Embed Size (px)
Citation preview
2016年11⽉29⽇実践!IoT時代に向けた組込みセキュリティ管理者養成講座
グループ演習④⑤
松原 豊名古屋⼤学⼤学院情報科学研究科
附属 組込みシステム研究センター 助教Web: http://www.ertl.jp/~yutaka/
E-mail: [email protected]
1
本講座について
⽬的• 製品設計段階における,⼀連のセキュリティ対策
を理解し,⾃社製品の開発プロセスの⾒直しや,セキュリティ対策製品の活⽤⽅法を提案する⼒を⾝につける
⽬標• 5段階の演習を通じて,以下を体験する
• 仮想的な組込みシステム製品を対象に,設計段階におけるセキュリティ対策を⼀通り体験する
• グループ演習を通じて,経験や⽴場の異なる⼈と協⼒,議論する
• ⾃社の開発プロセスや製品に関する改善案,活⽤⽅法を考える(時間があれば)
2
本講座について
お願い• 本講座の写真,分析結果,議論の内容等を,
個⼈が特定出来ない形で,⼤学での研究活動,論⽂,セミナーの広報等で使わせて頂く可能性があります
• 本講座の改善,新講座の開発にご協⼒をお願い致します
3
講座のスケジュール
4
講座 演習 ⽇時 内容
1 ①2016年10⽉25⽇14:40〜17:00
セキュアシステム開発プロセスの導⼊・対象システムの紹介・セキュリティカードの導⼊と分析旧システムに対するシステムレベルの脅威分析(Part 1)
交流会 2016年10⽉25⽇18:00〜
2
① 2016年11⽉8⽇13:30〜14:20
旧システムに対するシステムレベルの脅威分析(Part 1)続き
② 2016年11⽉8⽇14:30〜15:30
旧システムに対するシステムレベルのリスク評価(Part 2)・リスク分析と評価
③2016年11⽉8⽇15:45〜18:00
新システムに対するシステムレベルの脅威分析とリスク評価 ・脅威分析・リスク分析と評価
3
④2016年11⽉29⽇13:30〜14:50
新システムに対するセキュリティ対策・セキュリティ対策の検討・対策に関する議論
-2016年11⽉29⽇15:00〜15:30
情報提供:・⾃動⾞セキュリティに関する国際規格の動向・おすすめ本
⑤2016年11⽉29⽇15:30〜16:45
まとめ・⾃社製品,開発プロセスに対する改善案の検討・改善案に関する議論
準備&前回の復習
5
準備
グループ編成• 3〜4名程度で1グループ• 性別,年齢,過去の経験や所属は無関係
• 出来る限りバラバラの⽅が良い(多様性)• 同所属の⽅が複数いる場合には別グループへ
できる限り前回と同じメンバにしましょう
6
講座のシナリオ
状況設定• ⾞庫のシャッターを遠隔で開閉するシステム
を開発するリモートオープナー社(架空)の開発チーム
• 看板商品である既存システムを改良し,スマートフォンとインターネットを使った新しい遠隔開閉システムの企画・開発に着⼿した
• セキュリティ専⾨チームとして,新システムの企画,設計に参加し,セキュリティの対策を⼀緒に検討することに・・・
本講座における⽬標• 新システムの企画,設計段階において,セ
キュリティに関する⼀連のプロセスを実施し,セキュリティ対策を提案する
7
本講座における前提
既存システムの安全性,セキュリティ• 安全性は考慮している• セキュリティは⼀応考慮しているが,プロセスに
従った開発はされていない(少なくとも,⽂書は残っていない)
新システムのセキュリティ• 企画,設計段階からセキュリティを考慮する• 既存システムよりも,リスクが⾼くなる場合には,
対策を追加する• 既存システムに存在するリスクは許容できる
対象• サービスレベルと設計レベル• 実装には⽴ち⼊らない
• 企画,プロトタイプ開発段階の分析を想定
8
前回の復習演習③
9
演習③
⽬的• 新システムにおけるセキュリティの脅威を洗
い出す• 経営者,開発者向けに,新システムに関する
新しい脅威と,対策の必要性を説明する⽬標• セキュリティカードやAttack Treeなどの⼿法
を⽤いて新システムに関する脅威を出来る限り列挙し,表にまとめる(45分時間程度)• 脅威分析の過程で,守るべき資産が⾒つかった場
合には資産リストに追加する• 旧システムにはなく,許容できないリスクが
存在するか検討する(15分程度)10
新システム案:シャッター開閉システム「スマートオープナー」
11シャッター
シャッター制御装置
制御コンピュータ
スマートフォン(バッテリで動作)
iOS と Android アプリを提供(外部企業に開発を委託)
利⽤者の⾃宅
開閉
利⽤者インターネットルータ
3G/LTE
WIFI
インターネット
リモートオープナー社 サーバ(⾃社に設置)
パスコードによる開閉装置
⾞庫・⾃宅内に設置
各機器の概要
リモートキー(スマートフォン)• 事前に登録したスマートフォンから,インターネッ
ト経由でシャッターの開閉を制御できる• 「開く」ボタンと「閉まる」ボタンの2つ
• ドアの状態が変わった時には,情報を記録するとともに,スマートフォンでメールを受信するもしくは通知をプッシュする
• RKE(Remote Key Entry)の仕組みは変えないサーバ• スマートフォンと制御コンピュータを仲介• スマートフォンからの命令や,シャッターの開閉状
態を管理制御コンピュータ,シャッター制御装置• 変更なし
12
トップダウン分析:Attack Tree
13
アタックゴール(危害の発⽣,資産の侵害)
サブゴール
脆弱性+脅威
対策(具体的な⽅法,コスト等)
攻撃者の視点で,脆弱性+攻撃⽅法を列挙→リスク値に応じて対策するかどうかを判断問題:設計者(攻撃経験のない者)が,アタックゴールや攻撃⽅法を考えるのは容易ではない
分析の抽象度によって段数は異なる
HAZOP的な⽅法
DFD(Data Flow Diagram)を使⽤した例
14
書換え処理
整備担当者(ツール)
制御プログラム
制御コンピュータ
動作ログ
制御処理
診断処理
故障診断実⾏命令
ソフト更新実⾏命令
最新のプログラム
動作ログ
動作ログ
制御プログラム
制御命令
制御対象制御
命令
診断結果更新処理結果
• データの流れやプロセスに着⽬し,セキュリティの特性(例えばC・I・A)を侵害する脅威(逸脱)事象の影響を考える
• 防⽌すべき脅威に対してのみ,脆弱性の存在を詳細に分析→トップダウン分析よりは脅威の列挙が容易と思われる
脅威導出を⽀援する⾔葉(ガイドワード)の例
15
Spoofing (なりすまし)Tampering (改ざん)Repudiation (否認)Information Disclosure (情報漏えい)Denial of Service (サービス拒否)Elevation of Privilege (特権の昇格)http://msdn.microsoft.com/ja-jp/magazine/cc163519.aspx
分析対象 ガイドワード
サービス
Omission(提供されない)Commission(違うサービスが提供される)Early(早い)Late(遅い)
データ,機器
Probe(信号を拾う)Scan(状態を取得する)Flood(⼤量に送る)Authenticate(認証を試みる)Spoof(なりすます)Bypass(バイパスする)Modify(変更する)Read(読み込む)
STRIDE 我々の提案
前回の成果:旧システムにおける脅威分析結果
16
前回の成果:新システムにおける脅威分析結果
17
グループ1による分析例
18
DFD上での分析→分析シートでの整理
3⽇⽬(演習④⑤)
19
演習④:新システムのセキュリティ対策検討
⽬的• 新システムにおけるセキュリティの脅威を洗
い出す(前回の続き)• 経営者,開発責任者向けに,新システムに関
する新しい脅威と,具体的な対策を提案する⽬標• セキュリティカードもしくはAttack Treeなど
の⼿法を⽤いて,新システムに関する脅威を出来る限り列挙し,表にまとめる(30分程度)
• リスクを分析,評価し,対策が必要な脅威に対しては,具体的な対策を検討する(30分程度)
20
製品の開発段階におけるセキュリティ確保の取組み
21
資産の特定
脅威分析
リスク分析リスクを低減する対策を追加
セキュリティ要求仕様の策定
リスクを許容可能か?
対象システムの特定
設計・実装⼯程へ
Yes
No
演習④の対象範囲
安全性確保のための開発プロセスとの類似点
開発段階 セーフティ セキュリティ
コンセプト ハザード分析とリスク評価→安全⽬標の導出
脅威分析とリスク評価→セキュリティ⽬標の導出
要求導出 安全⽬標から安全要求を導出・改訂
セキュリティ⽬標からセキュリティ要求を導出・改訂
設計 ⾼リスクのハザードについて詳細なハザード分析
⾼リスクの脅威について詳細な脆弱性分析
22
セキュリティ要求仕様の導出⼿順
セキュリティ⽬標の策定• 対策が必要と判断した事象(資産の侵害)を
避ける/防⽌することを,最上位のセキュリティ要求(セキュリティ⽬標)とする• 資産の“何を”守るのかを明確化することが重要
セキュリティ要求の導出• セキュリティ⽬標を達成するための,システ
ムレベルの対策/戦略を検討し,明⽂化する(セキュリティコンセプトの策定)• 機器ごとの詳細な対策技術は後段階で決める
• セキュリティコンセプトを基に,セキュリティ⽬標を,セキュリティ要求に分割,詳細化していく
23
IoT/組込みシステム向けのセキュリティ対策
基本的な考え⽅• 情報システム向けのセキュリティ技術が適⽤
できることが多いので,それらを適⽤することから始める
• IoT(のデバイス側)/組込みシステムでは,限られた計算リソース下でのセキュリティ対策が求められる場⾯も多い
• IoTシステムでは,複数の機器,サービスが連携するので,他社で開発されたシステムをどこまで信じてよいかという課題が出てくる• 機器認証の重要性が増⼤• 機器,サービス間のインタフェースを統⼀するた
めの規格,標準化活動が活発化
24
安全に関するリスク低減と優先順位
ISO/IEC Guide 51• 正式名称:Safety aspects - Guidelines for
their inclusion in standards• 安全(safety)のリスク低減の⽅法と優先順位
を規定している国際規格• 安全を「受容できないリスクがないこと」と定
義(意図的な攻撃によるリスクも含む概念)• リスクの低減に⽤いる⽅法は,以下の優先順位
で実施しなければならない• 本質的な安全設計(本質安全)• 保護装置(機能安全)• 使⽤者に対する情報
→セキュリティ対策においても重要な考え⽅25
セキュリティ対策の基本的な考え⽅
26
インシデント深刻度
インシデントの発⽣頻度
リスク
許容可能なリスク
許容できないリスク
対策によってリスクを許容可能な範囲におさえる
リスクそのものをなくす
セキュリティ対策によるリスク低減(⼀般論)
27
対策前のリスク評価 対策後のリスク評価インシデントの深刻度
インシデントの発⽣頻度
インシデントの深刻度
インシデントの発⽣頻度
攻撃(脅威)脆弱性 攻撃を低減
する対策
脆弱性を低減する対策
リスク
深刻度深刻度を低減する対策
(広義の)セキュリティ対策の分類
28
分類 カテゴリ
特定
資産管理ビジネス環境ガバナンスリスク評価リスク管理戦略
防御・保護
アクセス制御意識向上とトレーニングデータセキュリティ情報を保護するためのプロセスと⼿順保守保護技術
演習①〜③で⼀部を体験
演習④で検討
参考:⽶国国⽴標準技術研究所, 重要インフラのサイバーセキュリティを向上させる ためのフレームワーク, 2014年
(広義の)セキュリティ対策の分類
29
分類 カテゴリ
検知異常とイベントセキュリティの継続的なモニタリング検知プロセス
対応
対応計画伝達分析低減改善
復旧復旧計画改善伝達
演習④で検討
防御・保護対策の内容
30
カテゴリ 内容アクセス制御 資産および関連施設へのアクセスを,承認されたユーザ,プロセ
ス,またはデバイスと,承認された活動およびトランザクションに限定している.
意識向上とトレーニング
⾃組織の職員およびパートナーに対して,関連するポリシー,⼿順,契約に基づいた,情報セキュリティに関連する義務と責任を果たせるようにするために,サイバーセキュリティ意識向上教育と,⼗分なトレーニングを実施している.
データセキュリティ 情報と記録(データ)を情報の機密性,完全性,可⽤性を保護するために定められた⾃組織のリスク戦略に従って管理している.
情報を保護するためのプロセスと⼿順
(⽬的,範囲,役割,責任,経営コミットメント,組織間の調整を扱う)セキュリ ティポリシー,プロセス,⼿順を維持し,情報システムと資産の保護の管理に使⽤している.
保守 産業⽤制御システムと情報システムのコンポーネントの保守と修理をポリシーと⼿順に従って実施している.
保護技術 関連するポリシー,⼿順,契約に基づいて,システムと資産のセキュリティと耐性・復旧⼒を確保するための,技術的なセキュリティソリューションを管理している.
検知対策の内容
31
カテゴリ 内容異常とイベント 異常な活動を適切なタイミングで検知し,イベントがもたらす可
能性のある影響を把握している.
セキュリティの継続的なモニタリング
サイバーセキュリティイベントを検知し,保護対策の有効性を検証するために,情報システムと資産を離散間隔でモニタリングしている.
検知プロセス 異常なイベントを適切なタイミングで,かつ正確に検知するための検知プロセスおよび⼿順を維持し,テストしている.
防御・保護に関するセキュリティ対策の例
• アクセス制御技術• 認証(ユーザ認証,サーバ認証,機器認証)• 暗号化• 電⼦署名• 鍵管理技術,公開鍵基盤(PKI)• 耐タンパ性実現技術• ファイアウォール• 侵⼊検知システム(IDS)• データログ収集,解析• セキュアブート(プログラムの改ざん検知)• セキュアコーディング• 脆弱性検査ツール(静的解析,ファジング)• ハニーポット
32
過去の知⾒の活かす
• セキュアなシステム設計のためには,過去の知⾒を活かすべき
• IEEE Cyber-security Initiative: AVOIDING THE TOP 10 SOFTWARE SECURITY DESIGN FLAWS, 2014年
• 過去に報告された,セキュリティに関する設計ミスや脆弱性を元に,10個の設計指針がまとめられている• 例1:すべてのデータの妥当性が確認されたことを保証す
る⽅法を規定すること• 例2:データと制御命令をしっかり区別し,信頼できない
相⼿からの制御命令は処理しないこと• 例3:採⽤した外部コンポーネントが,アタックサーフェ
スをどう変えるかを理解すること→ 当たり前のものもあるが,⾒直す価値は⾼い
33
では,脅威分析の続きと,対策検討をやってみましょう
34
演習⑤:受講者⾃⾝の振り返り&所属組織への還元
⽬的• 本演習を通じて学んだことをベースに,受
講者が所属する企業・組織の製品,サービス,開発プロセス等において,セキュリティの観点から改善すべきことを提案する
⽬標• 受講者が所属する企業・組織の製品,サー
ビス,開発プロセス,情報システム管理等を列挙する
• セキュリティ対策の観点から,改善すべき具体案を検討して説明する
35
まとめ
36
まとめ
• 組込み機器,サービスの多様化により,(ネットワークや機器同⼠で)繋がる機器,システムが増加• →セキュリティの脅威が⾼まる
• 開発の⼿戻り,コスト削減のために,製品の企画,設計段階からセキュリティの対策を実施することが重要
• ⾃社製品,サービス,運営について,セキュリティの観点から,定期的に⾒直す• セキュリティ対策に責任を持つ管理者の重要性⼤• 資産の特定,リスク分析・評価について,経営者を
交えて議論する(プロファイル作り)• セキュリティの脅威,脆弱性は時代とともに変化
(多くの場合,増⼤)するので,継続的な対策,スキル向上,⼈材育成が重要
37
