UK Executive Eventウインドリバー・セキュリティ・レスポンス・チーム（SRT） CERT お客様 [email protected] SRT がウインドリバーOSに関わる問題かをチェック

© 2018 WIND RIVER. ALL RIGHTS RESERVED.

IoT時代に求められる組込OSのセキュリティ機能

平成30年12月6日ウインドリバー株式会社

営業技術部本部長志方公一

2 © 2018 WIND RIVER. ALL RIGHTS RESERVED.

目次

ウインドリバーのご紹介

セキュリティ事故の実例

セキュリティ対策の目的

組込みOSに求められるセキュリティ機能

更に要求されるセキュリティ対策

まとめ

3 © 2018 Wind River. All Rights Reserved.



歴史

1981: 設立

1993: IPO

2009: インテルによる買収

2018: 独立

規模

従業員数約1,200人

20カ国を越える国々に拠点

リーダーシップ

商用組込みOSでのリーダ

広範囲にわたる組込み向けソフトウェア製品群の提供

投資

継続的にR&Dへ投資

積極的なM&A


CHEMICAL SECTOR COMMERCIAL BUILDING SECTOR COMMUNICATIONS SECTOR CRITICAL MANUFACTURING

DAMS SECTOR DEFENCE BASE SECTOR EMERGENCY SERVICES SECTOR ENERGY SECTOR

FINANCIAL SERVICES SECTOR FOOD AND AGRICULTURE SECTOR GOVERNMENT BUILDING SECTOR HEALTH CARE SECTOR

IT SECTOR NUCLEAR SECTOR TRANSPORTATION SECTOR WATER AND WASTEWATER SECTOR


セキュリティ事故の実例


セキュリティ事故の例

2014年12月: ドイツの製鋼工場

標的型電子メールにより制御システムが乗っ取られた

プラントの部品が壊れ、溶鉱炉が正常停止せず甚大な被害が生じた

2017年6月: 日本の自動車工場

一部の生産設備用システム MES にランサムウェア ‘WannaCry’が感染し

操業が一時停止

2010年6月: ある国の核施設

産業用制御システム PLC がUSBメモリーを介して’Stuxnet’が感染・発症

核燃料施設の遠心分離機が稼動不能に

2018年8月: 海外の半導体製造ファウンドリ

現場担当者が物理的なディスクなどで持ち込んだ想定外のウィルス侵入

売上高で最大190億円規模（ウイルス名: WannaCry）


IOTの世界

IoT

apps Big

data

IT

systems

Cloud

services

クラウド

デバイス

オペレーション・テクノロジ

Edge Analytics

Personal Robotics

Security

Fabric

FAAS フォグ





1. システムの正常動作の確保

2. 不正アクセスの防止

3. データの漏えい防止

4. データの改ざん防止

5. セキュリティ事故時の解析


セキュリティ対策の導入の考え方－デバイスの各フェーズでセキュリティ対策をすることが重要

起動実行停止開発

• セキュアなソフトウェア開発ライフサイクル

• 認証/フレームワーク対応 - IEC 62443 - NIST 800-53 - アキレス Level 2認証

• 符号付バイナリーの供給

• セキュアブート • セキュアローダ • 不正改変のチェック • 署名付きバイナリアプリ認証 • デジタル証明書/PKI

• ユーザ管理 • ネットワークセキュリティ

- TLS/SSL/SSH - IPSEC/IKE

• 外部サーバによる検証 • 対タンパー

• ディスクの暗号化 • ファイル（コンテナ）の暗号化

Authenticity Integrity Confidentiality


セキュリティ対策の導入の考え方－デバイスの各フェーズでセキュリティ対策をすることが重要












組込みOSに求められるセキュリティ機能 VxWorks 7を例にして


VxWorks 7のセキュリティ機能












セキュアブート

VxWorks Image

U-boot

Code Signed

Code Signed

SoC内の Boot ROM

ブートローダ

リセット

OS

復号鍵

暗号鍵


VxWorks 7のセキュリティ機能: セキュアランタイムローダ２つのキーペアによる、アプリケーション

実行時のセキュア認証機能

– VxWorks Kernel: 復号キーによるRSA認証

– アプリケーション: 暗号化されたモジュール

IDE: Workbenchに認証管理機能を搭載

アプリ実行時のセキュリティリスクを回避

– 許可のないアプリ実行

– 改ざんされたアプリ実行

想定される開発形態

– リードエンジニア: VxWorks Kernel開発と認証管理

– アプリエンジニア: 配布されたVxWorks Kernel Image上でアプリ開発 Hardware

Bootloader

VxWorks Kernel

Malicious

User Application

Kernel Module

User Application

Malicious Kernel Module













18 © 2018 WIND RIVER. ALL RIGHTS RESERVED. 18

VXWORKS 7のセキュリティ機能

カーネルハードニング

システムコール

– 許可されたシステムコールのみ実行可能

オブジェクト

– 明示的に許可されたパブリックオブジェクトのみアクセスを許可

Semaphores, message queues, data, etc.

資源

– メモリアロケーションの最大量を制限

19 © 2018 WIND RIVER. ALL RIGHTS RESERVED. 19


カーネルハードニング

– ページガード

システムコール

– 許可されたシステムコールのみ実行可能

オブジェクト

– 明示的に許可されたパブリックオブジェクトのみアクセスを許可

Semaphore, message queues, data, 等.

資源管理

– メモリアロケーションの最大量を制限



時分割スケジューラ

VxWorks

CPU 0 CPU 1 CPU n

Management functions

Kernel Tasks RTP 1 RTP 2

Network communication function

RTP 3 RTP 4

Control functions

Kernel Tasks RTP 3 RTP 5

Time Partition 3

t3 Ticks

Time Partition 2

t2 Ticks

Time Partition 1

t1 Ticks

Tim

e



ネットワークセキュリティ – Security Sockets Layer (SSL), Secure Shell (SSH)

– 暗号化ライブラリ

– Internet Protocol Security (IPSec), Internet and Key Exchange (IKE)

– ハードウェア IPsec アクセラレータの活用

– Firewall

– Extensible Authentication Protocol (EAP)

– RADIUS, Diameter

– ワイヤレスセキュリティ



ユーザマネージメント – ユーザデータベース

デフォルトユーザの廃止

ユーザ毎の定義

暗号鍵のカスタマイズ

– ユーザ毎のプログラム実行権限の設定

– ユーザポリシーの提供

パスワードの最小/最大文字数要求

パスワードの複雑さの要求

アカウントの停止

ログイン失敗時の対応



セキュリティイベントハンドラ – セキュリティリスク発生時の対応

一般的なメッセージの表示

設定されたプログラムの実行

無視

– セキュリティ要件への対応

NIST 800-53

ISO 27001


セキュリティイベント

event eventid description

SEC_ EVENT_ FTP_ LOGIN_ FAILED 0x00880001 FTPログインが失敗

SEC_ EVENT_ FTP_ LOGIN_ OK 0x00880002 FTPログイン成功

SEC_ EVENT_ FTP_ LOGOUT 0x00880003 FTPログアウト

SEC_ EVENT_ IO_ PERM_ ERROR 0x00d40002 RTPに権限がないI / Oオブジェクトにアクセスしようとしました

SEC_ EVENT_ IOS_ FDRESERVE_ FAILED 0x000d0001 オープンしているファイルの数に制限が設定されているため、ファイルを開くことができませんでした

SEC_ EVENT_ LOADER_ MODULE_ LOAD_ FAILED 0x000e0001 ロードモジュールのロードに失敗　（署名がないなど）

SEC_ EVENT_ MEM_ QUOTA_ EXCEEDED 0x00d40004 メモリ使用量に制限が設定されているため、 RTPからメモリを割り当てようとしましたが失敗しました

SEC_ EVENT_ OBJ_ ACCESS_ FAILED 0x00d40001 RTPに許可されていないカーネルオブジェクトにアクセスしようとしました

SEC_ EVENT_ RLOGIN_ LOGIN_ OK 0x002b0004 RLOGIN成功

SEC_ EVENT_ RLOGIN_ LOGOUT 0x002b0006 RLOGINが失敗

SEC_ EVENT_ SHELL_ EXECUTE_ FAILED 0x00ad0001 SHELL実行エラー

SEC_ EVENT_ SHELL_ LOGIN_ OK 0x00360002 SHELLログイン成功

SEC_ EVENT_ SHELL_ LOGOUT 0x00ad0003 SHELLログアウト

SEC_ EVENT_ SHELL_ SET_ DISPLAY_ FAILED 0x00ad0002 パーミッション拒否のため、コンフィギュレーション変数の設定、表示するコマンドが失敗しました

SEC_ EVENT_ SSH_ LOGIN_ FAILED 0x00d60001 SSHログインが失敗

SEC_ EVENT_ SSH_ LOGIN_ OK 0x00d60002 SSHログイン成功

SEC_ EVENT_ SSH_ LOGOUT 0x00d60003 SSHログアウト

SEC_ EVENT_ SYSCALL_ PERM_ ERROR 0x00d40003 不正なAPIをRTPから呼び出そうとしました

SEC_ EVENT_ TELNET_ LOGIN_ FAILED 0x002b0001 Telnetログインが失敗

SEC_ EVENT_ TELNET_ LOGIN_ OK 0x002b0003 Telnetログイン成功

SEC_ EVENT_ TELNET_ LOGOUT 0x002b0005 Telnetログアウト

SEC_ EVENT_ UDB_ HMAC_ ERROR 0x00d00001 ユーザデータベースが改ざんされました



ARM TrustZoneをサポート – Global PlatformのOP-TEEを実装

– Secure OS上のトラステッドアプリケーションとVxWorks 7上のリアルタイムアプリケーションを同時に実行可能

ARM TrustZone

Normal World

VxWorks 7

Secure World

OP-TEE OP-TEE Client API















ストレージの暗号化 – ディスク

XEX-AES256

ファイルシステム/メタデータの不可視化

Partition tableのみ見える

– コンテナ

AES256


更に要求されるセキュリティ対策


Achilles Certification

VxWorks 7はWurldtech社によるセキュリティ民間認証 Achilles Level IIを取得した (2017/1)

Wurldtech Achilles Certification:

– Wurldtech社が提供している制御システムのセキュリティ民間認証プログラム

– 対象システム: 組込コントローラ、ホストデバイス、制御システム用アプリケーション、ネットワークコンポーネント

– シェル社などの大手ユーザは制御システムを導入する際、民間認証取得を制御機器ベンダに要求している

– ISASecure認証のテストツールベンダとして指定されている


ウインドリバー・セキュリティ・レスポンス・チーム（SRT）

CERT お客様 [email protected]

SRT がウインドリバーOSに

関わる問題かをチェック

サポートネットワーク

へアップデート

プロアクティブに

告知

対策作業

パッチリリース

No Yes


Wind River のセキュリティサービス

■受託開発チームによるコンサルティングサービス

セキュリティ対策における協同策定 – システム概要、機能、セキュリティ要件、制約についてのヒアリング&理解一致

– アセスメント実作業: 3要素(機密性、完全性、可用性)について現システムとセキュリティ課題より調査を行い、レポートを作成

– セキュリティエキスパートによる評価と改善点を明確にした報告

セキュリティ・トレーニング：参考事例 – セキュリティトレーニング＆ハンズオングループ実習：3日間（オンサイト）

– システムアーキテクチャディスカッション：2日間（オンサイト）

– セキュリティ評価レポートの策定：2～4週間（オフサイト）

– 評価レポートの解説：1日（オンサイト）


まとめ

IoTに対応するためにはセキュリティ対策が重要

セキュリティは資産を守ること

セキュリティ侵害の侵入経路は予測不可能

必要十分なセキュリティかつそれに見合うコストのソリューション選択が必要

ウインドリバーはセキュリティ機能の対応にフォーカス

– VxWorks7 の充実したSecurity 機能

– TrustZoneなどのハードウェア搭載機能の有効利用

™


Documents

UK Executive Eventウインドリバー・セキュリティ・レスポンス・チーム（SRT） CERT お客様 [email protected] SRT がウインドリバーOSに 関わる問題かをチェック

UK Executive Eventウインドリバー・セキュリティ・レスポンス・チーム（SRT） CERT お客様 [email protected] SRT がウインドリバーOSに関わる問題かをチェック