IPA 第 3 回 STAMP ワークショップ : Connect Car を対象とした STAMP/STPA の事例紹介デロイトトーマツリスクサービス株式会社林浩史東京電機大学金子朋子

Size: px

Start display at page:

Download "IPA 第 3 回 STAMP ワークショップ : Connect Car を対象とした STAMP/STPA の事例紹介デロイトトーマツリスクサービス株式会社林浩史東京電機大学金子朋子"

れんかしもかさ
5 years ago
Views:

1 IPA 第 3 回 STAMP ワークショップ : Connect Car を対象とした STAMP/STPA の事例紹介デロイトトーマツリスクサービス株式会社林浩史東京電機大学金子朋子

2 Agenda はじめに STAMP/STPA でサイバーセキュリティを扱うときの考え方 Virtual Car Key とは STAMP/STPA を用いた VCK へサイバーリスクアセスメントまとめ

3 はじめに 3

4 今後予想される車両開発でのバリューチェーンは従来モデルとは異なるコネクティビティ自動運転シェアードカーなどによりプレーヤーが増え自動車に期待される価値観も劇的に変化 Today 主に OEM や Tier1 が提供ボデーパワートレイン電装系シートコンポーネント & HMI S/W H/W コンテンツ Tomorrow 多くの企業が参加 OEM サプライヤ OS ベンダーチップベンダー ISP ISV In-car- アプリコネクテッドカーを実現するためのビルディングブロックエンターテイメント音楽ビデオなどのコンテンツ配信サービス Social media Facebook, Line などソーシャルメディアへの接続カーシェアリング所有からサービスへの移行宅配サービス車両への荷物配達 Points of interest スポンサード情報を含む目的地提案福祉サービス自動運転によるデイケア過疎地の移動手段提供テレマティックス保険ドライバや運転タイプによる保険料の最適化緊急連絡自動停車自動搬送ドライバーの異変などの緊急時に車両が自動対応盗難防止盗難にあった車両の位置情報を通知し遠隔操作 4

5 コネクテッドカー自動運転への挑戦サイバーセキュリティが新たなる課題に従来の E/E アーキテクチャには存在しなかった脅威や攻撃面多様化複雑化する車両の電装環境攻撃手法は日々刻々変化車両内のコンポーネントや機能間の通信は急激に増大車両の長製品寿命日々変化するリスク環境常時接続常時通電の車両に対するソフトウエアアップデート脅威通信ハードウエアサポートコントロールメカニズム車両セキュリティ実装ビジネスモデル標準化サプライチェーン全体のセキュリティモニタリング IT の Know-How を活用アフターセールスビジネスモデルの変化例 : MaaS テレマ保険など車両のセキュリティ分野では標準化やベストプラクティスが整備途上従来からの車両開発工程に車両のセキュリティを実装 5

6 車両の V 字開発におけるサイバーセキュリティデロイトリスクサービスは車両を対象としたサイバーリスクに対するサービスを展開していますリスクアセスメントプロセスシステム要件定義量産許可量産許可補助 ( セキュリティ ) 脅威インテリジェンス ( 市場分析 ) リスクモデルリスクアセスメント方法論資産カタログセキュリティ要件システムの接続性と認証の管理ステークホルダとプロセスのマッピング (RACI) 実装マッピングとサプライヤガバナンス Fleet SIEM とインシデント対応セキュリティパッチ管理データプライバシー管理セキュリティデザインパターンシステムレベルセキュリティ要件. コンポーネントレベルセキュリティアーキテクチャセキュリティテストケース Supplier governance SDLC に基づくサポートシステム設計仕様策定要件定義機能要件定義システムテ試験計画策定 S/W, H/W アーキテクチャインターフェース設計要員計画実装レベルでの設計実装モデル実装機能の明確化モジュールテストケース策定システム検査車両検査結合検査モジュール検査実装パラメータ調整ドキュメント作成車両およびコンポーネント開発プロセス車両への実装システム実装 (SI) 結合結合 (OEM) サブシステム結合 ( サプライヤ ) 各品質管理ポイント車載機器に対する侵入テスト動的セキュリティ受入テスト動的セキュリティテストセキュアコーディング補助コードレビュードキュメンテーションテスト範囲定義車両全体の構成調査コンポーネントの構成調査エントリーポイント定義攻撃者のプロファイリング脅威の特定と影響分析インターフェースネットワークコンポーネントレベルの侵入テストハードウエアハッキングサーバーバックエンドペリフェラルからの侵入テストモバイルデバイスの侵入テスト脆弱性とリスクの報告 6

7 最適なアセスメント手法の検討単体でもハイブリッドでも解析可能目的と対象に最適な手法を提案 TARA Threat Analysis and Risk Assessment リスク指向による定量化分析手法自動車業界で実績 HARA のセキュリティ版特に上流または開発の前半での実施に適している TVRA Threat, Vulnerability Risk Analysis STAMP / STPA Systems-Theoretic Accident Model and Processes FTA / FMEA Attack Tree Analysis ETSI が策定した 7 ステップによるリスク評価アプローチ手法 ITS など自動車業界で実績特に上流での分析が適している半定量的なアセスメント結果システムを対象に安全 + セキュリティの視点で脅威を分析する手法複雑なシステムでの実施に適している安全解析とセキュリティ解析を同時に行うことが可能脆弱性に対して故障の木解析や故障モード影響解析のアプローチを適用発生頻度の論理和論理積などを使い定量評価が可能特に実装レベルや開発後期での評価に適している脅威視点による脆弱性と攻撃者目線での分析基本構造は FTA と同様定量評価が可能他の手法とハイブリッドで使うことも可能 7 適用範囲や特徴は著者個人の理解によるものですバージョンやアレンジによって異なります For Discussion Purposes Only

8 STAMP/STPA でサイバーセキュリティを扱うときの考え方 8

9 なぜサイバーリスクアセスメントに STAMP/STPA を使うのか STAMP/STPA の有効性と解析対象 STAMP/STPA はサイバーにも活用できるといわれておりいくつかの活用法が提案されてます (STAMP/STPA-sec, STAMP/STPA Safe-Sec など ) 様々な提案をもとに我々が行ったサイバーセキュリティへの適用事例とその考え方を示します適用範囲や特徴は著者個人の理解によるものですバージョンやアレンジによって異なります IoT コネクテッドカーをはじめとし多くの機器が IoT 化しているセキュリティと安全 ( 機能が共存 ) ネットワークインターネットと接続より広い攻撃面システム化複数コンポーネントによる構成オープンソースや 3rd パーティー制部品 9

10 アクシデントハザード安全制約の考え方 STAMP STPA をサイバーセキュリティに活用アクシデントハザード安全制約の識別アクシデント 1 N 1 N ハザード安全制約起こってほしくないことアクシデントに至る可能性のある具体的状態サイバーではハザードの状態にならないためにどうするかインシデント脅威安全制約 10

11 UCA HCF の考え方サイバーで UCA,HCF をどう扱うか UCA(Unsafe Cause Action) : 安全でなくなる原因となりうるアクション ( 例えば ) UnSecure Cause Action : セキュアでなくなる原因となりうるアクション HCF( Hazard Cause Factor) : ( 例えば ) Threat Cause Factor : 脅威シナリオ攻撃シナリオなどの結果具体的に発生する状態安全制約を破る可能性のあるアクションヒントワードの拡張 (STRIDE の適用 ) なりすまし改ざん否認情報漏洩 DoS 権限昇格を追加する 11

12 Virtual Car Key とは 12

13 VCK の特徴と要件スマホで車両を開錠施錠起動などを行うスマホに車両用キーフォブと同様の機能を実装する VCK 単位での権限付与や制限が可能 One time VCK などの利用が可能 Car Sharing 宅配サービスなどの基本技術スマホ開錠施錠システム指導処理 VCK( 鍵 ) 送受信 VCK-Server VCK( 錠 ) 送受信実装パターンスマホ内に鍵を格納地下駐車場や携帯通信網の外部でも利用可能スマホ内でVCKを守る必要スマホに特殊なセキュリティ対策が必要サーバー上に鍵を格納サーバーへの認証情報をスマホ内に保存携帯通信網圏外での利用に問題車両 VCK-Server: VCK の管理を行う鍵を発行送信管理廃棄などを行う通常車両の管理やユーザー管理課金なども行う 13

14 VCK システムのコントロールストラクチャ簡略化した VCK システム車両内 2 VCK 配信更新破棄 TCU/DCM 7 車両システム起動許可車両システム 3 VCK 管理 VCK-ECU Gateway BCM VCK-Server 5 施錠開錠 1 VCK 配信更新破棄要求 4 施錠開錠要求 6 車両システム起動許可確認 2 VCK 配信更新破棄スマホ VCK アプリ 3 VCK 管理説明のため簡略化しています通常 VCK の分析を行う場合には二次的に影響を受ける ECU の考慮 VCK-ECU 内の機能 ( セキュアストレージなど ) の詳細化スマホ内の機能 ( セキュアストレージ暗号エンジンなど ) を詳細化などを行います VCK はスマホ車両内で管理されているパターンを想定しています 14

15 STAMP/STPA を用いた VCK のサイバーリスクアセスメント 15

16 アクシデントインシデント - ハザード脅威 - 安全制約 16

17 アクシデントインシデントアクシデントインシデントは発生して欲しくないことを記載アクシデント車両が開錠しない車両が施錠できない車両システムを起動できない車両システムが不法に起動してしまう不正に車両の開錠をしてしまう不正に車両の施錠をしてしまう個人情報や機密情報が漏洩する一般的にアセスメント開始前にシステムとして守るべきものは何かを決定しますアクシデントインシデントはその軸にしたがって決定されます ( 例 ) 生命安全に関わるケース例えば開錠しない場合搭乗者が車内に閉じ込められ怪我や病気に陥る可能性があります個人情報機密情報に関するケース例えば VCK 発行時に決済情報や免許証情報を登録していた場合これらが漏洩するケースです経済的損失が発生するケース例えば不正に開錠した場合車両の盗難につながりますシステムの機能が十全に動作しなくなるケース例えば車両システムが起動しなくなる場合鍵として機能しません外部環境への影響を考慮するケース例えば攻撃によりエンジンパラメータが変更され大気汚染につながるなどです 17

18 ハザード脅威本分析での脅威は攻撃者により何が行われたときインシデントに陥るか検討します例 : アクシデント車両が開錠しないなぜ車両が開錠しなくなっているのか? ハザード脅威ハザード脅威ハザード脅威車両が開錠しない原因となっている事象を洗い出しますハザード脅威アクシデントハザード脅威車両とスマホの VCK が一致しない車両とスマホの通信に障害が出ている他のスマホに VCK が送付され正規の VCK が無効化されているスマホの VCK アプリが正常に動作していないハザード脅威インシデントハザード脅威ハザード脅威. この段階で Security と Safety を区別する必要はありません IoT 機器を分析する場合 Security と Safety は一般的に同時に考慮すべきです 18

19 UCA( UnSafe / UnSecure Cause Factor ) 各ハザード脅威 ( 安全制約 ) を CA 毎に掘り下げます 19

20 HCF, Threat Cause Factor 想定される具体的な攻撃の抽出 UCA: VCK の利用可能時間以降も VCK が利用できるようになっている HCF/ Threat Cause Factor VCK が改ざんされ利用期間が不正に延長されている破棄されたはずの VCK ファイルがスマホ内で復活されているサーバーからの VCK 破棄要求の受領を無視して利用している他のスマホに VCK をコピーして利用しているまたはスマホを複製している次のユーザーや他のユーザーになりすまして VCK を利用しているヒントワード (T) 改ざんによる攻撃が発生している (T) 改ざんによる攻撃が発生している (R) 否認が行われている (E) 権限昇格を伴う攻撃または権限昇格を目的とした攻撃が行われている (S) なりすましによる攻撃が発生しているシナリオスマホー VCK-Server 間に MitM 攻撃を行い不正な VCK をスマホや端末に配布するスマホ内の VCK アプリや保存されている VCK 情報が改ざんされているスマホの改ざんまたはスマホ内の VCK アプリが改ざんされて消去されたファイルを復活させているサーバーから届いた VCK 破棄要求の受領を否認して VCK を利用しつづけている他のスマホに VCK 情報をコピーしてまたはスマホを複製して正規のスマホ上で VCK が破棄された後も複製したスマホや VCK を利用しているカーシェアリングなどのケースで自分の利用時間中に車両にリレー攻撃のデバイスを設置し他のユーザーが利用しているときに車両とスマホとの通信を傍受しそれを自己のスマホに送信するこの通信を再現して不法に車両を利用するヒントワード : STRIDE を活用デフォルト +STRIDE (S) なりすましによる攻撃 (T) 改ざんによる攻撃 (R) 否認 (I) 情報漏洩が発生しているまたは情報漏洩を目的とした攻撃 (D) DoS 攻撃 (E) 権限昇格をともなく攻撃または権限昇格を目的とした攻撃ヒントワードと UCA の組み合わせから想定される具体的な攻撃とその背景にあるシナリオを抽出 20

21 MRC4IoT への接続準定量化解析への活用 21

22 まとめ 22 Seminar Template

23 STAMP STPA はサイバーリスクアセスメントにも活用可能 Header STAMP/STPA をサイバーセキュリティアセスメントに活用しています脅威シナリオの抽出に効果 MRC4IoT と接続して利用することでさらに大きな効果多くの脅威シナリオの抽出が可能であることが確認されましたアセスメント対象がシステムとして動作する IoT 機器やバックエンドシステムを含むサービスシステムの分析に効果があることがわかりました MRC4IoT を用いて FTA Attack Tree 分析などと接続することでより大きな効果が得られました 23 サイバーリスクアセスメント抽出された大量の脅威攻撃シナリオを TARA( Threat Analysis and Risk Assessment) などの一般的に標準的に用いられる手法の入力として利用することが可能であり大きな効果が期待が得られました

デロイトトーマツグループは日本におけるデロイトトウシュトーマツリミテッド ( 英国の法令に基づく保証有限責任会社 ) のメンバーファームであるデロイトトーマツ合同会社およびそのグループ法人 ( 有限責任監査法人トーマツデロイトトーマツコンサルティング合同会社デロイトトーマツファイナンシャルアドバイザリー合同会社デロイトトーマツ税理士法人 DT

24 デロイトトーマツグループは日本におけるデロイトトウシュトーマツリミテッド ( 英国の法令に基づく保証有限責任会社 ) のメンバーファームであるデロイトトーマツ合同会社およびそのグループ法人 ( 有限責任監査法人トーマツデロイトトーマツコンサルティング合同会社デロイトトーマツファイナンシャルアドバイザリー合同会社デロイトトーマツ税理士法人 DT 弁護士法人およびデロイトトーマツコーポレートソリューション合同会社を含む ) の総称ですデロイトトーマツグループは日本で最大級のビジネスプロフェッショナルグループのひとつであり各法人がそれぞれの適用法令に従い監査保証業務リスクアドバイザリーコンサルティングファイナンシャルアドバイザリー税務法務等を提供していますまた国内約 40 都市に約 11,000 名の専門家を擁し多国籍企業や主要な日本企業をクライアントとしています詳細はデロイトトーマツグループ Web サイト ( ) をご覧ください Deloitte( デロイト ) は監査保証業務コンサルティングファイナンシャルアドバイザリーサービスリスクアドバイザリー税務およびこれらに関連するサービスをさまざまな業種にわたる上場非上場のクライアントに提供しています全世界 150 を超える国地域のメンバーファームのネットワークを通じデロイトは高度に複合化されたビジネスに取り組むクライアントに向けて深い洞察に基づき世界最高水準の陣容をもって高品質なサービスを Fortune Global 500 の 8 割の企業に提供しています Making an impact that matters を自らの使命とするデロイトの約 245,000 名の専門家については Facebook LinkedIn Twitter もご覧ください Deloitte( デロイト ) とは英国の法令に基づく保証有限責任会社であるデロイトトウシュトーマツリミテッド ( DTTL ) ならびにそのネットワーク組織を構成するメンバーファームおよびその関係会社のひとつまたは複数を指します DTTL および各メンバーファームはそれぞれ法的に独立した別個の組織体です DTTL( または Deloitte Global ) はクライアントへのサービス提供を行いません Deloitte のメンバーファームによるグローバルネットワークの詳細はをご覧ください本資料は皆様への情報提供として一般的な情報を掲載するのみでありその性質上特定の個人や事業体に具体的に適用される個別の事情に対応するものではありませんまた本資料の作成または発行後に関連する制度その他の適用の前提となる状況について変動を生じる可能性もあります個別の事案に適用するためには当該時点で有効とされる内容により結論等を異にする可能性があることをご留意いただき本資料の記載のみに依拠して意思決定行動をされることなく適用に関する具体的事案をもとに適切な専門家にご相談ください Member of Deloitte Touche Tohmatsu Limited

3

イノベーションの活用デロイトトーマツグループは日本におけるデロイトトウシュトーマツリミテッド ( 英国の法令に基づく保証有限責任会社 ) のメンバーファームおよびそのグループ法人 ( 有限責任監査法人トーマツデロイトトーマツコンサルティング合同会社デロイトトーマツファイナンシャルアドバイザリー合同会社税理士法人トーマツおよび DT 弁護士法人を含む ) の総称ですデロイトトーマツグループは日本で最大級のビジネスプロフェッショナルグループのひとつであり

IPA 第 3 回 STAMP ワークショップ : Connect Car を対象とした STAMP/STPA の事例紹介 デロイトトーマツリスクサービス株式会社林浩史東京電機大学金子朋子

IPA 第 3 回 STAMP ワークショップ : Connect Car を対象とした STAMP/STPA の事例紹介デロイトトーマツリスクサービス株式会社林浩史東京電機大学金子朋子