お問い合わせを送信いただきありがとうございます!当社のスタッフがすぐにご連絡いたします。
予約を送信いただきありがとうございます!当社のスタッフがすぐにご連絡いたします。
コース概要
セッション1 & 2: セキュリティの観点からのIoTアーキテクチャの基本と応用概念
- IoT技術の進化の歴史
- IoTシステムにおけるデータモデル - センサー、アクチュエーター、デバイス、ゲートウェイ、通信プロトコルの定義とアーキテクチャ
- 第三者デバイスとサプライチェーンリスク
- テクノロジー生態系 - デバイスプロバイダー、ゲートウェイプロバイダー、アナリティクスプロバイダー、プラットフォームプロバイダー、システムインテグレーター - すべてのプロバイダーリスク
- エッジ駆動分散IoT vs クラウド駆動中央IoT: 利点とリスク評価
- IoTシステムの管理層 - フリート管理、資産管理、センサーのオンボーディング/デボードリング、デジタルツイン。管理層の認証リスク
- AWS、Microsoft Azure、その他のフリートマネージャーのIoT管理システムのデモ
- 人気のあるIoT通信プロトコルの紹介 - Zigbee/NB-IoT/5G/LORA/Witespec - 通信プロトコル層の脆弱性レビュー
- リスク管理をレビューしたIoT全体のテクノロジースタックの理解
セッション3: IoTにおけるすべてのリスクとセキュリティ問題のチェックリスト
- ファームウェアのパッチング - IoTの脆弱な部分
- IoT通信プロトコルのセキュリティの詳細レビュー - トランスポート層(NB-IoT、4G、5G、LORA、Zigbeeなど)とアプリケーション層 - MQTT、Webソケットなど
- APIエンドポイントの脆弱性 - IoTアーキテクチャにおけるすべての可能なAPIリスト
- ゲートウェイデバイスとサービスの脆弱性
- 接続されたセンサー - ゲートウェイ通信の脆弱性
- ゲートウェイ-サーバー通信の脆弱性
- IoTクラウドデータベースサービスの脆弱性
- アプリケーション層の脆弱性
- ゲートウェイ管理サービス(ローカルとクラウドベース)の脆弱性
- エッジアーキテクチャとノンエッジアーケクチャにおけるログ管理リスク
セッション4: OWASPのIoTセキュリティモデル、トップ10のセキュリティリスク
- I1 不安全なWebインターフェース
- I2 不十分な認証/認可
- I3 不安全なネットワークサービス
- I4 トランスポート暗号化の欠如
- I5 プライバシーの懸念
- I6 不安全なクラウドインターフェース
- I7 不安全なモバイルインターフェース
- I8 セキュリティ設定の不十分さ
- I9 不安全なソフトウェア/ファームウェア
- I10 設備の物理的なセキュリティの不足
セッション5: AWS-IoTとAzure IoTセキュリティ原則のレビューとデモ
- Microsoft脅威モデル - STRIDE
STRIDEモデルの詳細
- セキュリティデバイスとゲートウェイ、サーバー通信 - 非対称暗号化
- 公開鍵配布のためのX.509認証
- SASキー
- バルクOTAリスクと技術
- アプリケーションポータルのAPIセキュリティ
- システムから悪意のあるデバイスを無効化およびリンク解除する
- AWS/Azureセキュリティ原則の脆弱性
セッション6: 漸進的なNIST基準/推奨事項のレビュー
NISTIR 8228標準によるIoTセキュリティ - 30項目リスク考慮モデルのレビュー
第三者デバイスの統合と識別
- サービスの識別と追跡
- ハードウェアの識別と追跡
- 通信セッションの識別
- 管理トランザクションの識別と記録
- ログ管理と追跡
セッション7: ファームウェア/デバイスのセキュリティ
ファームウェアのデバッグモードの保護
ハードウェアの物理的セキュリティ
- ハードウェア暗号化 - PUF(Physically Unclonable Function)- EPROMの保護
- Public PUF, PPUF
- Nano PUF
- YARAルールに従って分類されたファームウェア内のマルウェアの既知の分類(18つのファミリー)
- 人気のあるファームウェアマルウェアの研究 - MIRAI, BrickerBot, GoScanSSH, Hydraなど
セッション8: IoT攻撃の事例研究
- 2016年10月21日、Dyn DNSサーバーに対する大規模なDDoS攻撃が展開され、Twitterを含む多くのウェブサービスが停止しました。ハッカーはWebカメラやその他のIoTデバイスのデフォルトパスワードとユーザー名を利用し、Miraiボットネットを侵害されたIoTデバイスにインストールしました。この攻撃について詳細に検討します。
- IPカメラはバッファオーバーフローアタックによりハッキングされる可能性があります
- Philips Hue電球はZigBeeリンクプロトコルを介してハッキングされました
- SQLインジェクション攻撃がBelkin IoTデバイスに対して効果的でした
- Belkin WeMoアプリのクロスサイトスクリプティング(XSS)攻撃により、アプリがアクセスできるデータとリソースにアクセスできました
セッション9: 分散台帳を用いた分散IoTの保護 - ブロックチェーンとDAG(IOTA) [3時間]
分散台帳技術 - DAG台帳、Hyper Ledger、ブロックチェーン
PoW, PoS, Tangle - コンセンサス手法の比較
- ブロックチェーン、DAG、Hyperledgerの違い - 機能、パフォーマンス、分散化の比較
- 異なるDLTシステムのリアルタイム、オフライン性能
- P2Pネットワーク、公開鍵と秘密鍵 - 基本概念
- 分散台帳システムが実際にはどのように実装されているか - いくつかの研究アーキテクチャのレビュー
- IoT用のIOTAとTangleDLT
- スマートシティ、スマートマシン、スマートカーからのいくつかの実践的なアプリケーション例
セッション10: IoTセキュリティのベストプラクティスアーキテクチャ
- ゲートウェイ内のすべてのサービスを追跡し、識別する
- MACアドレスを使用せず、パッケージIDを使用する
- デバイスに識別階層を使用する - ボードID、デバイスID、パッケージID
- ファームウェアのパッチングを周辺部に構成し、サービスIDに準拠させる
- EPROM用PUF
- 2層認証でIoT管理ポータル/アプリケーションのリスクを保護する
- 全てのAPIを保護 - APIテストとAPI管理の定義
- 物流サプライチェーンに同一のセキュリティ原則を統合する
- IoT通信プロトコルのパッチ脆弱性を最小限に抑える
セッション11: あなたの組織のIoTセキュリティポリシーの作成
- IoTセキュリティ/緊張関係の用語を定義する
- 認証、識別、認可のベストプラクティスを提案する
- 重要資産の識別とランキングを行う
- アプリケーションの周辺化と隔離の境界を識別する
- 重要な資産、情報、プライバシーデータの保護ポリシーを作成する
要求
- デバイス、電子システム、データシステムに関する基本的な知識
- ソフトウェアとシステムの基本的な理解
- 統計学(Excelレベル)の基本的な理解
- 電気通信業界に関する理解
概要
- インターネット・オブ・シングスの最先端セキュリティに関する高度なトレーニングプログラム
- ファームウェア、ミドルウェア、IoT通信プロトコルのすべてのセキュリティ側面をカバーします。
- IoT標準、進化、未来に詳しくない方のために、IoT領域におけるさまざまなセキュリティイニシアチブの360度ビューを提供します。
- ファームウェア、無線通信プロトコル、デバイスからクラウドへの通信のセキュリティ脆弱性について深く探ります。
- 複数の技術領域を横断してIoTシステムとそのコンポーネントのセキュリティに関する認識を高めます。
- ゲートウェイ、センサー、IoTアプリケーションクラウドのいくつかのセキュリティ側面のライブデモ
- 現在および提案されているNIST基準の30の主要なリスク考慮事項を説明します。
- OWASPのIoTセキュリティモデル
- 組織のIoTセキュリティ基準策定のための詳細なガイドラインを提供します。
対象者
IoTプロジェクトを開発したり、セキュリティリスクを監査・レビューする任務が与えられたエンジニア/管理者/セキュリティ専門家
21 時間
お客様の声 (1)
トレーナーがとても親しみやすかったこと。 柔軟性と私の質問に答えてくれたこと。
Saed El-kayed - International Committee of the Red Cross (ICRC)
コース - IoT Security
機械翻訳
