20141127「セキュアに”つながる”製品設計講座」 組込みシステムセキュリティと研究動向 いますぐ始められること 松原 豊 名古屋学学院情報科学研究科 附属 組込みシステム研究センター 助教 Web: http://www.ertl.jp/yutaka/ Email: [email protected] 1
2014年年11⽉月27⽇日「セキュアに”つながる”製品設計講座」組込みシステムセキュリティ⼊入⾨門と研究動向
〜~いますぐ始められること〜~
松原 豊名古屋⼤大学⼤大学院情報科学研究科
附属 組込みシステム研究センター 助教Web: http://www.ertl.jp/~∼yutaka/
E-‐‑‒mail: [email protected]
1
本資料料について
⽬目次• 組込みシステムセキュリティ概論論• 組込みシステムセキュリティの確⽴立立に向けた取組み(製品設計における活動を中⼼心に)
• すぐに始められること• まとめ参考⽂文献• 本資料料では,組込みシステムのセキュリティ取組みガイドブックを参照している箇所があります
2
→ガイドブック p.XX
組込みシステムセキュリティ概論論
3
組込みセキュリティが注⽬目されている背景
組込みシステムの⾼高機能化・ネットワーク化• 製品,サービスの多様化により,ネットワークに繋がる組込みシステムが増加
• 独⾃自開発ではなく既存技術の転⽤用が増加• OS,TCP/IPスタック,USBスタックなど→セキュリティの脅威が及ぶ
セキュリティの問題が安全性にも影響• 安全性を確保する活動が浸透し,機能安全国際規格も広く普及しつつある
• 制御システムの安全性を確保するためには,セキュリティ対策を無視できない→安全性とセキュリティの両⽴立立への要求が⾼高まる
4
組込みシステムに対するセキュリティの脅威
5
情報家電
⾃自動⾞車車
医療療機器
産業ロボット
http://www.autoblog.com/2014/07/18/auto-‐‑‒industry-‐‑‒deals-‐‑‒with-‐‑‒hacking-‐‑‒cyber-‐‑‒threats/
http://www.iec.ch/etech/2014/etech_̲0614/ca-‐‑‒1.htm
http://www.theregister.co.uk/2011/10/27/fatal_̲insulin_̲pump_̲attackhttp://www.insurancejournal.com/news/international/2014/07/18/335214.htm
⾃自動⾞車車制御システムに関する脅威の⼀一例例
• ⽶米国ワシントン⼤大学 Kohno 准教授らは,2010年年に⾃自動⾞車車内から⾃自動⾞車車制御システムへの攻撃を実証
• 2011年年,⾞車車外から攻撃できる侵⼊入経路路を調査し,3G携帯電話,CDプレーヤ等の脆弱性を使⽤用した侵⼊入経路路の実証に成功
6
引⽤用:2011 年年度度⾃自動⾞車車の情報セキュリティ動向に関する調査http://www.ipa.go.jp/files/000024413.pdf
※対象は⽶米国⾞車車
組込みシステムセキュリティ対応の現状
セキュリティ専⾨門家,技術者不不⾜足• 組込みシステム技術,安全に関する技術者・知⾒見見者は,(他業界に⽐比べて)多いと思われるが,セキュリティの技術者はまだ少ない
• 組込みシステムの知識識を持つセキュリティ専⾨門家が少ない• 情報セキュリティ,特定の技術(暗号,チップ等)の研究者,専⾨門家は多いが…
国際規格整備の遅れ• 安全性,情報セキュリティの国際規格はすでに普及段階にある
• 組込みシステムのセキュリティ,安全性+セキュリティの規格は議論論・検討段階
7
→ガイドブック p.36
コンピュータシステムのセキュリティとは?
コンピュータシステムのセキュリティ• コンピュータシステムの災害,誤⽤用および不不正な利利⽤用から,システムに含まれるハードウェア,ソフトウェア,情報などの機密性、完全性、可⽤用性を維持すること
• 物理理的なセキュリティと区別して,サイバーセキュリティと呼ばれることもある
○○のセキュリティ• 守る対象によって様々なセキュリティが考えられる• オンライン取引のセキュリティ• ⾃自動⾞車車制御システムのセキュリティ• ⼯工場の⾃自動組⽴立立システムのセキュリティ→⼀一般には,コンピュータシステムの情報に関するセキュリティ(情報セキュリティ)が扱われることが多い
8
サイバーセキュリティの脅威の変遷
9引⽤用:「2014年年版 10⼤大脅威」https://www.ipa.go.jp/files/000037684.pdf
情報セキュリティの定義と基本的な性質
情報セキュリティの定義(JIS Q 27001:2005)• 情報の機密性,完全性及び可⽤用性を維持すること• さらに,真正性,責任追跡性,否認防⽌止及び信頼性のような特性を維持することを含めてもよい
機密性(Confidentiality)• 認可されていない個⼈人,エンティティ(実体のあるもの)またはプロセスに対して,情報を使⽤用不不可または⾮非公開にする特性
完全性(Integrity)• (情報)資産の正確さ及び完全さを保護する特性可⽤用性(Availability)• 情報へのアクセスを認められた者が,必要時に,中断することなく,情報及び関連資産にアクセスできる状態を確保すること
10
→情報セキュリティで満たすべき基本的な性質をまとめてCIAと呼ぶ
情報セキュリティの性質
真正性(authenticity)• ある主体または資源が,主張どおりであることを確実にする特性.利利⽤用者,プロセス,システム,情報などのエンティティに対して適⽤用する責任追跡性(accountability)• あるエンティティの動作が,その動作から動作主のエンティティまで⼀一意に追跡できることを確実にする特性否認防⽌止(non-‐‑‒repudiation)• ある活動または事象が起きたことを,後になって否認されないように証明する能⼒力力信頼性(reliability)• 意図した動作及び結果に⼀一致する特性
11
IEC 62443におけるセキュリティの定義
1. システムを守るために取られる対策2. システムを守るための対策を構築して保守した結果,得られるシステムの状態
3. システムの資源に対する,未許可のアクセス,変更更,破壊,損失がない状態
4. コンピュータシステムにより,以下を提供することができる能⼒力力• 許可されていない⼈人物やシステムが,ソフトウェアやそのデータを変更更することができない
• システムの機能にアクセスする権限を不不正に獲得することができない
• 許可された⼈人物やシステムを拒否しない5. 産業⾃自動制御システムに対して,違法もしくは不不正な侵⼊入,意図した運⽤用への⼲干渉を防⽌止すること
12
参考:IEC 62443-‐‑‒1-‐‑‒1:2009→情報以外の資産も対象となる
安全性とセキュリティで違うところ
13
安全性 セキュリティ
対象範囲
• 開発したシステム• 開発者が⾃自⾝身の範囲で対応• 内部者,第三者は信⽤用できる(リスクを低減する⾏行行動を取る)
• 開発したシステム• 第三者の意図が含まれる(脅威には何らかの意図がある)
性質を保証できる状態
• 安全状態がある • セキュア状態は存在しない• 脅威はなくならない(時代とともに増加すると考えるべき)
対策への要求レベル指標
• SIL(Safety Integrity Level)
• SAL(Security Assurance Level)
• TAL(Trust Assurance Level)
国際規格
• グループ規格に加えて分野ごとの規格が整いつつある
• 情報セキュリティに関しては⻑⾧長い(例例えばCCがある)
• 組込みセキュリティに関しては,まだこれから
組込みシステムセキュリティの確⽴立立に向けた取組み〜~製品設計における活動を中⼼心に〜~
14
⾝身近な例例:ホームセキュリティ
15
引⽤用:http://www.security-‐‑‒daiwa.co.jp/kikai_̲online_̲home_̲wireless.html
何を守る?
侵⼊入ルートは?
重点的に対策すべきなのはどこ?
対策費⽤用はいくら?
10年年前のシステムって意味ある?
製品の開発段階におけるセキュリティ確保の取組み
16
資産の特定
脅威分析
リスク評価リスクを低減する対策を追加
セキュリティ要求仕様の策定
リスクを許容可能か?
対象システムの特定
課題• 脅威をどう網羅羅的に分析するのか?• 分析の負荷が⾼高い
課題• リスクをどう定量量的に評価するか?
設計・実装⼯工程へ
組込みシステムでは,情報だけでなく利利⽤用者の安全性も資産になりうる
Yes
No
→ガイドブック p.14
基本⽤用語の関係性
17
所有者
脅威エージェント
対策
リスク
資産脅威発⽣生させる
⽤用意する
影響を及ぼす
低減する
増⼤大する
最⼩小化することを望む価値を⾒見見出す
影響を及ぼす
不不正使⽤用/破壊を望む
脆弱性把握する可能性あり引き起こす
利利⽤用する
有する可能性あり減らされる可能性あり
参考:ISO 15408:2005
基本⽤用語:資産(asset)
• ある組織の管理理義務の元におかれている,物理理的もしくは論論理理的なもの
• その組織において価値があると考えられている,もしくは実際に価値があるもの
18
資産区分 例例
情報データベース及びデータファイル,システム関連⽂文書,ユーザマニュアル,訓練資料料,⼿手順書,計画書,代替⼿手段の⼿手配,記録保管された情報
ソフトウェア資産 業務⽤用ソフトウェア,システムソフトウェア,開発⽤用ツール及びユーティリティ
物理理的資産コンピュータ装置(プロセッサ,ラップトップ),通信装置(ルータ,ファクシミリ,留留守番電話),磁気媒体,電源,空調装置,什什器
サービス 計算処理理及び通信サービス,⼀一般ユーティリティ(例例えば,暖房,照明,電源,空調)⼈人 保有する資格,技能,経験無形資産 組織の評判,イメージ
JIS Q 27002:2006
基本⽤用語:リスク(risk)
19
• ある脅威が,ある影響をもつ脆弱性を攻撃する確率率率として表現される損失の期待値
計算⽅方法リスク = 資産価値 × 脅威の⼤大きさ × 脆弱性の存在 = 深刻度度 × 脅威の発⽣生確率率率 × 脅威の成功確率率率
• リスク値を計算すると,リスクを定量量的に評価し,対策の必要性,優先度度を決めることができる
• ただし,実際に計算するのは難しい• 例例えば,脅威の発⽣生確率率率はどう計算するか?
基本⽤用語:脅威(threat)
• セキュリティ違反の潜在的な可能性• セキュリティを破る,または危害の原因となりうる,状況,能⼒力力,振舞い,イベントがあるときに存在するもの
20
脅威の分類 例例
⼈人為的脅威 意図的脅威 攻撃(不不正侵⼊入,ウイルス,改ざん,盗聴,なりすまし,など)偶発的脅威 ⼈人為的ミス(ヒューマン・エラー),障害
環境的脅威 環境的脅威 災害(地震,洪⽔水,台⾵風,落落雷雷,⽕火事,など)
基本⽤用語:脆弱性(vulnerability)
• システムの,完全性またはセキュリティポリシの違反に繋がりうる,システムの設計,実装,運⽤用,管理理上の⽋欠陥または弱点• セキュリティホール:ソフトウェア製品やウェブアプリケーションなどにおけるセキュリティ上の問題箇所
• ⼈人為的なミス:個⼈人情報やカード情報等が,適切切なアクセス制御のもとで管理理されていない
21
脆弱性と関連する脅威の例例
22
脆弱性の分類 脆弱性の例例 関連する脅威
環境・施設ドア,窓などの物理理的保護の⽋欠如 盗難 不不安定な電源設備 停電,誤作動 災害を受けやすい⽴立立地条件 洪⽔水,地震,災害
ハードウェア 温湿度度変化に影響を受けやすい 故障,誤作動 記憶媒体のメンテナンス不不⾜足 故障,情報漏漏えい
ソフトウェア
仕様書の不不備 ソフトウェア障害,誤作動 アクセスコントロールの⽋欠如 なりすまし,改ざん,情報漏漏えい 不不適切切なパスワード 不不正アクセス,改ざん,情報漏漏えい監査証跡(ログ管理理)の⽋欠如 不不正アクセス バックアップコピーの⽋欠如 復復旧不不能
セキュリティ対策の基本的な考え⽅方
23
脅威発⽣生時の深刻度度
脅威の発⽣生頻度度
脅威
許容可能なリスク
許容できないリスク
対策によってリスクを許容可能な範囲におさえる
境界線を設定するのは実際には困難(左図はあくまでイメージ)→脅威と脆弱性の組ごとに,リスクを評価して許容できるか判断する
セキュリティ対策によるリスク低減(⼀一般論論)
24
脅威発⽣生時の深刻度度
脅威の発⽣生頻度度
脅威脆弱性
脅威発⽣生時の深刻度度
脅威の発⽣生頻度度
脅威を減らす対策
脆弱性を減らす対策
攻撃
対策前のリスク評価 対策後のリスク評価
深刻度度
何をどこまでやれば良良いのか?
脅威分析
脅威分析の⽬目的• システムに対する脅威を洗い出し,リスク評価の基礎情報を獲得する
• システムに内在する脆弱性も発⾒見見する• システム開発の各段階で繰り返し実施する
25
結果(資産の侵害)
原因(脆弱性)課題• 網羅羅的に実施するためには,分析が膨⼤大に
• 1つの分析⼿手法だけでなく,様々な視点から実施することが重要• 安全分析と同じ考え⽅方
リスクを評価
脅威
→ガイドブック p.18
トップダウン分析:Attack Tree
26
アタックゴール(危害の発⽣生,資産の侵害)
サブゴール
脆弱性+脅威
対策(具体的な⽅方法,コスト等)
攻撃者の視点で,脆弱性+攻撃⽅方法を列列挙→リスク値に応じて対策するかどうかを判断問題:設計者(攻撃経験のない者)が,アタックゴールや攻撃⽅方法を考えるのは容易易ではない
分析の抽象度度によって段数は異異なる
HAZOP的な⽅方法
DFD(Data Flow Diagram)を使⽤用した例例
27
書換え処理理
整備担当者(ツール)
制御プログラム
制御コンピュータ
動作ログ
制御処理理
診断処理理
故障診断実⾏行行命令令
ソフト更更新実⾏行行命令令
最新のプログラム
動作ログ
動作ログ
制御プログラム
制御命令令
制御対象制御
命令令
診断結果更更新処理理結果
• データの流流れやプロセスに着⽬目し,セキュリティの特性(例例えばC・I・A)を侵害する脅威(逸脱)事象の影響を考える
• 防⽌止すべき脅威に対してのみ,脆弱性の存在を詳細に分析→トップダウン分析よりは脅威の列列挙が容易易と思われる
脅威導出を⽀支援する⾔言葉葉(ガイドワード)の例例
28
Spoofing (なりすまし)Tampering (改ざん)Repudiation (否認)Information Disclosure (情報漏漏えい)Denial of Service (サービス拒否)Elevation of Privilege (特権の昇格)http://msdn.microsoft.com/ja-‐‑‒jp/magazine/cc163519.aspx
分析対象 ガイドワード
サービス
Omission(提供されない)Commission(違うサービスが提供される)Early(早い)Late(遅い)
データ,機器
Probe(信号を拾拾う)Scan(状態を取得する)Flood(⼤大量量に送る)Authenticate(認証を試みる)Spoof(なりすます)Bypass(バイパスする)Modify(変更更する)Read(読み込む)
STRIDE 我々の提案
リスク評価
リスク評価の必要性• 組込みシステムの脆弱性を指摘する論論⽂文が多く発表されており,セキュリティを侵害するリスクが⾼高まっている
• すべての脅威に対策するのは困難なので,設計段階でリスクを洗い出し,対策の必要性を判断するのが望ましい
既存のリスク評価⽅方法• リスクの深刻さや発⽣生確率率率を,定性的な表現,もしくは段階的なレベル分けによって評価
• 評価項⽬目を製品に併せて修正する必要がある脆弱性リスク評価システム CVSS 2.0• 運⽤用段階で発⾒見見された脆弱性について,対策の優先度度を算出する→設計段階のリスク評価には向かない
• 評価項⽬目が,組込みシステムの脆弱性評価に適していない(特に基本評価基準)
29
→ガイドブック p.19
リスク評価テンプレートの案
30
⼤大分類 中分類 ⼩小分類 評価項⽬目
リスク
深刻度度(資産のダメージ)
ダメージの⼤大きさダメージの範囲
攻撃成功の発⽣生頻度度
脅威の強さ(脅威の成功率率率)
攻撃者の数
攻撃者の種類攻撃に必要な物理理的道具攻撃に必要な知識識攻撃ポイントへのアクセス,距離離
1回の攻撃の成功率率率
脆弱性の深刻さ(脅威の発⽣生確率率率)
攻撃対象の数
型番設定/動作ソフトウェア攻撃インタフェースの有無
1回の攻撃機会の頻度度
攻撃可能な場所攻撃可能な時間帯攻撃対象の⾏行行動モデル
リスク以外 対策の困難度度
対策費⽤用対策完了了に要する時間(ダメージの範囲にも依存)
リスク評価の例例
• 資産:⾃自動⾞車車を制御するCANメッセージ• 脅威:所有者以外の⼈人物がCANメッセージの内容を読む• 状況1:具体的な脅威と脆弱性が分かっている場合
• OBD-‐‑‒IIポートに第3者が解析ツールを設置して情報を読む
• 状況2:具体的な脅威と脆弱性が分かっていない場合• OBD-‐‑‒IIポートから誰かが何らかの⽅方法で情報を読む
31
http://www.macrumors.com/2013/03/12/automatic-‐‑‒link-‐‑‒app-‐‑‒and-‐‑‒bluetooth-‐‑‒adapter-‐‑‒create-‐‑‒connected-‐‑‒car-‐‑‒for-‐‑‒diagnostics-‐‑‒and-‐‑‒safety/
状況1:⾃自⾞車車のOBD-‐‑‒IIポートに,他⼈人が解析ツールを設置してCANメッセージの情報を読む
32
⼩小分類 評価項⽬目 評価値
ダメージの⼤大きさ OBD-‐‑‒IIに流流れる情報が漏漏れるが,変更更は不不可能→安全性に問題ないダメージの範囲 OBD-‐‑‒IIで取得できるCANメッセージ全体
脅威の強さ(脅威の成功率率率)
攻撃者の数
攻撃者の種類 ⾃自動⾞車車と攻撃対象者に興味をもつ⼀一般⼈人攻撃に必要な物理理的道具 OBD-‐‑‒II Bluetooth変換器,情報可視化ア
プリ→数万円程度度攻撃に必要な知識識 特別な知識識は必要なし攻撃ポイントへのアクセス,距離離 社内に侵⼊入する必要がある(鍵必要)
→鍵の管理理はユーザ責任1回の攻撃の成功率率率 ほぼ100%
脆弱性の深刻さ(脅威の発⽣生確率率率)
攻撃対象⾞車車の数⾞車車種 1996年年以降降の⾞車車なら全部⾞車車の設定/動作ソフトウェア 特になし攻撃インタフェースの有無 ⼤大体ある
1回の攻撃機会の頻度度
攻撃可能な場所 駐⾞車車場などBluetoothが接続できる場所攻撃可能な時間帯 いつでも想定する攻撃対象⾞車車の⾏行行動モデル ⼀一般⼈人が所有する⾞車車
対策費⽤用 所有者⾃自⾝身で防⽌止できれば安価.本質的な解決(OBD-‐‑‒IIから読み取れる情報を制限する)は⾼高価
対策完了了に要する時間(対策ごとに異異なる,ダメージの範囲にも依存) 本質的な解決はかなり時間がかかる
対策の有無を判断した根拠となる
状況2:⾃自⾞車車のOBD-‐‑‒IIポートから,誰かが何らかの⽅方法でCANメッセージの情報を読む
33
⼩小分類 評価項⽬目 評価値
ダメージの⼤大きさ OBD-‐‑‒IIに流流れる情報が漏漏れるが,変更更は不不可能→安全性に問題ない
ダメージの範囲 OBD-‐‑‒IIで取得できるCANメッセージ全体
脅威の強さ(脅威の成功率率率
攻撃者の数
攻撃者の種類 ?攻撃に必要な物理理的道具 ?攻撃に必要な知識識 ?攻撃ポイントへのアクセス,距離離 ?
1回の攻撃の成功率率率 ?
脆弱性の深刻さ(脅威の発⽣生確率率率
攻撃対象⾞車車の数⾞車車種 1996年年以降降の⾞車車なら全部⾞車車の設定/動作ソフトウェア ?攻撃インタフェースの有無 ⼤大体ある
1回の攻撃機会の頻度度攻撃可能な場所 ?攻撃可能な時間帯 ?想定する攻撃対象⾞車車の⾏行行動モデル ?
対策費⽤用 ?対策完了了に要する時間(ダメージの範囲にも依存) ?
これだけで対策するかしないかを判断せざるを得ない…
組込みシステムセキュリティに関して今すぐ始められること
34
今すぐ始められること
初級編• 既存製品のセキュリティに関する取組みの振り返り• セキュリティの知識識獲得
中級編• 業界・国際規格の動向チェック• 勉強会への参加
上級編• 最新の研究動向チェック
35
既存製品のセキュリティに関する取組みの振り返り
• 既存製品において,セキュリティを考慮していない場合には,資産定義,脅威分析,対策を検討すべき• すでに対策を実施している場合でも,その過程を確認することは⼤大切切(トレーサビリティも重要)
• 結論論だけでなく,前提,思考過程を含めて残しておく →将来,国際規格への対応を迫られても慌てなくて済む
36
−中部地域中⼩小企業向け−「組込みシステムのセキュリティ取組みガイドブック」
ポイント• システムレベル→詳細レベルの順に考える
• 複数の視点から脅威分析を実施する• 使⽤用者や環境の想定を,最新の状況を踏まえて⾒見見直す
振り返りのポイント
37
資産の特定
脅威分析
リスク評価リスクを低減する対策を追加
セキュリティ要求仕様の策定
リスクを許容可能か?
対象システムの特定
• 製品に関連する脅威は何か?• 既知の脆弱性はあるか?
• 製品に合わせてテンプレートを修正• リスクのレベル分け
設計・実装⼯工程へ
• 製品の中で守らなければならないものは何か?性質は?
Yes
No
• セキュリティ対策が要求仕様に⼊入っているか?
• トレーサビリティはとれているか?
セキュリティの知識識獲得
知識識獲得の必要性• 時代とともに,ユーザ,脅威,対策の最適解は変化• セキュリティ知識識を継続的に更更新する仕組みが必要
お勧めの書籍
38
IPAの調査資料料
• 組込みシステムのセキュリティへの取組みガイド(2010年年度度改訂版)• URL:http://www.ipa.go.jp/security/fy22/reports/emb_̲app2010/index.html
• 2010年年度度版情報家電におけるセキュリティ対策 検討報告書 • URL:http://www.ipa.go.jp/security/fy22/reports/electronic/index.html
• ⾃自動⾞車車の情報セキュリティへの取組みガイド• URL:http://www.ipa.go.jp/security/fy24/reports/emb_̲car/index.html
• 制御システム情報セキュリティ委員会報告書• URL:http://www.ipa.go.jp/security/fy24/reports/ics_̲sec/index.html
• 医療療機器における情報セキュリティに関する調査報告書• URL:http://www.ipa.go.jp/security/fy25/reports/medi_̲sec/
39
業界・国際規格の動向チェック
業界の動向チェック• 業界ごとに,セキュリティ対策の相場観,取組み⽅方法が議論論され始めている• ⾃自社の製品を取組みを振り返るチャンス!
勉強会• ⾞車車載組込みシステムフォーラムASIFのセミナー,EVITA勉強会• 名古屋情報セキュリティ勉強会国際規格の動向チェック• ISO/IEC 15408(Common Criteria)• CC v3.1 Release4 ⽇日本語訳:http://www.ipa.go.jp/security/jisec/cc/index.html
• ISA/IEC 62443
40
最新の研究動向チェック
海外学会• USENIX Security Symposium• escar(Embedded Security in Cars Conference)国内学会• 情報処理理学会 コンピュータセキュリティ研究会• 電⼦子情報通信学会 情報セキュリティ研究会イベント• Black Hat• SECCON ⽇日本国内最⼤大のセキュリティコンテスト• セキュリティ・キャンプ(22歳以下)
41
まとめ:すぐにできるセキュリティ対策
最低限の対策• これまで発⾒見見されている脅威への対策をする• 設計者内で脅威分析をして対策する• 新しい脆弱性の発⾒見見に備えて,脆弱性を報告・管理理し,対策を実施する仕組みを作る
できれば実施したい対策(今後の課題)• 専⾨門家,ホワイトハッカーによる脅威分析の実施&対策の検討
• 新しい脆弱性が広く知られる前に,いち早く把握して対策する• 脅威分析の継続的な実施• ハニーポット等による,新しい攻撃の情報収集
42