Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
© 2018 WIND RIVER. ALL RIGHTS RESERVED.
IoT時代に求められる 組込OSのセキュリティ機能
平成30年12月6日 ウインドリバー株式会社
営業技術部本部長 志方公一
2 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
目次
ウインドリバーのご紹介
セキュリティ事故の実例
セキュリティ対策の目的
組込みOSに求められるセキュリティ機能
更に要求されるセキュリティ対策
まとめ
3 © 2018 Wind River. All Rights Reserved.
ウインドリバーのご紹介
4 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
歴史
1981: 設立
1993: IPO
2009: インテルによる買収
2018: 独立
規模
従業員数 約1,200人
20カ国を越える国々に拠点
リーダーシップ
商用組込みOSでのリーダ
広範囲にわたる組込み向けソフトウェア製品群の提供
投資
継続的にR&Dへ投資
積極的なM&A
ウインドリバーのご紹介
CHEMICAL SECTOR COMMERCIAL BUILDING SECTOR COMMUNICATIONS SECTOR CRITICAL MANUFACTURING
DAMS SECTOR DEFENCE BASE SECTOR EMERGENCY SERVICES SECTOR ENERGY SECTOR
FINANCIAL SERVICES SECTOR FOOD AND AGRICULTURE SECTOR GOVERNMENT BUILDING SECTOR HEALTH CARE SECTOR
IT SECTOR NUCLEAR SECTOR TRANSPORTATION SECTOR WATER AND WASTEWATER SECTOR
6 © 2018 Wind River. All Rights Reserved.
セキュリティ事故の実例
7 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
セキュリティ事故の例
2014年12月: ドイツの製鋼工場
標的型電子メールにより制御システムが乗っ取られた
プラントの部品が壊れ、溶鉱炉が正常停止せず甚大な被害が生じた
2017年6月: 日本の自動車工場
一部の生産設備用システム MES にランサムウェア ‘WannaCry’が感染し
操業が一時停止
2010年6月: ある国の核施設
産業用制御システム PLC がUSBメモリーを介して’Stuxnet’が感染・発症
核燃料施設の遠心分離機が稼動不能に
2018年8月: 海外の半導体製造ファウンドリ
現場担当者が物理的なディスクなどで持ち込んだ想定外のウィルス侵入
売上高で最大190億円規模(ウイルス名: WannaCry)
8 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
IOTの世界
IoT
apps Big
data
IT
systems
Cloud
services
クラウド
デバイス
オペレーション・テクノロジ
Edge Analytics
Personal Robotics
Security
Fabric
FAAS フォグ
9 © 2018 Wind River. All Rights Reserved.
セキュリティ対策の目的
10 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
セキュリティ対策の目的
1. システムの正常動作の確保
2. 不正アクセスの防止
3. データの漏えい防止
4. データの改ざん防止
5. セキュリティ事故時の解析
11 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
セキュリティ対策の導入の考え方 - デバイスの各フェーズでセキュリティ対策をすることが重要
起動 実行 停止 開発
• セキュアなソフトウェア開発ライフサイクル
• 認証/フレームワーク対応 - IEC 62443 - NIST 800-53 - アキレス Level 2認証
• 符号付バイナリーの供給
• セキュアブート • セキュアローダ • 不正改変のチェック • 署名付きバイナリアプリ認証 • デジタル証明書/PKI
• ユーザ管理 • ネットワークセキュリティ
- TLS/SSL/SSH - IPSEC/IKE
• 外部サーバによる検証 • 対タンパー
• ディスクの暗号化 • ファイル(コンテナ)の暗号化
Authenticity Integrity Confidentiality
12 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
セキュリティ対策の導入の考え方 - デバイスの各フェーズでセキュリティ対策をすることが重要
起動 実行 停止 開発
• セキュアなソフトウェア開発ライフサイクル
• 認証/フレームワーク対応 - IEC 62443 - NIST 800-53 - アキレス Level 2認証
• 符号付バイナリーの供給
• セキュアブート • セキュアローダ • 不正改変のチェック • 署名付きバイナリアプリ認証 • デジタル証明書/PKI
• ユーザ管理 • ネットワークセキュリティ
- TLS/SSL/SSH - IPSEC/IKE
• 外部サーバによる検証 • 対タンパー
• ディスクの暗号化 • ファイル(コンテナ)の暗号化
Authenticity Integrity Confidentiality
13 © 2018 Wind River. All Rights Reserved.
組込みOSに求められるセキュリティ機能 VxWorks 7を例にして
14 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VxWorks 7のセキュリティ機能
起動 実行 停止 開発
• セキュアなソフトウェア開発ライフサイクル
• 認証/フレームワーク対応 - IEC 62443 - NIST 800-53 - アキレス Level 2認証
• 符号付バイナリーの供給
• セキュアブート • セキュアローダ • 不正改変のチェック • 署名付きバイナリアプリ認証 • デジタル証明書/PKI
• ユーザ管理 • ネットワークセキュリティ
- TLS/SSL/SSH - IPSEC/IKE
• 外部サーバによる検証 • 対タンパー
• ディスクの暗号化 • ファイル(コンテナ)の暗号化
Authenticity Integrity Confidentiality
15 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
セキュアブート
VxWorks Image
U-boot
Code Signed
Code Signed
SoC内の Boot ROM
ブートローダ
リセット
OS
復号鍵
暗号鍵
16 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VxWorks 7のセキュリティ機能: セキュア ランタイム ローダ 2つのキーペアによる、アプリケーション
実行時のセキュア認証機能
– VxWorks Kernel: 復号キーによるRSA認証
– アプリケーション: 暗号化されたモジュール
IDE: Workbenchに認証管理機能を搭載
アプリ実行時のセキュリティリスクを回避
– 許可のないアプリ実行
– 改ざんされたアプリ実行
想定される開発形態
– リードエンジニア: VxWorks Kernel開発と 認証管理
– アプリエンジニア: 配布されたVxWorks Kernel Image上でアプリ開発 Hardware
Bootloader
VxWorks Kernel
Malicious
User Application
Kernel Module
User Application
Malicious Kernel Module
17 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VxWorks 7のセキュリティ機能
起動 実行 停止 開発
• セキュアなソフトウェア開発ライフサイクル
• 認証/フレームワーク対応 - IEC 62443 - NIST 800-53 - アキレス Level 2認証
• 符号付バイナリーの供給
• セキュアブート • セキュアローダ • 不正改変のチェック • 署名付きバイナリアプリ認証 • デジタル証明書/PKI
• ユーザ管理 • ネットワークセキュリティ
- TLS/SSL/SSH - IPSEC/IKE
• 外部サーバによる検証 • 対タンパー
• ディスクの暗号化 • ファイル(コンテナ)の暗号化
Authenticity Integrity Confidentiality
18 © 2018 WIND RIVER. ALL RIGHTS RESERVED. 18
VXWORKS 7のセキュリティ機能
カーネルハードニング
システムコール
– 許可されたシステムコールのみ実行可能
オブジェクト
– 明示的に許可されたパブリックオブジェクトのみアクセスを許可
Semaphores, message queues, data, etc.
資源
– メモリアロケーションの最大量を制限
19 © 2018 WIND RIVER. ALL RIGHTS RESERVED. 19
VXWORKS 7のセキュリティ機能
カーネルハードニング
– ページガード
システムコール
– 許可されたシステムコールのみ実行可能
オブジェクト
– 明示的に許可されたパブリックオブジェクトのみアクセスを許可
Semaphore, message queues, data, 等.
資源管理
– メモリアロケーションの最大量を制限
20 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VXWORKS 7のセキュリティ機能
時分割スケジューラ
VxWorks
CPU 0 CPU 1 CPU n
Management functions
Kernel Tasks RTP 1 RTP 2
Network communication function
RTP 3 RTP 4
Control functions
Kernel Tasks RTP 3 RTP 5
Time Partition 3
t3 Ticks
Time Partition 2
t2 Ticks
Time Partition 1
t1 Ticks
Tim
e
21 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VXWORKS 7のセキュリティ機能
ネットワーク セキュリティ – Security Sockets Layer (SSL), Secure Shell (SSH)
– 暗号化ライブラリ
– Internet Protocol Security (IPSec), Internet and Key Exchange (IKE)
– ハードウェア IPsec アクセラレータの活用
– Firewall
– Extensible Authentication Protocol (EAP)
– RADIUS, Diameter
– ワイヤレス セキュリティ
22 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VXWORKS 7のセキュリティ機能
ユーザマネージメント – ユーザデータベース
デフォルトユーザの廃止
ユーザ毎の定義
暗号鍵のカスタマイズ
– ユーザ毎のプログラム実行権限の設定
– ユーザポリシーの提供
パスワードの最小/最大文字数要求
パスワードの複雑さの要求
アカウントの停止
ログイン失敗時の対応
23 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VXWORKS 7のセキュリティ機能
セキュリティイベントハンドラ – セキュリティリスク発生時の対応
一般的なメッセージの表示
設定されたプログラムの実行
無視
– セキュリティ要件への対応
NIST 800-53
ISO 27001
24 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
セキュリティイベント
event eventid description
SEC_ EVENT_ FTP_ LOGIN_ FAILED 0x00880001 FTPログイ ンが失敗
SEC_ EVENT_ FTP_ LOGIN_ OK 0x00880002 FTPログイ ン成功
SEC_ EVENT_ FTP_ LOGOUT 0x00880003 FTPログアウト
SEC_ EVENT_ IO_ PERM_ ERROR 0x00d40002 RTPに権限がないI / Oオブジェ ク ト にアク セスし よう と し まし た
SEC_ EVENT_ IOS_ FDRESERVE_ FAILED 0x000d0001 オープンし ているフ ァ イ ルの数に制限が設定さ れているため、 フ ァ イ ルを開く こ と ができ ませんでし た
SEC_ EVENT_ LOADER_ MODULE_ LOAD_ FAILED 0x000e0001 ロード モジュ ールのロード に失敗 ( 署名がないなど)
SEC_ EVENT_ MEM_ QUOTA_ EXCEEDED 0x00d40004 メ モリ 使用量に制限が設定さ れているため、 RTPから メ モリ を割り 当てよう と し まし たが失敗し まし た
SEC_ EVENT_ OBJ_ ACCESS_ FAILED 0x00d40001 RTPに許可さ れていないカ ーネルオブジェ ク ト にアク セスし よう と し まし た
SEC_ EVENT_ RLOGIN_ LOGIN_ OK 0x002b0004 RLOGIN成功
SEC_ EVENT_ RLOGIN_ LOGOUT 0x002b0006 RLOGINが失敗
SEC_ EVENT_ SHELL_ EXECUTE_ FAILED 0x00ad0001 SHELL実行エラ ー
SEC_ EVENT_ SHELL_ LOGIN_ OK 0x00360002 SHELLログイ ン成功
SEC_ EVENT_ SHELL_ LOGOUT 0x00ad0003 SHELLログアウト
SEC_ EVENT_ SHELL_ SET_ DISPLAY_ FAILED 0x00ad0002 パーミ ッ ショ ン拒否のため、 コ ンフ ィ ギュ レーショ ン変数の設定、 表示するコ マンド が失敗し まし た
SEC_ EVENT_ SSH_ LOGIN_ FAILED 0x00d60001 SSHログイ ンが失敗
SEC_ EVENT_ SSH_ LOGIN_ OK 0x00d60002 SSHログイ ン成功
SEC_ EVENT_ SSH_ LOGOUT 0x00d60003 SSHログアウト
SEC_ EVENT_ SYSCALL_ PERM_ ERROR 0x00d40003 不正なAPIをRTPから 呼び出そう と し まし た
SEC_ EVENT_ TELNET_ LOGIN_ FAILED 0x002b0001 Telnetログイ ンが失敗
SEC_ EVENT_ TELNET_ LOGIN_ OK 0x002b0003 Telnetログイ ン成功
SEC_ EVENT_ TELNET_ LOGOUT 0x002b0005 Telnetログアウト
SEC_ EVENT_ UDB_ HMAC_ ERROR 0x00d00001 ユーザデータ ベースが改ざんさ れまし た
25 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VxWorks 7のセキュリティ機能
ARM TrustZoneをサポート – Global PlatformのOP-TEEを実装
– Secure OS上のトラステッドアプリケーションとVxWorks 7上のリアルタイムアプリケーションを同時に実行可能
ARM TrustZone
Normal World
VxWorks 7
Secure World
OP-TEE OP-TEE Client API
26 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VxWorks 7のセキュリティ機能
起動 実行 停止 開発
• セキュアなソフトウェア開発ライフサイクル
• 認証/フレームワーク対応 - IEC 62443 - NIST 800-53 - アキレス Level 2認証
• 符号付バイナリーの供給
• セキュアブート • セキュアローダ • 不正改変のチェック • 署名付きバイナリアプリ認証 • デジタル証明書/PKI
• ユーザ管理 • ネットワークセキュリティ
- TLS/SSL/SSH - IPSEC/IKE
• 外部サーバによる検証 • 対タンパー
• ディスクの暗号化 • ファイル(コンテナ)の暗号化
Authenticity Integrity Confidentiality
27 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
VxWorks 7のセキュリティ機能
ストレージの暗号化 – ディスク
XEX-AES256
ファイルシステム/メタデータの不可視化
Partition tableのみ見える
– コンテナ
AES256
28 © 2018 Wind River. All Rights Reserved.
更に要求されるセキュリティ対策
29 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
Achilles Certification
VxWorks 7はWurldtech社によるセキュリティ民間認証 Achilles Level IIを取得した (2017/1)
Wurldtech Achilles Certification:
– Wurldtech社が提供している制御システムのセキュリティ民間認証プログラム
– 対象システム: 組込コントローラ、ホストデバイス、制御システム用アプリケーション、ネットワークコンポーネント
– シェル社などの大手ユーザは制御システムを導入する際、民間認証取得を制御機器ベンダに要求している
– ISASecure認証のテストツールベンダとして指定されている
30 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
ウインドリバー・セキュリティ・レスポンス・チーム(SRT)
CERT お客様 [email protected]
SRT がウインドリバーOSに
関わる問題かをチェック
サポートネットワーク
へアップデート
プロアクティブに
告知
対策作業
パッチリリース
No Yes
31 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
Wind River のセキュリティサービス
■受託開発チームによるコンサルティングサービス
セキュリティ対策における協同策定 – システム概要、機能、セキュリティ要件、制約についてのヒアリング&理解一致
– アセスメント実作業: 3要素(機密性、完全性、可用性)について現システムとセキュリティ課題より調査を行い、レポートを作成
– セキュリティエキスパートによる評価と改善点を明確にした報告
セキュリティ・トレーニング:参考事例 – セキュリティトレーニング&ハンズオングループ実習:3日間(オンサイト)
– システムアーキテクチャディスカッション:2日間(オンサイト)
– セキュリティ評価レポートの策定:2~4週間(オフサイト)
– 評価レポートの解説:1日(オンサイト)
32 © 2018 WIND RIVER. ALL RIGHTS RESERVED.
まとめ
IoTに対応するためにはセキュリティ対策が重要
セキュリティは資産を守ること
セキュリティ侵害の侵入経路は予測不可能
必要十分なセキュリティかつそれに見合うコストのソリューション選択が必要
ウインドリバーはセキュリティ機能の対応にフォーカス
– VxWorks7 の充実したSecurity 機能
– TrustZoneなどのハードウェア搭載機能の有効利用
™
33 © 2018 WIND RIVER. ALL RIGHTS RESERVED.