企業から見た計測セキュリティ2018年4月17日 三菱電機情報技術総合研究所...
TRANSCRIPT
2018年 4月17日三菱電機 情報技術総合研究所
鈴木大輔
企業から見た計測セキュリティ
【サマリ】IoTではセンサにより計測した値の信頼性は、システムの大前提となる。本発表では、我々が認識する計測セキュリティの必要性と取組の方向性について述べる。また、具体的な研究事例としてミリ波レーダの成りすまし対策と姿勢計測装置の安全性評価について述べる。
IoTアーキテクチャとセキュリティ課題
クラウド
インターネット
エッジ
Fフィールドネットワーク
マイコン/SoC/FPGA
ADC
センサ
DAC
アクチュエータ
IoT機器
・主要な構成要素は、1. クラウド2. エッジ3. 機器
・各レイヤーにおけるセキュリティ課題
IoTアーキテクチャとセキュリティ課題
クラウド
インターネット
エッジ
Fフィールドネットワーク
マイコン/SoC/FPGA
ADC
センサ
DAC
アクチュエータ
IoT機器
課題1.ドメイン間で相互に利活用されるプライバシー情報の保護と、多様なサービス形態に対応できる柔軟性・利便性の両立。
課題2.脆弱性情報の収集・対応や機器・サーバの監視による迅速なセキュリティ対応
・主要な構成要素は、1. クラウド2. エッジ3. 機器
・各レイヤーにおけるセキュリティ課題
【クラウド】
IoTアーキテクチャとセキュリティ課題
クラウド
インターネット
エッジ
Fフィールドネットワーク
マイコン/SoC/FPGA
ADC
センサ
DAC
アクチュエータ
IoT機器
・主要な構成要素は、1. クラウド2. エッジ3. 機器
・各レイヤーにおけるセキュリティ課題
【エッジ】
課題3.セキュリティ/プライバシを考慮したエッジコンピューティング
課題4.エッジでの攻撃検知(ホワイトリスト/フィルタリング)
IoTアーキテクチャとセキュリティ課題
クラウド
インターネット
エッジ
Fフィールドネットワーク
マイコン/SoC/FPGA
ADC
センサ
DAC
アクチュエータ
IoT機器
・主要な構成要素は、1. クラウド2. エッジ3. 機器
・各レイヤーにおけるセキュリティ課題
【機器】
課題5.ネットワークを汚染する「セキュリティの落ちこぼれ」機器の脆弱性対策
課題6.センシング情報の信頼性確保と、従来問題視されていなかった新たな脅威への対策
IoTアーキテクチャとセキュリティ課題
クラウド
インターネット
エッジ
Fフィールドネットワーク
マイコン/SoC/FPGA
ADC
センサ
DAC
アクチュエータ
IoT機器
・主要な構成要素は、1. クラウド2. エッジ3. 機器
・各レイヤーにおけるセキュリティ課題
【ネットワーク】
課題7.乱立するIoTプロトコルの標準化
課題8.保護されていないフィールドネットワーク(BACnet, Modbus)
廣部
センサ
【アクティブセンサ】そのほとんどが測距センサ 例:ミリ波、LiDAR、ソナー対象物に対して電波や光を照射し,反射して返ってきた受信波を計測することで,対象物との相対距離や相対速度を計測する。
<主な攻撃>妨害波(DoS含む)、反射波の成りすまし、再送/中継攻撃
マイコン
対象に作用し反応を計測
7
センサ
【パッシブセンサ】加速度センサ、角速度センサ、コンパスABSセンサ、電圧センサ、温度センサ、カメラ
センサ自身から測定対象になにも作用しない構造。
<主な攻撃>偽の情報源の取り付けによる強制計測計測環境異常による誤動作誘発
マイコン
対象から受けるだけのセンサ
攻撃
攻撃
アクティブセンサとパッシブセンサ
8
強いセンサとは?
クラウド
インターネット
エッジ
Fフィールドネットワーク
マイコン/SoC/FPGA
ADC
センサ
DAC
アクチュエータ
IoT機器
9
強いセンサとは?
センサ
センサに求められる「強さ」は機器/システムの要件による。
使われ方が決まらないと、センサのセキュリティ要件を定められない。
10
強いセンサとは?
クラウド
インターネット
エッジ
Fフィールドネットワーク
マイコン/SoC/FPGA
ADC
センサ
DAC
アクチュエータ
IoT機器システム毎に要件を定める前提ではシステムが多様すぎて要件を定められない。
機器/システム側からみるとセンサがどこまでしてくれるのか知りたい。
11
強いセンサとは?
クラウド
インターネット
エッジ
Fフィールドネットワーク
マイコン/SoC/FPGA
ADC
センサ
DAC
アクチュエータ
IoT機器
センサ側からシステム/機器にやってもらうべき情報を提供する
システム/機器からセンサに求める前提情報を提供する
12
強いセンサとは?
クラウド
インターネット
エッジ
Fフィールドネットワーク
マイコン/SoC/FPGA
ADC
センサ
DAC
アクチュエータ
IoT機器
センサ側からシステム/機器にやってもらうべき情報を提供する
システム/機器からセンサに求める前提情報を提供する
強いセンサの定義が定まる
13
安全性を考える境界をどうするか?
セキュリティが主機能ではない製品では、新しい脅威が発生しても、これまでの対策で対応できることを期待する
センサ単体は簡単に外乱によって、出力の完全性が失われる。(弱いという結論にしかならない)
「これまでの対策」が定義可能でかつ汎用性のある境界を設定して、脅威(攻撃)と対策を議論しないと、システム/機器とセンサ間の認識共有が進まない。
信号処理
ADC
センサ
ロバストなセンシングを行うための信号処理を含めて脅威(具体的な攻撃)と対策を議論するアプローチで研究を推進
14
当社における研究事例(1)
ミリ波レーダにおける成りすまし対策
(神戸大学との共同研究)
15
ミリ波レーダにおける成りすまし対策
ハードウェアを追加せず、既存のプラットフォームで
信号処理の追加により攻撃を検出する
乱数系列を生成
プロセッサ
ローカル信号を生成
デジタル信号I/F
相対距離と相対速度を計算
低域通過フィルタ
ADC
攻撃判定 ミキサ
送信用アンテナ
受信用アンテナ
0 1 1 0
三角波の上半分か下半分をローカル信号とする変調
減衰検出
周波数異常検出
VCO
電圧制御発振器 VCO
(Voltage-Controller Oscillator)
アナログ-デジタル変換器 ADC
(Analog to Digital Converter)
信号発生器
干渉対策との違いは?
追加する信号処理VCO
LPF
TX
RX
Beatsignal
Random seq.
Wave. gen.
Signal processing
BPF
Energydetector
0 1 1 0
チャープの上り下りで変調
オンオフで変調
全チャープ/半チャープで
変調
0 1 1 0
0 1 1 0
変調方式
付加する情報とチャープの形
攻撃なし
攻撃あり
0周波数
ミキサ出力:攻撃時は高い周波数があらわれる
①
②攻撃により発生する周波数帯の検波を行う
送信波 f
受信波 f’
f’f
f g
VCO
LPF
TX
RX
Beatsignal
Random seq.
Wave. gen.
Signal processing
BPF
Energydetector
0 1 1 0
チャープの上り下りで変調
オンオフで変調
全チャープ/半チャープで
変調
0 1 1 0
0 1 1 0
変調方式
付加する情報とチャープの形
攻撃なし
攻撃あり
0周波数
ミキサ出力:攻撃時は高い周波数があらわれる
①
②攻撃により発生する周波数帯の検波を行う
送信波 f
受信波 f’
f’f
f g
16
低周波の安定した信号が検出
N周期のチャープで攻撃判定することで1/2N の攻撃成功確率に
ミキサ出力の高周波領域に信号が出現減衰で検出
FMCWレーダ
失敗f
t
f
t
f
t
f
t
成功
正規の信号は気にせず攻撃
攻撃による受信波
送信波
ミキサ出力
送信
距離をランダムにする攻撃は干渉対策の範囲で対策できる可能性がある
ミリ波レーダにおける攻撃者(推測攻撃)
FMCWレーダ
【正規の信号を用いた高度な攻撃方法】
受信
送信
任意波形発生器
正規の信号を利用し、加工して攻撃
この攻撃がどこまでできて、どこまで防げるかが本研究の課題
受信して判断し、送信するまでの時間Δがセキュリティパラメータとなる。
f
t
f
f
t
f
Δ Δ
攻撃による受信波
送信波
ミキサ出力
干渉対策では防げない攻撃
ミリ波レーダにおける攻撃(α型攻撃、β型攻撃)
α型攻撃 β型攻撃
17
両方送って後から片方取り下げる
判断後に、正しい方を送る
18
セキュリティ脅威 攻撃の難易度 対策方針
機密性測距値が漏れる脅威
なし 対策不要
完全性
測距値が改ざんされる脅威
測距値なし(反射波が返ってこない)
容易 提案方式で可
測距値あり
距離をランダムにする(推測攻撃)
可能 提案方式で可
距離を制御する(α、β型攻撃)
攻撃を再現に成功。但しΔがどこまで小さくできるかが課題
α型は改良が必要
β型は対策可能
可用性測距できなくなる脅威
容易 上位システムで異常検出
本研究の主要課題は、測距値の完全性を脅かす攻撃を詳細に把握し、対策の効果を厳密に検証することである。
セキュリティパラメータΔの見積もりが主要な課題
攻撃と対策の関係
19
当社における研究事例(2)
姿勢計測装置におけるセンサフュージョンの安全性評価と対策
本成果は国立研究開発法人新エネルギー・産業技術総合開発機構(NEDO)の委託業務の結果得られたものである。
センサフュージョンによる傾きの計測
ジャイロ(角速度)[deg/s] 加速度計 [m/s2] コンパス [T]
傾き [deg]Pitch
Roll
Yaw
Pitch
Roll
Yaw
Y
X
Z
重力ベクタ(鉛直方向)の推定
地磁気ベクタ(北極方向)の推定
積分
補正
補正
姿勢計測装置の安全性評価環境
• 音波により反応: ジャイロ、加速度計
• 磁気により反応: コンパス
9軸センサボード
音波発生系
磁気発生系
オーディオアンプ
スピーカ
ファンクション ジェネレータ
MCUs電磁石
まとめ
• IoTのセキュリティ課題の一つ。
• ハッカーカンファレンスやアカデミックカンファレンスでのトピックの一つ。
• センサへの攻撃が機器やシステムまで貫通する可能性がある。
• 強いセンサの定義
• センサ単体では議論できない。
• システム/機器側の要件とセンサ側が求める前提条件の議論ができる
環境が必要 → 計測セキュリティ保証スキーム
• 対策コストは増やしたくない
• ロバストなセンシング技術がある前提で脅威と対策を考えるのが効率的
企業から見た計測セキュリティ