＜目次＞ - IPAこの場合、システムモデルは図5.1において、サーバをTV 局、ネットワークを地上デジタル放送網とし、サーバから情報家電への一方向通信しかできないと考えれば

5-1

＜目次＞ 5. 情報家電分野セキュリティ技術マップ...............................................................5-3

5.1. 情報家電のモデル........................................................................................5-3 5.1.1. 情報家電のアーキテクチャ ...................................................................5-3 5.1.2. 情報家電のライフサイクル ...................................................................5-7 5.1.3. 情報家電の保護すべき情報資産 ..........................................................5-10

5.2. 情報家電の動向 ......................................................................................... 5-11 5.2.1. 国内外の動向....................................................................................... 5-11 5.2.2. 将来予測 ..............................................................................................5-15

5.2.2.1. 3 年後まで ....................................................................................5-17 5.2.2.2. 3～5 年後まで...............................................................................5-17 5.2.2.3. 5 年後以降 ....................................................................................5-18

5.3. 情報家電の脅威と対策...............................................................................5-18 5.3.1. 脅威の定義 ..........................................................................................5-18 5.3.2. 脅威マップと分析表 ............................................................................5-19

5.3.2.1. 脅威と対策の想定（3 年後まで）.................................................5-29 5.3.2.2. 脅威と対策の想定（3～5 年後まで） ...........................................5-31 5.3.2.3. 脅威と対策の想定（5 年後以降）.................................................5-32

5.4. 情報家電分野付録......................................................................................5-32 5.4.1. 情報家電の事例 ...................................................................................5-32 5.4.2. 参考文献 ..............................................................................................5-36

5-2

＜図表目次＞図 5.1 情報家電のシステムモデル .....................................................................5-4 図 5.2 地上デジタル放送による情報家電のソフトウェア配信の仕組み ............5-5 図 5.3 情報家電の内部アーキテクチャ ..............................................................5-6 図 5.4 情報家電のライフサイクル .....................................................................5-8 図 5.5 情報家電の利用フロー ............................................................................5-9 図 5.6 情報家電におけるライフサイクルと保護すべき情報資産 ..................... 5-11 図 5.7 情報家電のロードマップ.......................................................................5-16 図 5.8 情報家電における脅威マップ（運用段階） ..........................................5-20 図 5.9 情報家電における脅威マップ（開発・製造・廃棄段階） .....................5-20 図 5.10 ハードディスクレコーダの事例における改修方法..............................5-33 図 5.11 セキュア VM の開発内容 ....................................................................5-34 図 5.12 情報家電サービス基盤フォーラム情報家電機器認証 SIG 検討内容 ...5-35 図 5.13 情報家電サービス基盤フォーラム情報家電リモート管理 SIG 検討内容5-36

表 5.1 情報家電のシステムモデルにおける構成要素.........................................5-5 表 5.2 情報家電の内部アーキテクチャにおける構成要素..................................5-6 表 5.3 保護すべき情報資産の一覧 ...................................................................5-10 表 5.4 地上デジタル放送対応 TV 累積販売数..................................................5-12 表 5.5 地上デジタル放送対応レコーダ累積販売数 ..........................................5-12 表 5.6 情報家電における脅威の分類................................................................5-18 表 5.7 情報家電における対策マップ（運用段階） ..........................................5-21 表 5.8 情報家電における対策マップ（開発・製造・廃棄段階） .....................5-26

◎

記載されている会社名・製品名・サービス名は、各社の商標または登録商標です。

5-3

5. 情報家電分野セキュリティ技術マップ

家庭にインターネットが普及し始めた 2000 年以降、インターネットに接続可能な

付加価値の高いサービスを提供する家電、いわゆる「情報家電」の市場に対する期待

が高まった。従来は、ビジネスモデル（消費者への課金等）、情報家電の機能（購買

意欲を高めるだけのサービスを提供できていない等）等サービス基盤が不十分なため、

大型液晶・プラズマテレビ、ハードディスクレコーダ等、一部の情報家電の普及に留

まっていたが、急速に普及が進んでいるネットワーク接続機能付きゲーム機や PLC（Power Line Communications：電灯線通信）の解禁等に伴うホームネットワークの

進展により、今後普及が進むと期待される。現在、その設計や導入アプローチに応じて家電業界の AV（Audio & Visual）機器

部門、白物家電部門、またコンピュータ業界や通信業界等、様々な分野で様々な情報

家電の開発が進められている。いずれの情報家電も、今後家庭内での利用が進むにつ

れ、双方向性等の特性から機器への不正アクセス、サービス利用時の個人情報漏洩等

の問題が懸念される。そのため、組込みシステムとして取り上げ、提供される基本機

能と利用シーンから想定される脅威とその対策について調査を行う。広義の情報家電の対象領域は、開発者のアプローチにより広範にわたる。これは、

情報系、制御系、白物家電のような生活インフラに直結する機器等、家庭内にある様々

な電化製品がネットワークによって連携し、新たなサービスや価値の創造が将来的に

期待されているからである。その中で現状では、映像・オーディオ機能を提供する、

いわゆるデジタル家電と称される機器の普及が進んでおり、他の領域については今後

製品化されるという段階である。従って本調査はその対象を、今後のセキュリティのリスクがもっとも高いと考えら

れる領域、すなわち「単体で家電として動作する組込みシステムで、かつインターネ

ット等を通じて家庭外の他の機器との通信機能を有する AV 家電」とする。具体的に

は、以下のものが挙げられる。・地上デジタル放送対応 TV（Television）

液晶テレビ、プラズマテレビ等・地上デジタル放送対応レコーダ

DVD（Digital Versatile Disc）レコーダ、HD（High-Definition） DVD レコー

ダ、Blu-ray レコーダ、 HDD（Hard Disk Drive）レコーダ等・ IPTV（Internet Protocol Television） 5.1. 情報家電のモデル

5.1.1. 情報家電のアーキテクチャ

情報家電のセキュリティを検討する前提として、本調査で想定する情報家電のモデ

5-4

ルを以下のように設定する。情報家電は、筐体内にネットワーク接続機能を有し、単

独または家庭内 LAN（Local Area Network）を経由して、ネットワークに接続する

ことが可能と想定する。一般的な情報家電のシステムモデルを図 5.1に示す。

情報家電利用者

サーバ

情報家電所有者

ネットワークで繋がれた

リモートのサーバ

組込システム周辺のセキュリティの検討範囲

組込システム本体のセキュリティの検討範囲

記録メディアコンテンツ

を保存

AV機能及びインターネット

接続機能を有する

情報家電本体(リモコン含む)

携帯端末情報家電を操作する携帯端末ネットワーク

図5.1 情報家電のシステムモデル

なお、地上デジタル放送対応の情報家電においては、地上デジタル放送の ES

（Engineering Service：エンジニアリングサービス）という、ソフトウェア更新（フ

ァームウェアアップデート、ソフトウェアバージョンアップという場合もある）用の

データを地上デジタル放送波として受信し、自動的にソフトウェア更新を行う機種も

ある。社団法人地上デジタル放送推進協会[6]によると、ES によるソフトウェア更新

機能をもつ情報家電は図 5.2のように動作する。

5-5

TV局(放送局)

SDTT配信ソフトウェアウェア

配信

アンテナ・

CＡＴV業者

地上デジタル放送網

情報家電

情報家電に対応するソフトウェアが配信されたらこれを受信して

ソフトウェアを自動で更新

SDTT(Software Download Trigger Table：ソフトウェア配信予定表）配布

配信予定にしたがってソフトウェア配信

図5.2 地上デジタル放送による情報家電のソフトウェア配信の仕組み

この場合、システムモデルは図 5.1において、サーバを TV 局、ネットワークを地

上デジタル放送網とし、サーバから情報家電への一方向通信しかできないと考えれば

よい。図 5.1のシステムモデルにおける構成要素の説明を表 5.1に示す。

表5.1 情報家電のシステムモデルにおける構成要素

構成要素説明利用者情報家電の所有者。

記録メディアコンテンツデータが記録されている、あるいは記録して残してお

くためのリムーバブル記録メディア。DVD 系の各種メディア、

HD DVD、Blu-ray 等の各種ディスクが存在する。情報家電本章における組込みシステム本体。

ネットワーク情報家電がリモートに配置されたサーバに接続する回線、または

網。

サーバ

情報家電とその利用者に対して、各種サービス等を提供するため

のサーバ。情報家電のメーカが設置する場合もあれば、コンテン

ツ配信事業者やオンラインショッピング事業者が設置する場合等

がある。また、情報家電が IPTV である場合は番組配信サーバに

もなる。

携帯端末情報家電の利用者が持つ携帯電話等。これを利用して、利用者は

リモートから自宅の情報家電にアクセスする。組込みシステム本体である、情報家電の内部アーキテクチャの概要図を図 5.3に示

す。

5-6

CPU制御用マイコンDSP等

メインメモリDRAM

内部不揮発メモリ

外部不揮発メモリ

SDカード等

ボタン類 LCD,LED等

同一CPUの場合もある

電源回路

ネットワークIF(イーサネット,無線LAN)

記録メディア装置

AC 100V家電本体機構TV

HDDレコーダ音楽プレーヤ

外部Ｉ／Ｏ

USB

リモコン

赤外線受光器

図5.3 情報家電の内部アーキテクチャ

図 5.3の内部アーキテクチャにおける構成要素の説明を表 5.2に示す。

表5.2 情報家電の内部アーキテクチャにおける構成要素

構成要素説明

家電本体機構家電本来の機能を実現する部分。AV 家電であれば AV 信号の変

復調と入出力等に相当する。

制御用マイコン家電本体機構を制御するための制御用 CPU。情報家電によって

は、存在せずアプリ用 CPU と一体となっている場合もある。 CPU （Central

Processing Unit）

利用者の操作や各種アプリケーションを処理するための CPU。

情報家電の高機能化とともに高性能な CPU になりつつある。制

御用 CPU と一体になっている場合もある。

メインメモリ一時的な記憶領域として使用されるワークエリア。内部不揮発メモリ

情報家電のソフトウェアや、端末番号等端末固有の情報が格納さ

れる。外部不揮発メモリ

利用者の入力した設定やアプリケーションの情報、コンテンツ

データ等が格納されるたり読み出されたりする。

記録メディア装置

記録メディアからの読み出しあるいは記録メディアへの読み書

きを行う装置。または、ハードディスクレコーダの場合はハードディスクそのも

の。

外部 I/O 他の機器と連携するための各種インタフェースである。イーサネット、無線 LAN（例えば Wi-Fi（Wireless Fidelity））、USB（Universal Serial Bus）等が存在する。

5-7

赤外線受光器リモコンからの信号を受信する装置。

リモコン情報家電を操作するためのコントローラ。本章における組込みシ

ステム本体である情報家電の付属品であるため、情報家電の一部

として扱う。 LCD （Liquid

Crystal Display）,

LED （Light

Emitting Diode）

画面に各種状態や、コンテンツを表示する出力部。

ボタン類利用者により情報家電を操作するための入力部。電源回路電力を供給する。

概略図を見るとわかるように、情報家電の内部アーキテクチャの構成はパソコンに

近似している。ただし製品特性上、パソコンのように利用者が自身で管理できる領域

は少なく、セキュリティ上の課題が発生した際にパソコンよりも対応しにくい。また情報家電の内部アーキテクチャは、パソコンのように業界全体での標準化がな

されていない。従ってそこで利用されている構成要素やデバイスは製造メーカによっ

て異なり、互換性や相互運用性は必ずしも確保されていない。こうした理由から、製造メーカ毎に個別にセキュリティ対策が行われており、また、

製造後の対策（ソフトウェア更新等）も製造メーカによって個別に行われることが多

い。 5.1.2. 情報家電のライフサイクル

情報家電のライフサイクルのモデルを図 5.4に示す。

5-8

共通ライフサイクル

開発製造運用廃棄

リサイクル

製品開発段階の脅威

量産段階での脅威

ユーザに流通運用段階での脅威

廃棄時の脅威

情報家電のライフサイクル

開発製造運用廃棄リサイクル

使用（利用者）

初期設定ソフトウェア更新

再利用（譲渡・売却等)

利用者

製造メーカ小売業者

リサイクル業者

ソフトウェア更新


図5.4 情報家電のライフサイクル

○ 開発段階

情報家電は、製造メーカにおいて製品が企画され、製品の設計書や仕様書等が作成

される。設計書や仕様書には、機密にすべき情報（動作手順、暗号化・復号に用いる

鍵等）が記載されている。またこの設計書や仕様書に基づいて、ハードウェアの回路

図やソフトウェアのコード等が開発され、初期設定のデータ等も決定される。これら

の情報が保護すべき情報資産となる。 ○ 製造段階

情報家電は、製造メーカの工場において製造される。このため製造する製品のハー

ドウェアやソフトウェアのマスターとなる情報が保管されている。これらの情報が保

護すべき情報資産となる。 ○ 運用段階

情報家電は、利用者が家電量販店等を通じて入手し、利用する。利用者は自身や自

宅の個人情報を情報家電内に記録し、さらに音声、音楽、画像、映像等のプライベー

5-9

トコンテンツ1を情報家電内に保存して利用するようになる。これらの個人情報やコン

テンツデータがさらに保護すべき情報資産として増える。情報家電は、その運用段階において、以下に挙げるような特徴がある。

・利用者の宅内に設置する（第三者が直接、触れる機会が少ない）・家庭内ネットワークと接続して通信する・携帯電話等の携帯端末と連携する場合がある利用者の利用形態のフロー概要を図 5.5に示す。

サーバ

設定操作

情報家電

視聴操作サーバアクセス

を伴う場合

遠隔操作操作

操作にしたがって動作

操作

操作要求

応答読み書き

認証要求

応答応答

読み書き

情報取得(番組表など)

効果

効果


要求応答(ソフトウェア)


は、携帯電話の機種によっては存在しないフローを表す。

効果

情報利用操作認証

要求応答(コンテンツなど)

図5.5 情報家電の利用フロー

この動作フローでは、それぞれの機能ごとに、利用者からの命令を直接（リモコン

等での接続）もしくはネットワーク経由（携帯電話等による接続）で情報家電が受け

取り、必要に応じて外部サーバや記録メディアへのアクセスを行う。また情報家電は、

1 市販されたり放送されているコンテンツではなく、利用者の個人的なコンテンツ。

5-10

ライフサイクルが長く、その間に多くのソフトウェアの脆弱性が発見されたり、攻撃

手法が編み出されたりすることが考えられる。しかし、パソコンのように利用者が自

分でセキュリティ対策ソフトウェアを追加する等の対策を施すことは難しい。この場

合、不具合修正を目的としたソフトウェア更新を実施する必要があり、リモートのサー

バから新しいソフトウェアを取得して情報家電内のソフトウェアやその設定情報の書

き換えが行われる。このソフトウェア更新は、利用者の操作によって行われる場合と、

情報家電により自動的に行われる場合がある。 ○ 廃棄段階

情報家電は、買い換えや利用停止等の理由で製品が廃棄される。利用者によって個

人情報やプライベートコンテンツ等は消去されて廃棄される場合が多いが、消去忘れ

もあり得る。このため運用段階と同じ情報が保護すべき情報資産となる。 5.1.3. 情報家電の保護すべき情報資産

ここでは情報家電分野における組込みシステム本体である情報家電上の保護すべ

き情報資産について表 5.3にまとめる。

表5.3 保護すべき情報資産の一覧 ○ 情報家電上の保護資産

保護資産発生説明

コンテンツ運用段階

音声、画像、動画等のマルチメディアデータ（商

用コンテンツ利用時の著作権管理データ及びプラ

イベートコンテンツ等）、コンテンツ利用履歴（コ

ンテンツの利用履歴も保護することが重要）等

利用者情報運用段階利用者に関する個人情報（利用者氏名/住所/電話番

号、クレジットカード番号等）、利用者認証情報、

利用履歴等

機器情報製造段階情報家電そのものに関する情報（機種、 ID（Identification）、シリアル ID 等）、機器認証情

報等ソフトウェアの状

態データ運用段階各ソフトウェアに固有の状態データ（動作状態、

ネットワーク利用状態等）ソフトウェアの設

定データ製造段階各ソフトウェアに固有の設定データ（動作設定、

ネットワーク設定、権限設定、バージョン等）

ソフトウェア製造段階 OS（Operating System）、ミドルウェア、アプリ

ケーション等ファームウェアと呼ばれることもある

5-11

○ その他

保護資産発生説明設計データ内部ロジック開発段階製品企画・設計段階で発生する仕様書・設計書等

の設計情報これらの保護すべき情報資産を、組込みシステム本体におけるライフサイクルと対

応づけたものを図 5.6に示す。

開発段階製造段階運用段階廃棄段階

機器情報

コンテンツ

情報家電

利用者情報

ソフトウェアの状態データ

・マルチメディアデータ

・利用者の個人情報

・状態データ

・動作設定、ネットワーク設定、権限設定、バージョン等

機種ID、シリアルID等

他設計データ

内部ロジック設計図、仕様書など

ソフトウェア

ソフトウェアの設定データ

・OS, ミドルウェア、アプリケーション

図5.6 情報家電におけるライフサイクルと保護すべき情報資産

5.2. 情報家電の動向

5.2.1. 国内外の動向

○ 国内の普及状況

2003 年 12 月より開始された地上デジタル放送は、2006 年 12 月には全国の都道府

県庁所在地で放送が開始された。これに伴い地上デジタル放送に対応した様々な家電

製品が普及しつつある。これらの家電製品の大半は、様々なマルチメディア機能やネ

ットワーク接続機能が搭載された情報家電であり、2007 年 2 月にはこうした家電製

品を端末とした IP（Internet Protocol：インターネット・プロトコル）通信による情

報サービス「アクトビラ」が開始される等、動向が活発化している。今後は 2011 年 7 月に予定されている地上デジタル放送への完全移行に向けて、さ

5-12

らに低価格で多くの機能を搭載した地上デジタル放送対応の TV が普及する見込みで

ある。こうしたTVには放送波の受信機能の他に、IPを利用した通信機能が搭載され、

これらを利用したショッピングやオンライン・コンテンツ視聴等、双方向型サービス

の拡大が予想される。このため、今後の TV は、こうしたサービスのプラットフォー

ムとして位置づけられると予想される。国内における地上デジタル放送対応 TV の普及状況を表 5.4に示す。

表5.4 地上デジタル放送対応 TV 累積販売数

平成15年度末 450平成16年度末 2,050平成17年度末 5,182平成18年度末 9,637

累積販売数(千)時期

（※）平成18年度は1～11月まで（文献[3]より引用）

また TV と同様に DVD/HD DVD/Blu-ray/HDD レコーダ等の録画機器においても、

2011 年 7 月に予定されている地上デジタル放送への完全移行に向けて、地上デジタ

ル放送対応が進む見込みである。これに伴い各種録画機器の買い換え需要が増加する

と予想される。地上デジタル放送対応レコーダの市場を表 5.5に示す。

表5.5 地上デジタル放送対応レコーダ累積販売数

平成15年度末 -平成16年度末 -平成17年度末 891平成18年度末 2,398

累積販売数(千)時期

（※）平成18年度は1～11月まで（文献[3]より引用）

さらに、IPTV と呼ばれるインターネットや NGN（Next Generation Network：次

世代ネットワーク）を利用した映像配信サービスや、ビデオゲーム機のネットワーク

対応に伴う新たなマルチメディアサービスの普及等、国内における情報家電の裾野は

大きく広がりつつある。 ○ 海外の普及状況

地上デジタル放送は、イギリスが世界の先頭を切って 1998 年に始まり、現在では

5-13

日本を含めた 20 以上の国と地域で放送されている。このうち日本、アメリカ、韓国、

オーストラリア、カナダの五カ国ではハイビジョン放送を実施している。またブラジ

ルは日本と同じ放送方式の採用を基本決定し、中国は独自の放送方式を開発する等、

各国で対応が活発化している。こうした動きを受けて、各国でも日本と同様に、本調査の対象とした領域での情報

家電の普及が進んでいる。ただし通信インフラの状況（帯域、料金、サービス水準）

や代替サービス（CATV（Cable Television）等）の普及状況、また知的財産の取扱い

等は各国で異なる。そのため国や地域によっては IPTV や CATV の高度化といったア

プローチを採用し、それに応じて導入される機器が異なるケースも見られる。 ○ 政府の施策動向

政府は e-Japan 重点計画 2004[21]の中で地上デジタル放送の推進を重点項目とし

て採り上げ、現在総務省が中心となって取り組んでいる。例えば放送局に対しては地

上デジタル放送への対応を促進すべく様々な優遇措置を行っており、多くの放送局が

これに沿って放送準備を進めている。また 2011 年 7 月に予定されている地上デジタ

ル放送への完全移行に伴い、これまでの地上アナログ放送用の家電製品はそのままで

は使用できなくなる。このため政府は現在、従来の家電製品をデジタル放送に対応さ

せるための変換アダプタの配布や優遇措置を検討している。また 2006 年に発表された IT 新改革戦略[22]の中では、地上デジタル放送を利用し

たサービスの高度化や、テレビ番組のコンテンツ流通促進を目指した権利処理の簡易

化・迅速化対応の法制化を目指しており、同じく取り組みが進んでいる。 ○ 技術の動向

情報家電の技術動向としては、その内部アーキテクチャの近似性や通信インフラの

利活用を前提とするという特性上、現在パソコンに適用されているサービス技術が情

報家電にも適用されるようになると想定される。具体的には以下の２点が挙げられる。 ① 製品出荷後のソフトウェア更新が一般的になる多機能化に伴う開発作業の複雑化や、製品ライフサイクルの短期間化による開発期

間の制約から、ネットワーク接続機能をもつ情報家電では、製品出荷後の不具合改修

を目的としたソフトウェア更新機能が搭載されるようになる。また利用者のサポート

の一環として製品の機能の追加も行われるようになる。ソフトウェア更新のための

データを情報家電までに送り届ける方法として、インターネット経由と地上デジタル

放送波を利用する方法が考えられ、特にインターネット経由の場合は悪意の第三者に

よって改竄される可能性があるため、ソフトウェアの正当性検証が必要となる。

5-14

② 汎用 OS の採用進展情報家電の多機能化に伴う開発コストの問題や、アプリケーション開発への資源特

化等を背景に、製造メーカには独自 OS のみならず Windows CE[10]や Linux（CE Linux） [9]等の汎用組込み OS の採用が進んでいる。この場合、独自 OS よりも情報

が公開されているため攻撃の対象となりやすい。 ○ 情報通信の動向

情報家電に係る情報通信の動向としては、大別すると①通信インフラ、②ホームネ

ットワーク、③情報家電の通信規格、の３点が挙げられる。 ① 通信インフラ家庭で利用される各種ネットワークサービスは、以下の 3 つの通信インフラのいず

れかを介して提供されている。・放送系（地上放送、衛星放送、CATV 等のネットワーク）・電話系（既存の電話用のネットワーク）・パソコン系（インターネットに接続するネットワーク）インターネットとブロードバンドの普及によって、放送系インフラでインターネッ

ト接続、パソコン系インフラでテレビ放送の視聴、パソコン系インフラで電話の利用

等、各インフラの垣根は薄れ、各インフラの融合が進んでいる。情報家電が利用する

通信インフラとしては、放送系（地上放送、衛星放送、CATV 等）の他に、光ファイ

バや xDSL（x Digital Subscriber Line）、また WiMAX（Worldwide Interoperability for Microwave Access）等の無線アクセスによる広帯域ネットワークによるインター

ネット接続や地域 IP 網・NGN 等の閉域網サービスの利用促進が考えられる。特にい

わゆる広帯域インターネット利用は 2006 年 9 月現在、光ファイバが 715.5 万契約、

xDSL が 1349.6 万契約（総務省調べ）、合計 2065.1 万契約となり、世帯数の半数近

くに迫っており、この利活用が考えられる。 ② ホームネットワーク

2006 年秋の法改正により PLC[17],[18],[19]が解禁され、すでに対応機器が商品化

されている。また家庭内への無線 LAN 普及も進み、すでに新鋭のビデオゲーム機

には標準で無線 LAN インタフェースが搭載されている。したがって今後は、PLC や

無線 LAN がイーサネットに加えて情報家電の通信インフラとして使われるようにな

ると考えられる。一方、前項の通信インフラによって次世代インターネットの通信規格である IPv6

（Internet Protocol Version 6）の普及が予想される。これは「IPv4 アドレス枯渇問

題」[20]や VPN（Virtual Private Network）等のプライベートネットワーク技術の

利用拡大等によるもので、今後は IPv6 の家庭内利用も考えられる。IPv6 は NAT

5-15

（Network Address Translation）/NAPT（Network Address Port Translation）等

を介さない End-to-End 通信が原則となる。 ③ 情報家電の通信規格前項の物理層の動向に加え、その上での具体的な情報流通の方式を標準化する動き

も台頭している。代表的な規格には、マイクロソフトやインテル、また日本の家電メー

カ等によって検討が進む DLNA（Digital Living Network Alliance）[11]や HANA（High-Definition Audio-Video Network Alliance）[12]、UPnP（Universal Plug & Play）[11]、設備系由来の規格である ECHONET[14]や制御系由来の ZigBee[15]、IP 技術をベースとした m2m-x[16]等が挙げられる。但し、規格が乱立しており各規

格間の相互接続性はない。また、DLNA や HANA は対象を AV 家電のみに絞ってい

る。 ○ 民間サービスの動向

情報家電を活用した民間サービスとしては、以下の３点が挙げられる。 ① 地上デジタル放送対応 TV を介した EC 等の利用地上デジタル放送では、EC（Electric Commerce：電子商取引）や情報サービス等、

放送以外のサービス機能が用意されている。この際決済手段としてのクレジットカー

ド利用やコンテンツ利用時の本人確認・認証等が生じると考えられる。 ② 複数の情報家電同士の連携

DLNA や HANA において検討されているように、情報家電同士が共通のプロトコ

ルを利用することで、互いに連携するようになる。その際、情報家電は他の情報家電

から制御されたり、あるいは他の情報家電を制御したりするようになる。この場合、

制御の中心として期待されるのは TV で、利用者は TV を介して家庭内にある様々な

家電を制御するようになると考えられる。 ③ 利用者が外出先から自宅の情報家電の制御

INTAP（Interoperability Technology Association for Information Processing：財

団法人情報処理相互運用技術協会）情報家電サービス基盤フォーラム[34]における情

報家電リモート管理 SIG（Special Interest Group）において検討されているように、

利用者が外出先あるいは旅行先より携帯電話等のモバイル機器を介して自宅の情報家

電の管理や操作を行うようになる。このため、ネットワーク接続機能を有する情報家

電はこのための操作 UI（User Interface）を備えるようになると考えられる。あるい

は、リモート制御を実現するための専用機器がある。 5.2.2. 将来予測

経済産業省及び総務省では、近年急速に普及している情報家電のネットワーク化を

5-16

より一層推進するため、2005 年度に共同で「情報家電ネットワーク化に関する検討会」

（座長：石井威望東京大学名誉教授）を実施した。この中で、2010 年前後までの情報

家電の動向に関するロードマップがいくつかの要素とトレンドに沿ってまとめられて

いる（図 5.7）。

（文献[4]より引用）

図5.7 情報家電のロードマップ内部アーキテクチャについては、半導体の微細化・低消費電力化が進み、これによ

り多くの種類の機器により安価な形で CPU やマイコンが組み込まれていくと予想し

ている。また HDD 等のストレージ容量も拡大し、将来的にはホームサーバ用ストレー

ジが家庭内に浸透するものとしている。この流れは情報家電に適用すると、情報家電

の種類の多様化と価格低下による普及が促されることが予想される。特に同研究会で

は 2007 年～2008 年頃にその動向が加速すると予想しており、今後段階的に普及が進

むものと考えられる。また通信環境については、家庭外の高速ネット化がさらに進展し、近年中に光ファ

イバの普及拡大、さらに将来的にはギガビットネットワーク化すると予想している。

一方家庭内のネットワークもこれに伴い高速化し、将来的には 802.11n 等の高速無線

5-17

LAN やギガビットイーサネットが普及すると考えている。同研究会は、こうした普及の方向性をさらに加速させる要素として、DLNA 規格の

標準化や実装・普及、また ECHONET 機器等の増加を挙げている。そしてその結果

として、ハードウェアとしてはデジタル AV 機器やデジタル白物家電、またサービス

としてはコンテンツ系サービスとコントロール系サービス、それぞれが普及すると予

想している。 5.2.2.1. 3年後まで

○ 適用サービス

・ハードウェアの分野では、半導体の微細化・低消費電力化、ストレージ容量の拡

大が進み、情報家電の種類の多様化と価格低下による普及が促される。単体で従

来型のサービスを利用する基盤としては十分な機能や品質を有するようになり、

情報家電単体での普及が進む。・通信インフラの分野では、広帯域インターネットの普及が加速する。特に xDSL

から光ファイバへの乗り換え需要が顕在化し、双方向で高品質なサービス利用の

環境が加速する。・サービスの分野では、EPG（Electronic Program Guide：電子番組表）や簡単な

コンテンツの利用等、放送や映像サービスに付帯する機能を中心に通信を利用し

たサービス開発が進められる。・ソフトウェア更新やアプリケーションのアップグレード等も、一部では対応がは

じまるが、前述のサービスと同様にその利用はこの段階では限定的なものになる

と考えられる。 5.2.2.2. 3～5年後まで


・ハードウェアの分野では、半導体の微細化・低消費電力化、ストレージ容量の拡

大がさらに進み、ネットワーク接続機能がほとんどの家電製品に搭載される。規

格の標準化や共通化も進み、単体だけでなく情報家電同士の連携が進む。・通信インフラの分野では、光ファイバを基盤とした広帯域インターネットによる

双方向で高品質なサービス利用の環境が整い、外部からの接続・制御も本格化す

る。また NGN に代表されるキャリアの閉域網サービスが開始し、双方向型のサー

ビスやコンテンツサービスに利用され、サービス開発が進む。・サービスの分野では、放送や映像サービスに付帯する機能のみならず、ハードウ

ェアや通信インフラとのシームレスな連携がはじまり、ショッピング等のより高

度なサービス利用が進む。

5-18

・ソフトウェア更新による不具合修正や機能追加が一般的になる。 5.2.2.3. 5年後以降


・ハードウェアの分野では、ネットワーク接続機能がほとんどの家電製品の標準に

近い位置づけとなる。規格の標準化や共通化も進み、単体だけでなく情報家電同

士の連携がサービスの前提となる。・通信インフラの分野では、広帯域インターネットによる双方向で高品質なサービ

ス利用の環境が整い、外部からの接続・制御が一般化する。また NGN に代表さ

れるキャリアの閉域網サービスによる映像配信サービス等、放送の伝送路にも IPネットワークが利用され、サービスとのシームレスな連携が進む。

・サービスの分野では、ハードウェアや通信インフラとのシームレスな連携が一般

化し、ショッピング等のより高度なサービス利用が進む。・ソフトウェア更新による不具合修正や機能追加が情報家電の必須機能となる。 5.3. 情報家電の脅威と対策

5.3.1. 脅威の定義

本調査では、情報家電（リモコンを含める）を組込みシステム本体と捉え、これら

の組込みシステム上に存在する保護すべき情報資産に対する、「機密性」、「可用性」

及び「完全性」を脅かすものを脅威と定義する。脅威の分類には、2 章で説明を行っ

た、「漏洩」、「改竄」、「なりすまし」、「権限昇格」、「否認」、「DoS」の 6分類を使用している。情報家電におけるそれぞれの脅威の具体例を表 5.6に掲げる。なお、情報家電に関

する脅威の例については文献[24],[25]等を参考にした。

表5.6 情報家電における脅威の分類脅威説明例

漏洩（Information

disclosure）

悪意の第三者による情報家電上の情

報資産の読み出し、または情報家電

及びその他システム内の通信エンテ

ィティの間での通信の傍受。

第三者による個人情報、

コンテンツ読み出し等

改竄（Tampering）

改竄等。権利を持たない者による情

報家電上のデータ、ソフトウェアの

不正な変更、または情報家電とその

他システム内エンティティとの通信

データの変更。

情報家電上の設定の不

正な変更。

5-19

なりすまし（Spoofing）

悪意の第三者による ID 偽装等。情報家電に対する悪意の第三者によ

るアクセス。

所有者以外による操作、

あるいはリモートアク

セス

権限昇格（Elevation of

Privilege）

権限の昇格。情報家電へアクセスす

るエンティティによる権利の範囲を

超えた情報家電上の情報資産へのア

クセス。

読み出し権限のない情

報の読み出し・書き換え

等

否認（Repudiation）

利用者による組込みシステムや組込

みシステムに提供されるサービスの

利用とその否定。

コンテンツ配信・ダウン

ロードサービス享受を

否定される等 DoS （Denial of

Service）情報家電の利用の妨害。情報家電への大量アク

セス、通信路の輻輳等。

なお、情報家電の単純な窃盗・破壊等（対策例：設置場所の施錠、盗難防止用チェー

ン、監視カメラ、頑強な筐体等）は本章での検討の対象外とする。 5.3.2. 脅威マップと分析表

以下では、「5.1.3 情報家電の保護すべき情報資産」で整理した情報資産及び「5.1.2 情報家電のライフサイクル」で整理した組込みシステムのフローをもとに、脅威の分

類と対策の整理を実施する。なお、脅威マップの見方については、「2.3 マップのイ

メージ」を参照のこと。 ○ 保護すべき情報資産と脅威のリストアップ

「5.1.3 情報家電の保護すべき情報資産」で整理した、ライフサイクルの各段階に

おいて存在する情報資産に組込みシステム本体を加えたものを縦軸とし、脅威の発生

箇所（システム・アーキテクチャ内に存在するエンティティと通信路）を横軸として、

情報家電分野における保護すべき情報資産に対する脅威を整理した（図 5.8及び図

5.9）。その上で、事例調査等に基づいて、脅威への対策を整理している（表 5.7及び表 5.8）。

5-20

保護すべき情報資産

情報家電 – 運用段階

対象ライフ

サイクル

１２５６

情報家電(リモコンを含む)

ネットワークサーバ利用者記録メディア携帯端末

３４

Ａ

Ｂ

Ｃ

Ｄ

Ｅ

Ｆ

機器情報

ソフトウェア

コンテンツ

なりすまし

情報家電

全体（全体）

利用者情報


なりすましDoS

漏洩改竄

漏洩改竄

漏洩改竄

漏洩改竄

運用改竄漏洩

なりすまし

漏洩漏洩改竄

漏洩改竄

漏洩改竄

漏洩改竄

改竄漏洩

漏洩改竄

漏洩改竄

漏洩改竄

漏洩改竄

改竄漏洩

漏洩改竄

漏洩改竄

漏洩改竄

改竄漏洩

改竄

否認

ソフトウェアの状態データ

漏洩改竄漏洩改竄漏洩改竄漏洩改竄

G

図5.8 情報家電における脅威マップ（運用段階）

保護すべき情報資産

O

Ｈ

Ｉ

Ｊ

Ｋ

Ｌ

Ｍ

Ｎ

情報家電 – 開発・製造・廃棄段階

コンテンツ

ソフトウェア


製造

開発設計データ内部ロジック

廃棄


ソフトウェア

対象ライフ

サイクル

情報家電

利用者情報

機器情報

漏洩

漏洩

漏洩改竄

漏洩

漏洩

漏洩

情報家電

情報家電

改竄

漏洩

漏洩

１２５６

情報家電(リモコンを含む) ネットワークサーバ利用者記録メディア携帯端末

３４

図5.9 情報家電における脅威マップ（開発・製造・廃棄段階）

5-21

表5.7 情報家電における対策マップ（運用段階） ※表中の矢印は、脅威が重視される期間を示すものであり、脅威が存在する期間と一致するものではない。 ※１電気通信事業者が提供するネットワークのセキュリティ対策に関しては、総務省の「情報通信ネットワーク安全・信頼性基準」が参考となるが、組込みシステム本体のセキュリティ対策から離れるため詳細には触れない。 ※２サーバ上のセキュリティ対策に関しては、経済産業省の「情報システム安全対策基準」が参考となるが、組込みシステム本体のセキュリティ対策から離れるため詳細には触れない。 ※３携帯端末上のセキュリティ対策については、組込みシステム本体のセキュリティ対策から離れるため詳細には触れない。

脅威 No.

分類内容 3 年 5 年対策

A-1 なりすまし悪意の第三者に情報家電を不正利用される。ユーザ認証機能（パスワード、生体認証等）を導入する。

A-1 否認各種サービスの利用事実を利用者によって否定され

る。利用者による利用履歴を保存する。

電子署名や時刻証明等により利用事実の証拠を保存する。

A-4 DoS ネットワーク上のワームや不正ソフトウェアによっ

て情報家電が DoS 攻撃を受ける。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

A-5 なりすまし偽装されたサーバが、情報家電からの情報収集を行

う。情報家電において、サーバ認証を行う。

A-6 なりすまし悪意の第三者によって情報家電をリモート操作され

る。情報家電において、携帯端末認証を行う。

B-2 漏洩記録されたプライベートコンテンツが他人に視聴さ

れる。コンテンツあるいはメディア全体を暗号化する。コンテンツあるいはメディア全体にパスワードロックする。

B-2 改竄記録されたコンテンツを異なるコンテンツで置き換

えられる。コンテンツあるいはメディア全体を暗号化する。コンテンツあるいはメディア全体にパスワードロックする。

B-3 漏洩コンテンツデータが悪意の第三者に漏洩する。

アクセス制限機能、認証機能を設ける。暗号化して記憶領域に保存する。さらに、その暗号鍵を耐タンパー性のあるデバイス（セキュリ

ティチップ等）へ格納する。

B-3 改竄コンテンツデータが悪意の第三者によって改竄され

る。


ティチップ等）へ格納する。改竄チェック機能（チェックサム/ハッシュ関数/電子署名等）

を設ける。

B-4 漏洩ネットワーク上を流れるコンテンツデータが盗聴者

に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

5-22

脅威 No.


B-4 改竄ネットワーク上を流れるコンテンツデータが盗聴者

によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

B-5 漏洩サーバが情報家電より受け取ったコンテンツデータ

あるいは情報家電に配信するコンンテンツデータが

悪意の第三者に漏洩する。

組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

B-5 改竄サーバが情報家電より受け取ったコンテンツデータ

あるいは情報家電に配信するコンンテンツデータが

悪意の第三者によって改竄される。

組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

B-6 漏洩携帯端末が情報家電より受け取ったコンテンツデー

タが悪意の第三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

B-6 改竄携帯端末が情報家電より受け取ったコンテンツデー

タが悪意の第三者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

C-3 漏洩利用者情報が悪意の第三者に漏洩する。



C-3 改竄利用者情報が悪意の第三者によって改竄される。



を設ける。

C-4 漏洩ネットワーク上を流れる利用者情報が盗聴者に漏洩

する。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

C-4 改竄ネットワーク上を流れる利用者情報が盗聴者によっ

て改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

C-5 漏洩サーバが情報家電より受け取った利用者情報が悪意

の第三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

5-23

脅威 No.


C-5 改竄サーバが情報家電より受け取った利用者情報が悪意

の第三者に改竄よってされる。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

C-6 漏洩携帯端末が情報家電より受け取った利用者情報が悪

意の第三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

C-6 改竄携帯端末が情報家電より受け取った利用者情報が悪

意の第三者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

D-3 漏洩情報家電の機器情報が悪意の第三者に漏洩する。



D-3 改竄情報家電の機器情報が悪意の第三者によって改竄さ

れる。



を設ける。

D-4 漏洩ネットワーク上を流れる機器情報が盗聴者に漏洩す

る。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

D-4 改竄ネットワーク上を流れる機器情報が盗聴者によって

改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

D-5 漏洩サーバが情報家電より受け取った機器情報が悪意の

第三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

D-5 改竄サーバが情報家電より受け取った機器情報が悪意の

第三者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

D-6 漏洩携帯端末が情報家電より受け取った機器情報が悪意

の第三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

D-6 改竄携帯端末が情報家電より受け取った機器情報が悪意

の第三者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

5-24

脅威 No.


E-3 漏洩ソフトウェアの状態データが悪意の第三者に漏洩す

る。



E-3 改竄ソフトウェアの状態データが悪意の第三者によって

改竄される。



を設ける。

E-4 漏洩ネットワーク上を流れるソフトウェアの状態データ

が盗聴者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

E-4 改竄ネットワーク上を流れるソフトウェアの状態データ

が盗聴者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

E-5 漏洩サーバが情報家電より受け取ったソフトウェアの状

態データが悪意の第三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

E-5 改竄サーバが情報家電より受け取ったソフトウェアの状

態データが悪意の第三者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

E-6 漏洩携帯端末が情報家電より受け取ったソフトウェアの

状態データが悪意の第三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

E-6 改竄携帯端末が情報家電より受け取ったソフトウェアの

状態データが悪意の第三者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

F-3 漏洩ソフトウェアの設定データが悪意の第三者に漏洩す

る。



5-25

脅威 No.


F-3 改竄ソフトウェアの設定データが悪意の第三者によって

改竄される。



を設ける。

F-4 漏洩ネットワーク上を流れるソフトウェアの設定データ

が盗聴者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

F-4 改竄ネットワーク上を流れるソフトウェアの設定データ

が盗聴者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

F-5 漏洩サーバが情報家電より受け取ったソフトウェアの設

定データが悪意の第三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

F-5 改竄サーバが情報家電より受け取ったソフトウェアの設

定データが悪意の第三者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

F-6 漏洩携帯端末が情報家電より受け取ったソフトウェアの

設定データが悪意の第三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

F-6 改竄携帯端末が情報家電より受け取ったソフトウェアの

設定データが悪意の第三者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※3）。

G-3 漏洩ソフトウェアが悪意の第三者に漏洩する。



G-3 改竄ソフトウェアが悪意の第三者によって改竄される。



を設ける。

5-26

脅威 No.


G-4 漏洩ネットワーク上を流れるソフトウェアが盗聴者に漏

洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

G-4 改竄ネットワーク上を流れるソフトウェアが盗聴者によ

って改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※1）。

G-5 漏洩ソフトウェア更新のためのソフトウェアが悪意の第

三者に漏洩する。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

G-5 改竄ソフトウェア更新のためのソフトウェアが悪意の第

三者によって改竄される。組込みシステム本体のセキュリティ対策から離れるため省略

（※2）。

表5.8 情報家電における対策マップ（開発・製造・廃棄段階） ※ 表中の矢印は、脅威が重視される期間を示すものであり、脅威が存在する期間と一致するものではない。

脅威 No.


H-3 改竄情報家電の設計データが漏洩する。利用者による情報家電のハードウェア解析によって

内部ロジックが漏洩する。

設計データの情報管理体制を強化する。耐タンパー性を持つような回路設計（セキュリティチップ等の

採用を含む）を実施する。

I-3 漏洩情報家電に書き込むソフトウェアの設定データが漏

洩する。

ソフトウェアの設定データを蓄積するサーバやメディアに対す

る製造時の情報管理体制を強化する。製造現場でのソフトウェアの設定データを流す通信路やメディ

アを暗号化する。

5-27

脅威 No.


I-3 改竄情報家電に書き込むソフトウェアの設定データが改

竄される。

ソフトウェアの設定データを蓄積するサーバやメディアに対す

る製造時の情報管理体制を強化する。製造現場でのソフトウェアの設定データを流す通信路やメディ

アを暗号化する。ソフトウェアの設定データの改竄を検出できるような照合方式

（チェックサム/ハッシュ関数/電子署名等）を導入し、照合の

ためのデータをセキュリティチップ等の耐タンパー性のあるデ

バイスに格納する。

J-3 漏洩情報家電に書き込むソフトウェアが漏洩する。

ソフトウェアを蓄積するサーバやメディアに対する製造時の情

報管理体制を強化する。製造現場でのソフトウェアを流す通信路やメディアを暗号化す

る。リバースエンジニアリング対策を行う。

J-3 改竄情報家電に書き込むソフトウェアが改竄される。

ソフトウェアを蓄積するサーバやメディアに対する製造時の情

報管理体制を強化する。製造現場でのソフトウェアを流す通信路やメディアを暗号化す

る。リバースエンジニアリング対策を行う。ソフトウェアの改竄を検出できるような照合方式（チェックサ

ム/ハッシュ関数/電子署名等）を導入し、照合のためのデータ

をセキュリティチップ等の耐タンパー性のあるデバイスに格納

する。

K-3 漏洩廃棄時に消去されることなく情報家電内に残ったコ

ンテンツデータが漏洩する。

暗号化して記憶領域に保存する。さらに、その暗号鍵を耐タンパー性のあるデバイス（セキュリ

ティチップ等）へ格納する。廃棄時に削除できる装置の仕様と、その廃棄手順を徹底する。規定時間経過後に電源が投入された場合に、自動的に記憶領域

の内容を削除するような実装にする。

5-28

脅威 No.


L-3 漏洩廃棄時に消去されることなく情報家電内に残った利

用者情報が漏洩する。




M-3 漏洩廃棄時に消去されることなく情報家電内に残った機

器情報が漏洩する。




N-3 漏洩廃棄時に初期化されることなく情報家電内に残った

ソフトウェアの設定データが漏洩する。




O-3 漏洩廃棄時に情報家電内に残ったソフトウェアがリバー

スエンジニアリング等により漏洩する。




5-29

前記図表に基づいて、情報家電の脅威と対策について分析を行う。 5.3.2.1. 脅威と対策の想定（3年後まで）

3 年後までにおいては、ネットワーク接続機能が搭載されるのは一部の種類の家電

にとどまると想定される。また情報家電同士の通信規格や共通化も進められるが、情

報家電同士の連携は、当面 AV 機器のみの限定的な範囲に留まる。このため情報家電

同士の連携に伴って発生する脅威も限定的になると考えられる。一方、情報家電がインターネットを介して外部のサーバと接続し、様々なサービス

が広がると考えられ、遠隔の携帯端末からの情報家電の制御等も行われるようになる

と想定される。これに伴い情報家電に対する外部からのアクセスとネットワーク上に

おけるセキュリティ確保が重要になる。このため、情報家電に認証機能が導入された

り、外部との通信を暗号化する等の対策が取られるようになると考えられる。また、情報家電ではソフトウェア更新機能が一般的に搭載され、地上デジタル放送

機器を初めとして自動でソフトウェア更新が実行される（ただし一部には利用者によ

る手動のソフトウェア更新もあり得る）。ソフトウェア更新は、インターネット経由

で行う場合も存在し、ソフトウェア配布サイトの乗っ取りやハッキング等でトロイの

木馬を組込む等不正に改造されたデータでソフトウェア更新が実行される可能性があ

り、対策としてソフトウェアの正当性チェックや機器内部のソフトウェアの改竄チェ

ック等が必要になると考えられる。さらに、情報家電メーカでは高機能化と共に増大する開発コストを抑えるべく、独

自開発ではなく共通化された OS が用いられ始めると考えられる。これを狙うウィル

スやワームが頻繁に発生するようになると想定される。これにより、情報家電が攻撃

者になる等の二次的被害の発生が懸念される。このため、パソコンと同様のセキュリ

ティ対策を施し、常に新のセキュリティ確保することが求められるようになると考

えられる。家庭内ネットワークには、有線ネットワークとして従来のイーサネットに加え、

PLC も普及し始める。PLC は、電力線を介した盗聴も考えられるため、通信自体を

暗号化する対策等も取られるようになると考えられる。また、無線ネットワークとし

て Wi-Fi 等の無線 LAN の利用も拡大する。無線 LAN は、悪意の第三者による傍受の

危険が想定される。さらに Wi-Fi の WEP（Wired Equivalent Privacy）キー等、無

線 LAN における暗号化設定が未設定或いはデフォルト値のままで利用されてしまう

ことが想定され、利用者に設定を促す等の対策をとる必要がある。情報家電本体とは別に、家電メーカの社屋や工場等から、企画、開発段階で作成さ

れた暗号鍵等の機密情報が記載されている仕様書や設計書が持ち出され、その携帯電

話の機密情報が漏洩する懸念があり、このための対策として製造メーカ社内における

5-30

情報統制等の対策がなされると考えられる。上記の整理と、図 5.8、図 5.9、表 5.7から、3 年以内の情報家電に関する脅威は以

下のように整理を行った。 ○ 漏洩（表5.7 B-2～6, C-3～6, D-3～6, E-3～6, F-3～6, G-3～5、表5.8 H-3, I-3,

J-3, K-1, L-1, M-1, N-1, O-1）

情報家電上で動作するソフトウェアとその動作時に必要とするソフトウェアの設

定・機器情報・利用者情報には、個人情報や利用者本人しか知り得ない情報が含まれ

ており、本報告書における他分野にも共通なソフトウェアの脆弱性に関する対策をと

る必要がある。特に、設計情報やリバースエンジニアリングやネットワーク上に流れ

るデータから得られる情報は多く、この点に関する基本的な対策を講じる必要がある。さらに、コンテンツも有料コンテンツであれば漏洩することでコンテンツ制作会社

の損害となり、プライベートコンテンツであれば漏洩することで利用者のプライバシ

が著しく損なわれることが想定される。このためコンテンツについても他の情報と同

様の対策を取る必要がある。 ○ 改竄（表5.7 B-2～6, C-3～6, D-3～6, E-3～6, F-3～6, G-3～5、表5.8 I-3, J-3）

改竄は前述の漏洩で得られる情報を元に行われることが多い。改竄が行われるとそ

の二次的被害として、情報家電自体が攻撃者となってしまうこともあり得る。改竄に

対する対策としては、まず漏洩に対する対策を行う必要がある。その上で、改竄され

たソフトウェアやハードウェアを検出し、実行を停止するような仕組みが必要となる。

特に重要な情報については、耐タンパー性のあるセキュリティチップに格納し、解析

や改竄ができないようにすることが考えられる。 ○ なりすまし（表5.7 A-1, A-5～6）

悪意の第三者による情報家電の利用、不正なサーバによる偽装されたサービス提供、

悪意の第三者による携帯端末からのリモート操作を「なりすまし」と定義している。

なりすましにより、情報家電内部の情報を不正に取得されたり、改竄されたりする脅

威が想定される。なりすましを防ぐには、利用者や機器間での認証（生体認証、パス

ワード認証、証明書等）が有効である。 ○ 否認（表5.7 A-1）

否認については、利用者が有料コンテンツをサーバからダウンロードする、あるい

はリアルタイムで視聴する等した後に、その事実を利用者によって否定されることを

想定している。これを防ぐには、コンテンツを提供しているサーバにおいて、詳細な

5-31

ログを残すことが有効である。さらに、電子署名や時刻認証等によってコンテンツ利

用の事実を確実に証明できる仕組みを設けることも有効である。 ○ DoS（表5.7 A-4）

DoS については、情報家電に対して、ネットワークから攻撃がある可能性を想定し

ている。ネットワークからの DoS 攻撃については、一般的なネットワークの DoS 対

策が参考となる。 5.3.2.2. 脅威と対策の想定（3～5年後まで）

3～5 年後においては、ほとんどの家電にネットワーク接続機能が搭載されると想定

され、さらに情報家電同士の通信規格や共通化も進むことでネットワーク接続機能を

搭載した家電同士の連携が進むと考えられる。これに伴い、悪意の第三者に乗っ取ら

れた情報家電から家庭内にある他の情報家電をコントロールされてしまうことで、情

報家電が意図しない動作をしたり、乗っ取りによる被害が拡大することが考えられる。このため、情報家電同士の相互認証や情報家電同士で改竄がされていないことをチ

ェックするしくみを構築する等、家庭内ネットワークにおける高度なセキュリティ対

策が必要となる。また、規格が共通化されることで、パソコン上で発生しているよう

な脅威が発生し始める。このため、パソコンと同等のセキュリティ対策が求められる

ようになる。また、多くの家電がネットワーク接続機能を持つことで、ソフトウェア更新の対象

となる家電も増え、個々の家電毎に利用者が操作しなくても一括で家中の全ての家電

のソフトウェア更新を実行できる仕組みや、家電が自律的にソフトウェア更新を実行

できる仕組みが必要になると考えられる。その一方で、インターネット経由で実行さ

れるソフトウェア更新の場合は、ソフトウェアの正当性チェックや機器内部のソフト

ウェアの改竄チェック等が必要になる。さらに、地上デジタル放送対応 TV を介してショッピングやコンテンツ利用される

ようになり、住所、氏名、クレジットカード番号等の重要情報が情報家電上に保存さ

れるようになる。このため、保存データに対しても暗号化して保存する等の対策が必

要になり、そのようなデータを扱う通信では暗号化されていない場合に漏洩の危険性

があるための対処を行う必要がある。一方、情報家電メーカではさらなる高機能化と共により一層増大する開発コスト抑

えるべく OS に加えて、ミドルウェアも独自開発ではなく汎用化されたものを用いる

ようになると考えられ、これを狙うウィルスやワームが頻繁に発生するようになると

想定される。このため、情報家電の制約条件（パフォーマンス、メモリ量等）下で、

パソコンと同等水準のセキュリティ対策を施し、常に新のセキュリティ確保するこ

5-32

とが求められるようになると考えられる。また、家庭内ネットワークは無線 LAN や PLC が主流となり、悪意の第三者による

傍受の危険が想定される。パスワード設定が可能でも、デフォルト値のまま利用され

てしまう可能性があるため、家庭内ネットワークの種別とそのセキュリティ機能に依

存しない安全な通信プロトコルが必要になると考えられる。一方外部サーバへの接続については、NGN の普及にともなって安全な通信キャリ

アの閉域網内でのみ通信が行われるようになるパターンが出てくると想定され、外部

ネットワーク又は外部サーバにおける脆弱性は減少し始めることが想定される。上記のように整理した場合における 3～5 年後までの情報家電に関する脅威は以下

のようになる。有料コンテンツの内容やプライベートコンテンツ等個人の嗜好や視聴履歴の追

跡、またその結果によるプライバシの侵害。特定の端末プラットフォーム（OS に加えてミドルウェアも）を狙った攻撃が増

加し、内部データの漏洩や改竄、改竄に伴う機能停止の発生。 5.3.2.3. 脅威と対策の想定（5年後以降）

脅威と対策としては、5 年以内のものも同様に存在するが、コンテンツデータの安

全性確保がさらに認識され、コンテンツを所有者以外視聴できないようにする仕組み

が必要になってくると想定される。情報家電そのものだけではなく、情報家電を遠隔から操作する携帯端末におけるセ

キュリティが重要になってくると考えられる。そして、NGN の普及と NGN の提供

する安全な通信路を利用したサービスの増加に伴って、相対的に家庭内ネットワーク

における情報家電のセキュリティ対策が重要になってくると想定される。 5.4. 情報家電分野付録

5.4.1. 情報家電の事例

情報家電関係の事例について、以下に挙げる。事例については、「脅威」、「対策」、

「研究開発」の 3 つに分類し、それぞれ「T」、「M」、「R」の頭文字を付けた通し

番号で識別するようにした。 ○ 情報家電のセキュリティに関する脅威の事例

【事例T1】ハードディスクレコーダが踏み台にされる[26],[27],[28],[29] Web 画面による録画予約の機能を持つある機種のハードディスク DVD レコーダ

に anonymous proxy として動作してしまう脆弱性が存在し、インターネットに接続

されたこのレコーダが、特定の電子掲示板に対するコメントスパムの踏み台にされる

5-33

といった事例が発生している。このハードディスク DVD レコーダメーカでは、イン

ターネットに直接接続されることを想定しておらず、ハードディスク DVD レコーダ

はパスワード認証等のアクセス制限なしの設定にすることが可能であった。このメー

カでは、図 5.10に示すように利用者に対してソフトウェア更新もしくはセキュリティ

設定の変更を行うよう呼びかけると共に、セキュリティ設定が危険な形に設定できな

いよう、企画の基本方針から変更することを明らかにした。


図5.10 ハードディスクレコーダの事例における改修方法 ○ 情報家電のセキュリティに関する対策の事例

【事例M1】 Web アクセス認証機能[26],[27],[28],[29] 【事例 T1】であげた HDD レコーダでは、HDD に対する Web アクセスに対して、

パスワード認証機能が搭載されている。 ○ 情報家電のセキュリティに関する研究開発の事例

【事例R1】 TCG（Trusted Computing Group）[30],[31] TCG は、信頼できるコンピュータプラットフォームを構築するための、ハードウェ

ア、ソフトウェアの業界標準仕様の開発、普及を目的とした団体である。ソフトウェ

アは常に改竄や偽造の恐れがあり、ソフトウェアで実現される信頼性には自ずと限界

がある。その限界を克服するため、TPM（Trusted Platform Module）と呼ばれるセ

キュリティチップが TCG では定義されている。TPM に基づく信頼を実現することに

より、初めて信頼可能なプラットフォームが実現する。【事例R1】セキュアな次世代 OS 環境の開発[32],[33]

OS の脆弱性をついた攻撃や情報漏洩等の問題に対処するため、政府は OS から独

立した形でセキュリティ機能を実装した「次世代 OS 基盤環境の確立」を目指して産

5-34

官学共同での開発を開始することになった。開発を行うのは仮想的なマシン環境であ

る VM（Virtual Machine：仮想マシン）で、VM を稼働させるための小限の OS 機

能も開発する。これらを「セキュア VM」として産官学が共同で開発、2008 年度の終

わりには完成させ、まずは政府機関内で利用する。その後、OSS（Open Source Software：オープンソースソフトウェア）として無償で公開する予定。


図5.11 セキュア VM の開発内容【事例R2】情報家電サービス基盤フォーラム情報家電機器認証 SIG[34],[35],[36] ホームネットワークに接続される情報家電機器の特性や利用形態に配慮し、マルチ

ベンダでオープンなネットワーク環境において利用可能な共通の機器認証方式・標準

技術に関する以下の検討が行われている。主な課題は以下の通りである。 ① 機器認証技術の機能要件と応用範囲（利用シーン、利用プロセス等） ② 機器認証技術の評価（セキュリティ、個人情報保護、使い勝手等の視点から） ③ 共通仕様（通信プロトコル、API（Application Program Interface）等）の妥当

性評価 ④ 仕様や開発技術の公開方法、標準化・普及方法について

5-35


図5.12 情報家電サービス基盤フォーラム情報家電機器認証 SIG 検討内容【事例R3】情報家電サービス基盤フォーラム情報家電リモート管理

SIG[34],[35],[37] 様々なサービスポータルと家庭内のデジタル情報機器を制御するリモート管理コ

ントローラ間において、デジタル情報機器が出力する故障・障害イベント、ログの送

受信、リモート操作のコマンド（収集・分析・対策・配布等）発行、管理ソフトウェ

アの動的更新等を統一的に処理可能とする高信頼（到達保証、セキュア等）なリモー

ト管理プロトコル仕様に関して検討が行われている。主な課題は以下の通りである。 ① サーバや家庭外の端末と家庭内のデジタル情報機器との間で情報を送受する高信

頼リモート管理プロトコル仕様 ② 家庭内機器へのリモートアクセス制御のための機器利用権仕様 ③ 上記２つの仕様に基づく省エネサービスのプロトタイプシステムの動作検証 ④ 前記検証結果に基づいた仕様の改良・強化 ⑤ 高信頼リモート管理プロトコル仕様の公開方法、標準化・普及方法について

5-36


図5.13 情報家電サービス基盤フォーラム情報家電リモート管理 SIG 検討内容 5.4.2. 参考文献

[1] 総務省デジタル情報家電のネットワーク化に関する研究会, “デジタル情報家

電のネットワーク化に関する研究会報告書”, 2004 年 08 月, http://www.soumu.go.jp/s-news/2004/040827_11_b2.html

[2] 経済産業省情報家電ネットワーク化に関する研究会ウェブサイト, http://www.meti.go.jp/policy/it_policy/committee/index.html#03

[3] 社団法人電子情報技術産業協会, “統計データ” ウェブサイト, http://www.jeita.or.jp/japanese/stat/digital/2006/index.htm

[4] 総務省, “報道資料「情報家電ネットワーク化に関する検討会」中間取りまと

めの公表”, 2005 年 07 月, http://www.soumu.go.jp/s-news/2005/050720_5.htm

[5] 独立行政法人新エネルギー産業技術開発機構, “電子・情報技術ロードマップ

2006”, 2006 年 5 月, http://www.nedo.go.jp/denshi/roadmap/ [6] 社団法人地上デジタル放送推進協ウェブサイト, http://www.d-pa.org/ [7] INTAP, ”平成17年度ユビキタス情報家電ネットワークに関する調査研究報告

書”, 2006 年 03 月, http://www.net.intap.or.jp/INTAP/information/report/17-ubiquitous-report_r.pdf

[8] INTAP, “INTAP ジャーナル”, No.66, 2004 年 11 月, http://www.net.intap.or.jp/INTAP/information/journal/66.pdf

[9] CE Linux ウェブサイト, http://www.celinuxforum.org/ [10] Windows CE ウェブサイト,

http://www.microsoft.com/japan/windows/embedded/ce/ [11] DLNA（Desital Living Netwok Alliance）ウェブサイト,

5-37

http://www.dlna.org/jp/industry/ [12] HANA（High-Definition Audio-Video Network Alliance）ウェブサイト,

http://www.hanaalliance.org/ [13] UPnP FORUM ウェブサイト, http://www.upnp.org/ [14] ECHONET CONSORTIUM ウェアブサイト, http://www.echonet.gr.jp/ [15] ZigBee Alliance ウェアブサイト, http://www.zigbee.org/en/index.asp [16] m2m-x ウェブサイト, http://www.v6.ntt.net/06_01m2mx.html [17] 高速電力線通信推進協議会ウェブサイト, http://www.plc-j.org/ [18] HomePlug Powerline Alliance ウェブサイト,

http://www.homeplug.org/en/index.asp [19] Consumer Electronics Powerline Communication Alliance ウェブサイト,

http://www.ce パソコン a.org/home [20] JPNIC, “IPv4 アドレスの枯渇に向けた提言報告書”, 2006 年 04 月,

http://www.nic.ad.jp/ja/research/ipv4exhaustion/ [21] 首相官邸 IT 戦略本部, “e-Japan 重点計画– 2004”, 2004 年 06 月,

http://www.kantei.go.jp/jp/singi/it2/kettei/ejapan2004/040615honbun.html [22] 首相官邸 IT 戦略本部, “IT 新改革戦略”, 2006 年 01 月,

http://www.kantei.go.jp/jp/singi/it2/kettei/060119honbun.pdf [23] 首相官邸 IT 戦略本部重点計画 – 2006, 2006 年 07 月,

http://www.kantei.go.jp/jp/singi/it2/kettei/060726honbun.pdf [24] 総務省次世代 IP インフラ研究会セキュリティワーキンググループ, “第３回

会合配付資料：ネット家電のインターネット接続に伴うセキュリティの確保

について”, 2005 年 2 月, http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/jise_ip/pdf/050217_1_s1.pdf

[25] 総務省次世代 IP インフラ研究会セキュリティワーキンググループ, “第３回

会合配付資料：情報家電機器認証技術”, 2005 年 2 月, http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/jise_ip/pdf/050217_1_s2.pdf

[26] IPA, “組込みソフトウェアを用いた機器におけるセキュリティ”, 2006年05月, http://www.ipa.go.jp/security/fy17/reports/vuln_handling/documents/booklet_manager.pdf

[27] 株式会社東芝, “HDD&DVD ビデオレコーダーRD-XS40, RD-X3, RD-XS31, RD-XS41, RD-XS41KJ-CH869, RD-X4, RD-X4EX, RD-XS43, RD-XS53, RD-XS34 ご購入のお客様へ＜お知らせ：セキュリティ設定のお願い＞”, 2004

5-38

年 10 月, http://www.rd-style.com/support/info/security/security.htm [28] JP Vendor Status Notes, “JVN#E7DDE712 東芝製 HDD&DVD ビデオレ

コーダーへ認証なしでアクセス可能”, 2004 年 10 月, http://jvn.jp/jp/JVN%23E7DDE712/index.html

[29] NS 総研, “デジタル家電セキュリティ前線”, 2006 年 04 月 [30] INTAP デジタル情報機器のセキュリティに関する調査研究, “平成１６年情

報家電セキュリティ調査報告書 TCG（Trusted Computing Group）動向調査”, 2005 年 03 月, http://www.net.intap.or.jp/INTAP/information/report/16-Digital_Appliance-report.pdf

[31] Trusted Computing Group ウェブサイト, https://www.trustedcomputinggroup.org/

[32] 内閣官房情報セキュリティセンター, “報道資料「高セキュリティ機能を実現

する次世代ＯＳ環境の開発について」”, 2006 年 5 月, http://www.nisc.go.jp/press/pdf/securevm.pdf

[33] MYCOM ジャーナル, “政府がセキュアな次世代 OS 環境の開発に着手 - VMで安全性確保へ”, 2006 年 5 月, http://journal.mycom.co.jp/news/2006/05/23/382.html

[34] INTAP, “情報家電サービス基盤フォーラムの活動内容”, 2006 年 2 月, http://net2.intap.or.jp/SPIA/press_release_20060201a2.pdf

[35] INTAP 情報家電サービス基盤フォーラム技術会議ウェブサイト, http://net2.intap.or.jp/SPIA/spia_tec.htm

[36] INTAP 情報家電サービス基盤フォーラム情報家電機器認証 SIG ウェブサ

イト, http://net2.intap.or.jp/SPIA/sig1_iaa.htm [37] INTAP 情報家電サービス基盤フォーラム情報家電リモート管理 SIG ウェ

ブサイト, http://net2.intap.or.jp/SPIA/sig2_iarm.htm

Documents

＜目次＞ - IPAこの場合、システムモデルは図5.1において、サーバをTV 局、ネットワークを地 上デジタル放送網とし、サーバから情報家電への一方向通信しかできないと考えれば

＜目次＞ - IPAこの場合、システムモデルは図5.1において、サーバをTV 局、ネットワークを地上デジタル放送網とし、サーバから情報家電への一方向通信しかできないと考えれば