制御システムセーフティ・セキュリティ検討wg ·...
TRANSCRIPT
Software Reliability Enhancement Center© IPA
独立行政法人情報処理推進機構(IPA)
技術本部ソフトウェア高信頼化センター(SEC)
研究員 細目 紀子
制御システム セーフティ・セキュリティ検討WG活動のご紹介
2© IPA Software Reliability Enhancement Center
本日の内容
海外のセキュリティ事件
重要インフラをささえる企業の生の声
S&Sと、エンジニアリングプロセスとの関係
制御システム セーフティ・セキュリティ検討WG活動の目的
「既存の制御システム」におけるセキュリティ検討プロセス
ガイドの紹介
セーフティとセキュリティをくらべてみる
参考情報
3© IPA Software Reliability Enhancement Center
海外のセキュリティ事件
重要インフラ設備へのサイバー攻撃!!
■スウェーデンの交通系インフラシステムへのDDoS攻撃(2017年10月)運輸管理局のITシステムがダウンし列車の発着管理に影響。Webサイトやメールサービスも停止し列車予約ができなくなった。
■英国病院ランサムウェア感染(2017年4月)抗がん剤を処方するシステムや医用画像情報システムが使用不能。血液検査等も不能。
■サウジアラビア空港、政府機関への攻撃(2016年11月)PC数千台が破壊され、数日間業務が停止。新型のShamoonが使用された。
■イスラエル電力公社への大規模サイバー攻撃(2016年1月)コンピュータ多数が使用不能状態になる。
■フランス国営放送局へのサイバー攻撃(2015年4月)イスラム過激派からの大規模攻撃受け番組放送ができなくなった。
■Stuxnet感染(2010年11月)ウラン濃縮施設の遠心分離機がマルウェア感染。約8400台の遠心分離機が停止。
日本の法律では
電子計算機損壊等業務妨害罪(刑法二三四条の二第一項)
4© IPA Software Reliability Enhancement Center
重要インフラをささえる企業の生の声
セーフティ セキュリティ
動向・要件
課題(国内企業17社、
2大学よりヒアリング)
規格
プロセスは確立している。しかし、IoT時代に向けた新たなサービスや機能
への対応が必要(自動運転、生産系と事務系システム連携など)
セキュリティ脅威は日々増加、変化している。
将来にわたる脅威の全体像を特定することは不可能。
認証取得のためのもの。認証取得のためのスキームと一体。ドメイン毎。
組込みシステムはドメインごとに作成中。セーフティとの関係は無し
プロセス ドメイン毎に確立されたプロセスを定義 モデルとなるようなプロセスは未定義
セキュリティ要件の抽出において、脅威分析の具体的な方法が規格に明示されていない。個人差が大きく、脅威抽出の網羅性に確信が持てない。
セーフティ、セキュリティの双方に詳しい技術者は極めて少ない。セキュリティ要件がセーフ
ティに及ぼす影響を同時に評価・すりあわせることが難しく、連携させる枠組みなし
セーフティ要件に影響するセキュリティ要件を、どのタイミングでどのように関連付ければいいのか?わからない!
セキュリティにはセーフティのように確立したプロセスがなく、双方の要件を満たす設計含む
開発プロセスの進め方がわからない。
2015年後半からセーフティシステム関連の製造業中心にヒアリング実施
5© IPA Software Reliability Enhancement Center
S&Sと、エンジニアリングプロセスとの関係
安全コンセプト
安全分析
安全要求
セキュアシステム仕様
システム仕様
システム仕様
詳細設計
作成
モジュール試験
システム試験
全安全妥当性確認
セキュア妥当性確認
システム運用・保守
コンポーネント仕様(実現含む)
事業者
(アセットオーナー)
安全妥当性確認
セキュア妥当性確認
セキュア分析・要求
セキュア分析・要求
安全システム仕様
セーフティ(実現済)
セキュリティ(これから)
安全分析
安全要求
セキュアコンセプト
インテグレータ
実現済みのセーフティシステム仕様
赤枠がWGの検討範囲
6© IPA Software Reliability Enhancement Center
制御システム セーフティ・セキュリティ検討WG活動の目的
■機能安全等に準拠したセーフティシステムに対して、サイバーセキュリティ分析をどのように行えばよいのか?できるだけ汎用的に示したい。
■セキュリティ要件をセーフティ要求・機能にどのようにすりあわせたらよいか?基本的な考え方を示す。
活動方針
✔セーフティ・ファースト:既設セーフティシステムが有。セーフティゴールありき
✔想定読者:セキュリティ対応が必要なセーフティ経験のあるインテグレータ
✔国際規格・標準:IEC 61508、IEC 62443
✔モデルシステム:架空のFA(Factory Automation)システム
✔アクター:事業者、システムインテグレータ(+機器メーカ)
成果
制御システムセーフティ・セキュリティ要件検討ガイド(仮称)
7© IPA Software Reliability Enhancement Center
対象システム
ドメイン別の機能安全規格
セキュリティリスク分析
セキュリティ要件の検討
関連するセキュリティ情報の参照
参照するセキュリティ規格
ISMS
テーラリング
IEC 61508
ISO 26262
IEC xxxx
IEC 62443
企業のBCP△△△△
xxxxxxx 守るべき資産
ソリューション (対策技術など)
脅威
IEC 63069
IEC 63074
攻撃手法
事業者視点
インテグレータ視点
ライフサイクル
共通
開発 運用 廃棄保守
テーラリング
セキュリティ検討の際の関連図
制御システムセーフティ・セキュリティ要件 検討イメージ
脆弱性情報
8© IPA Software Reliability Enhancement Center
「既存の制御システム」におけるセキュリティ検討プロセス
Step3 セキュリティ対策の立案・残存リスク評価
Step5 運用・保守・修理
Step0 安全設計経緯の確認
Step1 事業者のセキュリティ検討
Step2 インテグレータのセキュリティ検討
Step4 全妥当性確認
※実際には、ここで対策の実装・テストが実施されます
対象システムのおさらい!
事業者のセキュリティ決意表明!
脅威と脆弱性はどこに?
現実的&効果的(確実、速い、できれば安い)な対策を考えよう!
セキュリティはナマモノ。時間とともに脅威も脆弱性も変化します。
9© IPA Software Reliability Enhancement Center
ガイドの紹介:Step2 :インテグレータのセキュリティ検討
Step1 事業者のセキュリティプロセス
Step3 セキュリティ対策の立案・残存リスク評価
2-1 事業者からの要求事項の確認
2-2 セキュリティリスク分析・インテグレータによる保護資産の抽出・脅威の識別・脅威事象・脆弱性の識別・被害内容の確認・リスク評価(影響度・発生可能性・リスクレベル)
アクティビティ
Step2 インテグレータのセキュリティ検討
2-3 セーフティへの影響確認
詳細資産一覧
・分析結果(脅威分析表)・セキュリティ要求仕様・セキュリティリスクレベル
保護資産一覧(詳細)
・事業者セキュリティ要求事項の確認・システム構成の詳細化
入力(既存システムの安全設計資料一式、事業者のセキュリティ検討資料一式)
・安全要求仕様(SRS)・分析結果(FMEDA)、他
・対象システム仕様・構成図・設計書
・状態遷移、データフロー他 資産一覧
保護資産一覧
・セキュリティ方針・計画・セキュリティ検討範囲 (Suc)
分析結果(ATA他)
セキュリティ要求
システム、機器コンポの脆弱性情報
成果物(インテグレータのセキュリティ検討資料一式)
セキュリティセーフティ
<入力・成果物>
一般要求事項
セーフティ影響確認結果
セーフティ影響確認結果
10© IPA Software Reliability Enhancement Center
ガイドの紹介:セーフティへの影響を考える際の観点(例)
✔セキュリティリスクがシステムハザードを発生させることはないか
✔セキュリティ対策によって安全機能の性能に影響を与えることはないか
✔セキュリティ対策の実装が安全機能を無効化させることはないか
✔安全機能がセキュリティ対策をバイパスしていないか
11© IPA Software Reliability Enhancement Center
セーフティとセキュリティをくらべてみる
No. 項目セーフティ
(機能安全)サイバー
セキュリティ
0 ユーザの期待 許容できる安全性 いつでもセキュア
1 対象範囲は?潜在的な危険(ハザード)
潜在的な脅威(スレート)
2 分析は?安全分析(ハザード&リスク分析)
脅威分析
3 技術課題は? 安全性 脆弱性
4 確認方法は? 故障注入テストぺネトレーションテスト(侵入テスト)脆弱性テスト
5
システム・製品ライフサイクル
計画・企画・開発・生産運用・廃棄
計画・企画・開発・生産運用・廃棄
※出荷後の監視・対策※インシデントレスポンス
時間の経過とともに、リスクレベルは変化!・脆弱性が拡散、・攻撃者が変化(動機・スキル)
security-clitical-system
safety-clitical-system
12© IPA Software Reliability Enhancement Center
ドメイン
安全規格セキュリティ規格(策定中含む)
参考資料(ガイドライン等)
0 -- IEC 61508 IEC 62443ISO/IEC 27000ISO/IEC 15408(CC)
経済産業省 セキュリティ関連コンテンツ一覧http://www.meti.go.jp/policy/netsecurity/secdoc/secdoc_list.html
国土交通省 重要インフラにおける情報セキュリティ確保に係るガイドラインhttp://www.mlit.go.jp/sogoseisaku/jouhouka/sosei_jouhouka9999.html
IPA 制御システムのセキュリティリスク分析ガイドhttps://www.ipa.go.jp/security/controlsystem/riskanalysis.html
1 鉄道 IEC 62278(RAMS)
IEC 62280 鉄道分野における情報セキュリティ確保に係る安全ガイドライン 第3版http://www.mlit.go.jp/sogoseisaku/jouhouka/sosei_jouhouka9999.html
2 自動車 ISO 26262 SAE J3061※ISO/SAE 21434 (Automotive Security Engineerring)
CCDS製品分野別セキュリティガイドライン 車載器編https://www.ccds.or.jp/public_document/index.html
3 航空 RTCADO-178C
DO-326ADO-355DO-356
航空運送事業者における情報セキュリティ確保に係る安全ガイドライン 第4版http://www.mlit.go.jp/sogoseisaku/jouhouka/sosei_jouhouka9999.html
4 医療 IEC 62304IEC 82304
IEC 62304AnnexCIEC 80001ISO 14971IEC 27002ISO/IEC 27799
医療機器における情報セキュリティに関する調査https://www.ipa.go.jp/security/fy25/reports/medi_sec/
医療情報システムの安全管理に関するガイドライン第5版http://www.mhlw.go.jp/stf/shingi2/0000166275.html
5 産業制御
IEC 61508 IEC 62443 制御システムセキュリティ運用ガイドラインhttp://www.neca.or.jp/wpcontent/uploads/control_system_security_guideline.pdf
参考情報 国際規格、ガイドライン等
推奨New!
策定中!
医療・ヘルスケア用にリバイス!
13© IPA Software Reliability Enhancement Center
● 制御系システムの各分野で活用可能な汎用的なガイドブック
● 実際の開発現場で、セーフティ・セキュリティ検討時に参考となる
基本的な手順・考え方を紹介(国際規格準拠)
● 事例システムによる解説 ( 分析シートつき)
ガイドブックのプレ紹介
ご清聴、ありがとうございました!
平成30年3月公開予定
14© IPA Software Reliability Enhancement Center