデータの推奨保存場所

ディレクトリ 保存するデータの内容

/var/app/volumes

ログやデータベースなど、アプリケーションが動作中に作成するデータはこのディレクトリに保存してください。

/var/app/rollback/volumes

コンフィグファイルなど、アプリケーションのバージョンに追従してアップデートするようなデータはこのディレクトリに保存してください。


17.4. アプリケーションからユーザーデータ削除機能を利用する

前述の通り、ユーザーデータ削除機能はコマンドラインや ABOS Web の UI から実行できますが、アプリケーションから実行する場合は ABOS Web の REST API を利用します。 REST API 実行用の token には、 ResetDefault 権限を持たせ、それ以外の不要な権限は持たせないようにしてください。

具体的な設定方法や実行方法は 各製品マニュアルを参照してください。


前のページ   次のページ
第16章 S1.1-14 ホーム
PDF version		 第18章 S1.1-16
はじめに
背景
IoT 製品におけるセキュリティと JC-STAR
セキュリティ対策の課題と Armadillo の意義
ABOS 搭載製品におけるセキュリティ的な責任分界点
本書の目的
対象読者
本書の構成
フォント
コマンド入力例
アイコン
用語説明
S1.1-01
守るべき情報資産をリストアップする
守るべき情報資産へのアクセス方法をリストアップする
ABOS Web を無効化する
各アクセス方法に対するユーザー認証の仕様を明確化する
ABOS Web のアクセス制御
ABOS Web の Web UI におけるアクセス制御
ABOS Web の REST API におけるアクセス制御
技術文書への記載
S1.1-02
ネットワークを介したユーザ認証をリストアップする
使用しない機能の無効化
ABOS Web の無効化
sshd の無効化
パスワードを使用する認証機能への対応
無線 LAN アクセスポイントのパスワード
ABOS Web のパスワード
Armadillo Twin のパスワード
技術文書への記載
S1.1-03
ネットワークを介したユーザ認証機能をリストアップする
使用しないユーザ認証機能の無効化
ユーザ認証に使用される認証値の変更を可能にする
無線 LAN アクセスポイント
ABOS Web
Armadillo Twin
エンドユーザーが各認証値を変更する方法を技術文書に明記する
S1.1-04
ネットワークを介したユーザ認証機能をリストアップする
使用しないユーザ認証機能の無効化
総当たり攻撃への対策を行う
ABOS Web
Armadillo Twin
実機テストによる評価
S1.1-05
アットマークテクノと IoT 製品ベンダーの責任分界点
参考情報
S1.1-06
SWUpdate によるソフトウェアアップデート方法を理解する
SWU イメージのインストール方法
ABOS Web を使用した手動インストール
バージョン確認方法を理解する
CUI による確認
ABOS Web による確認
アップデート方法を決定する
ABOS Web 経由の SWUpdate の無効化
USB メモリまたは microSD カード 経由の SWUpdate の無効化
Armadillo Twin の無効化
ウェブサーバーによる自動アップデートの無効化
バージョンの確認方法を決定する
実機テストによる評価
S1.1-07
アップデートの提供形態を決定する
SWU イメージを開発者が作成しエンドユーザーがインストールする
SWU イメージを開発者が作成し開発者がインストールする
エンドユーザーが簡単にアップデートできる方法を決定する
SWU イメージを開発者が作成しエンドユーザーがインストールする形態の場合
SWU イメージを開発者が作成し開発者がインストールする形態の場合
ユーザがアクセス可能な技術文書にアップデート手順を記載する
S1.1-08
ネットワーク経由でのアップデート方法を把握する
ABOS が提供するセキュアなアップデートメカニズム
SWUpdate のセキュアなアップデートメカニズム
推奨されるアップデート方法
開発者独自のアップデート方法を使用する場合の留意点
セキュリティ要件の実装
サポート対象外となることの理解
技術文書への記載要件
SWUpdate による要件の満足
S1.1-09
脆弱性情報の収集方法
SBOM スキャンツールを用いた脆弱性情報の収集
継続的な SBOM スキャンによる脆弱性情報の収集
セキュリティアップデートの優先度の決定
アットマークテクノの方針
アットマークテクノの脆弱性情報の収集方法
アットマークテクノの脆弱性の分析方法
アットマークテクノの脆弱性に対する対応優先度
S1.1-10
型番提供方法の選択
IoT製品に製品型番を表示させる方法
物理的な製品型番の記載
GUIに製品型番を表示させる方法
ABOS Webでの型番表示
その他のGUIでの実装
開発者自身で対処する場合
ソフトウェア的な型番識別方法
実装時の考慮事項
実機テストでの評価
S1.1-11
ストレージに保存する守るべき情報資産をリストアップする
情報資産の分類
Armadillo における守るべき情報資産
リストアップした守るべき情報資産の保存先を確認する
Armadillo における標準的な保存先
Armadillo 上のストレージ以外にある守るべき情報資産の保護対策を確認する
想定される脅威
セキュアな保存の実現方法
技術文書に保護対策を明記する
記載すべき内容
Armadillo を使用する場合の技術文書記載例
S1.1-12
ネットワーク伝送経路のリストアップ
保護対策の確認
Armadillo での実装
開発したアプリケーションでの実装
SE050 による暗号化の利点
技術文書への明記
S1.1-13
TCP/UDP ポートの確認と管理
ABOS がデフォルトで開放しているポート
開発した IoT 製品でのポート管理
nmap を使用したポート確認
HTTP/HTTPS プロトコルの脆弱性テスト
Bluetooth プロファイルの確認と管理
ABOS における Bluetooth プロファイル
USB デバイスクラスの確認と管理
USB 接続制御機能
標準状態の ABOS において接続を許可する USB デバイス
ABOS Web を使用した USB 接続制御機能の設定確認
USB デバイスの接続拒否手順
USB デバイスクラス単位での接続許可・拒否
特定の USB デバイスクラスの接続を許可する
特定の USB デバイスクラスの接続を拒否する
IoT 機器に必要な USB デバイスのみを許可する
技術文書への記載要件
S1.1-14
変更可能な認証値をリストアップする
ソフトウェアのアップデート情報の確認方法
再起動時にファイルが削除されないためのTIPS
ルートファイルシステム設定変更
コンテナでの注意事項
実機テストを行う
S1.1-15
製品内の削除すべきデータを定義する
Armadillo 内の指定したデータを削除する方法
ユーザーデータ削除機能の削除レベル
ABOSにおけるユーザーデータの保存場所
アプリケーションからユーザーデータ削除機能を利用する
S1.1-16
参考情報
チェックリストと申請書を作成する
申請書: IoT 製品の関連企業について