IOT を安全にするには 2 2

Size: px

Start display at page:

Download "IOT を安全にするには 2 2"

らむこうい
5 years ago
Views:

1 IoT 時代の脅威分析とリスク評価 2017/11/17 情報セキュリティ大学院大学大久保隆夫

2 IOT を安全にするには 2 2

3 設計から安全にする IoT システムでは個別の機器よりも全体を俯瞰した対策が重要場当たり的なパッチでは限界設計から安全にする = セキュリティバイデザインセキュリティセーフティ双方の品質を確保手法として統一できるかは道半ば 3 3

4 機密性機器の安全セーフティ人命完全性セキュリティ事故防止可用性 4 4

5 セーフティとセキュリティ効果と要因から効果要因規格分析手法セーフティセーフティ IEC etc セキュリティなしセキュリティセーフティなしセキュリティ脅威モデリング etc 5 5

6 セキュリティ要求分析 6 6

7 セキュリティ要求分析 2 つのアプローチ 1. 攻撃者のゴールベースの分析攻撃者は何を狙っているか? 2. 被害ベースの分析このシステムで何をされると困るか 1 と 2 は包含関係であり 1 2 を独立で ( あるいは一方のみ ) 行っても 1 2 あるいは 2 1 の順で行ってもよい 7 7

8 攻撃者の目標 (1) STIX(Structured Threat Information Expression) version 1.2 の Campaign( 作戦 ) Intended Effect( 意図 ) 参考情報処理推進機構 : 脅威情報構造化記述 STIX 概説 STIX2.0 では Campaign Objective( 目標 ) 8 8

9 攻撃者の目標 (2) 優位に立つ盗む経済的に軍事的に政治的に知的財産認証情報識別情報アカウントのっとり信用へのダメージ競争で優位サービス品質の劣化否認欺瞞破壊名誉毀損暴露恐喝詐欺ハラスメント制御システムの操作抜け道認可されていないアクセス 9 9

10 被害信用の喪失競争優位の喪失経済的軍事的政治的データの破棄破壊サービス品質の劣化破壊サービス操作の中断経済的損失機密知的財産権情報専有の喪失意図しないアクセス利用者のデータの喪失 10 10

11 資産の識別資産の識別 1. ユースケースの作成 2. ユースケースシナリオから資産候補の抽出 3. 資産候補が攻撃者の目標 or 被害に合致するか検証資産として抽出 11 11

12 資産識別の例 (1) 自動ブレーキ自動ブレーキの例運転者ブレーキを踏む <<include>> 衝突を検知するセンサー 12 12

13 資産識別の例 (2) シナリオ 1 1. 利用者がブレーキペダルを踏む 2. ブレーキ信号をコントローラに伝える 3. ブレーキが作動して止まるシナリオ 2 1. センサーが衝突を検知 2. 衝突可能性情報をブレーキのコントローラに伝える 3. コントローラが自動ブレーキを作動させる 13 13

14 資産識別の例 (3) 資産候補コントローラブレーキブレーキ信号衝突可能性情報 14 14

15 攻撃者の目標とつきあわせ資産抽出ブレーキ + 制御の不正な操作 = 危険! ブレーキは資産として抽出同時にブレーキに対する不正操作を脅威として識別 15 15

16 更なる脅威抽出ガイドワードの適用資産に対してか? ユースケースに対してか? シナリオに対してか? エンティティへの STRIDE 適用攻撃者目標を達成するかなりすましエンティティの改ざん 16 16

17 ガイドワード候補 STRIDE HaZop のガイドワード STAMP/STPA のガイドワード 17 17

18 STRIDE エントリポイントにおいて脅威を発見するためのヒント脅威分類 Spoofing( なりすまし ) Tampering( 改竄 ) Repudiation( 否認 ) Information disclosure( 情報の漏洩 ) Denial of service (DoS 攻撃 ) Elevation of privilege( 権限昇格 ) 18 18

19 STRIDE のガイドワードとしての役割外部エンティティ 0 プロセス 0 データ 0 エンティティ ( 外部エンティティプトセスデータストア ) に対するガイドワードエンティティからの情報漏洩データフローに対するガイドワードフローからの情報漏洩 19 19

20 HazOp 特徴システムの機能やプロセスに対し潜在的に含まれたリスクを体系的に分析ガイドワードの概念による効率的な分析化学工業の分野で確立 (1963 年 ) 国際標準 :IEC

21 HaZop のガイドワード現象に対するガイドワードガイドワード意味例 No (not, none) 設計意図が全く達成されない期待した製品の送出がない More (more of, higher) パラメータの定量的増加設計より高温状態が発生 Less (less of, lower) パラメータの定量的減少設計より低圧状態が発生 As well as (more than) 追加の動作が発生 ( 故障や人的ミスにより ) 同時に別のバルブが作動 Part of Reverse 設計意図が一部しか達成されない設計意図と反対の状況が発生 ( 全停止のはずが ) システムの一部のみ停止システム停止時に逆流発生 Other than (other) 全く異なる動作が発生気体用パイプに液体が流出 21 21

22 STAMP STAMP(Systems-Theoretic Accident Model and Process): システム理論に基づく事故モデル要素 ( コンポーネント ) と相互作用 ( コントロールアクション ) に着目してメカニズムを説明アクションが働かない原因 = コントロールアクションの不適切な作用という視点を持つことで原因を有限化安全のために必要な制御を行うコンポーネントアルゴリズムコントローラープロセスモデルコントローラーが想定する被コントロールプロセスの状態コントロールアクションフィードバックデータ制御されるコンポーネント被コントロールプロセス 22 22

23 安全解析手法 STPA STPA(STAMP based Process Analysis)STAMP に基づく安全解析手法 MIT の Nancy G. Leveson 教授が提唱複数のコントローラが介在する複雑なシステム (Complicated system) に対する安全解析の方法論ガイドワードを使い unsafe( 非安全 ) なコントロールアクションを想定ヒントワードを使い要因を分析 23 23

24 STPA のガイドワード与えられるとハザード与えられないとハザード早すぎる / 遅すぎるとハザード長すぎる / 短かすぎるとハザード 24 24

25 STPA のヒントワード出典 :IPA はじめてのSTAMP/STPA( 実践編 ) 25 25

26 セーフティ系ガイドワードを脅威分析に活かすには HaZop STPA のガイドワード : 攻撃者の目標ないし被害事象に直結 No/More の原因になるセキュリティ脅威を導出する ex) 改ざん (T) により Nol(More) 情報漏洩系は非対応 STPA のヒントワード : セーフティ寄りでセキュリティ脅威分析には不向き 26 26

27 脅威の詳細化判明している情報のみで詳細化するブレーキを不正操作コントローラののっとり衝突検知信号の改ざん ( なりすまし ) ブレーキ信号のなりすまし 27 27

28 のっとり対策コントローラののっとりブレーキ信号のなりすまし運転者ブレーキを踏むアクター 2 ユースケース 6 <<include>> ブレーキに対する不正操作衝突を検知する不正操作防止対策衝突検知信号の改ざんセンサー改ざん防止対策 28 28

29 脅威分析の前に行うべきことアーキテクチャのセキュリティ評価 29 29

30 アーキテクチャなしの分析で十分か通常のソフトウェア開発ではアーキテクチャの選定は設計時に行うしかし誤ったアーキテクチャ選択はセキュリティに致命的な ( 対処不可能な ) リスクを生む可能性がある 30 30

31 組込み系における開発要求分析後戻り困難特に H/W 系システム設計ハードウェア設計ソフトウェア設計ハードウェア実装ソフトウェア実装 31 31

32 クリティカルな手戻りの例プロセッサバスの選択要求分析現行の H/W では AES 暗号化性能, 不足システム設計データ保護のため AES 暗号化必要ハードウェア設計ソフトウェア設計ハードウェア実装ソフトウェア実装 32 32

33 手戻りを防ぐには要求分析後設計前にハードウェアソフトウェアのアーキテクチャ候補を列挙それぞれの候補についてリスク評価を行う CVE CWE などの評価を参考明確な脆弱性がないかデータ保護アクセス制御などを実現可能か 33 33

34 脅威分析 34 34

35 脅威分析設計段階においては資産ベースの分析よりもモデルベースの分析を重視脅威モデリングセキュリティ要求を侵害しそうな脅威を識別し対策するアーキテクチャ選択時に想定済の典型的脅威を利用 35 35

36 脅威モデリング Microsoft が考案した脅威分析手法脅威分析の中では一般に最もよく使われている設計したシステムにおける脅威分析 ( 脅威の抽出評価 ) を行う手法 Data Flow Diagram(DFD) を用いた脅威抽出 STRIDE による脅威発見アタックツリー等による脅威のリスク評価アーキテクチャが明確なとき脅威抽出の手法としては有効参考書 [HL04]M.Howard, D.LeBlanc: WRITING SECURE CODE, Microsoft press,2004. [Swiderski05] Swiderski, F. and Snyder, W. : 脅威モデルセキュアなアプリケーション構築, 日経 BP ソフトプレス (2005). [Sho14] A.Shostack: Threat Modeling, Wiley (2014). 3 36

37 DFD 外部エンティティデータ境界プロセスデータストア出典 :M.Howard et al: Writing Secure Code, Microsoft press 3 37

38 DFD 境界の意味データ送受信の相手が信頼できるか? を考える物理的境界を越えてくるデータは信頼できない外部エンティティから来るデータは信頼できない信頼できない相手にデータを送るのは危険エントリポイント : 脅威の起きそうなポイント境界とデータフローの交点境界を越えてデータがやりとりされる時に脅威が発生しやすい信頼できない相手から来たデータ : 改ざんされているかも? 信頼できない相手にデータを送る流出するかも? 38 38

39 エントリポイント出典 :M.Howard et al: Writing Secure Code, Microsoft press 3 39

40 アタックツリー脅威分析手法の一つ脅威を Tree 状に詳細化していく具体的な攻撃手段とその可能性を明確化対策の糸口原典 [SCH99] B. Schneier, Attack trees: modeling security threats, Dr. Dobb s Journal, December [MEL01] B A. P. Moore, R. J. Ellison, and R. C. Linger, Attack modeling for information security and survivability, CMU/SEI-2001-TN-001, March

41 アタックツリー分析の手順上位の攻撃を考えるその攻撃を実現する手段や条件を下位ノードとして接続下位ノードが独立である場合 : 線で接続するのみ下位ノードの組み合わせで上位が実現できる場合 :and 関係で接続 41 41

42 アタックツリー分析の手順金庫を開けるピッキングダイアルの組み合わせを知る金庫を切断不適切な設置ダイアルの組み合わせのメモを見つける持ち主から組み合わせ情報を得る脅迫詐欺メール盗聴賄賂 and 会話から聞き取る持ち主に言わせる 42 42

43 脅威詳細化に活用する知識 Threat Tree Patterns CAPEC(Common Attack Pattern Enumeration and Classification) 43 43

44 Threat Tree Patterns Microsoft が提供する Threat Tree( アタックツリーと似ているが脅威ベースで分解 ) のパターン STRIDE 以降の分解がされているのである程度までは活用できる個別の詳細設計までのブレークダウンには非対応 44 44

45 Threat Tree Patterns の例 45 45

46 CAPEC CAPEC(Common Attack Pattern Enumeration and Classification) 攻撃パターンのデータベースいくつかの観点での階層構造があるがアタックツリー分析にはあまり適していない 46 46

47 CAPEC の利用法 CAPEC の各パターンには Motivation( 攻撃者のモティベーション ) というパラメータがある攻撃者の目標から該当するものを検索アーキテクチャからの特定 Abstract や Resources Required から 47 47

セキュリティバイデザインとはソフトウェアやシステム開発の過程程で開発の早期段階 ( 分析設計 ) からセキュリティを作りこむ対義語? セキュアプログラミングプログラミング工程での脆弱性排除 2

セキュリティバイデザインとはソフトウェアやシステム開発の過程程で開発の早期段階 ( 分析設計 ) からセキュリティを作りこむ対義語? セキュアプログラミングプログラミング工程での脆弱性排除 2 セキュリティバイデザインと IoT 時代の脅威分析の意義情報セキュリティ大学院大学大久保隆夫セキュリティバイデザインとはソフトウェアやシステム開発の過程程で開発の早期段階 ( 分析設計 ) からセキュリティを作りこむ対義語? セキュアプログラミングプログラミング工程での脆弱性排除 2 Security by Design Principles(OWASP) https://www.owasp.org/index.php/security_by_design_p