IoT を含む医療機器システムのセキュリティ / セーフティ評価手法の提案と適用東京電機大学早川拓郎金子朋子佐々木良一 Information Security Lab. 1

Size: px

Start display at page:

Download "IoT を含む医療機器システムのセキュリティ / セーフティ評価手法の提案と適用東京電機大学早川拓郎金子朋子佐々木良一 Information Security Lab. 1"

ようたりゅうとう
5 years ago
Views:

1 IoT を含む医療機器システムのセキュリティ / セーフティ評価手法の提案と適用東京電機大学早川拓郎金子朋子佐々木良一 Information Security Lab. 1

2 目次 IoTの現状ツリー分析とSTPAの課題提案手法試適用今後の展望 Information Security Lab. 2

3 IoT( モノのインターネット ) の普及 IoT の普及により様々なモノがインターネットと接続もともとセキュリティの考慮をされていない機能安全によりセーフティを確保誤作動や停止が人の健康や命に関わるセキュリティの欠陥がセーフティの欠陥に直結セーフティとセキュリティを統合的に扱うことが必要 Information Security Lab. 3

4 医療機器における脆弱性の例リモコンによる遠隔操作が可能なインスリンポンプに脆弱性 (2016) Japan Vulnerability Notes よりメーカーは注意喚起をするに留まる Information Security Lab. 4

5 IoT のセキュリティ対策 IoT には流通後のセキュリティ対策が困難なものが存在設計段階でセキュリティを考慮するセキュリティバイデザインの実践が必要セキュリティバイデザインの実践には設計段階でシステムに対する脅威分析とリスクに基づく対策選定が必要リスク = 事故の発生確率影響の大きさ Information Security Lab. 5

6 従来の脅威分析手法の限界フォールトツリー解析やアタックツリー解析等の木構造解析がよく利用される脅威の導出と事象の発生確率の算出が可能木構造解析は IoT を分析するには不向き多数の要素と制御による相互作用の分析が困難ツリー分析の例 Information Security Lab. 6

7 STPA の課題点と本研究の目的 STPA の課題点アクシデントの影響の大きさや確率に基づくリスクの定量化が含まれない対策選定の具体的な手順を含まない本研究の目的 IoT に対する新たな脅威分析対策選定手法を STPA をベースに開発する提案手法は次の要件を含む - 制御構造が複雑に絡み合ったシステムを分析できること - セキュリティと安全性を統合的に分析できること - 対策選定のためにリスクの定量的分析を含むこと STPA とディフェンスツリーの統合 Information Security Lab. 7

8 ディフェンスツリーの概要アタックツリーに対策のモデルを加えたものリスクの増減に基づき費用対効果の高い対策の組み合わせを導出例 ) 予想される影響の大きさが 1000 の事象 A について対策事象 Aの発生確率トータルリスクなし X Y Z XY YZ ZX XYZ Information Security Lab. 8

9 提案方式の概要手順内容 1 アクシデント, ハザード, 安全制約の識別 2 コントロールストラクチャの構築 STPA 3 UCA の識別 4 ハザード誘発要因の特定 5 アクシデントの確率分析 6 対策選定ディフェンスツリー提案手法の手順提案手法の全体像 Information Security Lab. 9

10 インスリンポンプへの試適用実在するインスリンポンプを参考に IoT 化した仮想のインスリンポンプを分析提案手法での対策選定の最適化が実用的な時間で可能かどうか検証事象の発生確率や対策による低減率は仮の値を使用 Information Security Lab. 10

11 インスリンポンプへの試適用仮想インスリンポンプの機能インスリン投与機能あらかじめ設定された基礎レートに基づく投与とボーラスの 2 種類の投与方法がある血糖値測定器との連携機能血糖値測定器と短距離無線により連携することで血糖値を記録血糖値測定器からボーラスを遠隔指示できる皮下グルコース値測定機能使用者に皮下に穿刺したセンサーにより皮下のグルコース濃度を測定するセンサーはトランスミッタにより測定値を短距離無線通信に変換して本体に送信するインターネットとの通信機能 ( 仮定 ) 本体は Wi-Fi を通じてインターネット経由でサーバに血糖値情報を送信する医者はサーバの血糖値情報を参照して患者の治療を行う Information Security Lab. 11

12 手順 1 アクシデントハザード安全制約の識別アクシデントID アクシデントハザードID ハザード安全制約 ID 安全制約 A1 使用者が健康を損なう H1 使用者が高血糖になる SC1 インスリンポンプは使用者が高血糖のときインスリンを投与しなければならない A1 使用者が健康を損なう H2 使用者が低血糖になる SC2 インスリンポンプは使用者が低血糖のときインスリンの投与を停止しなければならない A1 使用者が健康を損なう H3 医者が使用者に対して不医者は使用者の血糖値推移情報に応じた適切 SC3 適切な治療を行うな治療を行わなければならない A1 使用者が健康を損なう H4 使用者の血糖値測定が行使用者は定められた時刻に血糖値測定を行わ SC4 われないなければならない A2 使用者の個人情報が流出する H5 通信経路が安全でない SC5 通信経路はセキュリティが確保されていなければならない A2 使用者の個人情報が流出する H6 情報機器が安全でない SC6 各種情報機器はセキュリティが確保されていなければならない Information Security Lab. 12

13 コントロールストラクチャの構築手順 2 Information Security Lab. 13

14 手順3 UCAの識別 CA From To CA提供条件基礎レートの設定使用者インスリンポンプ操作時ボーラス実施使用者インスリンポンプ操作時投与停止使用者インスリンポンプ操作時血糖値測定の実施使用者測定器操作時遠隔ボーラス操作使用者測定器操作時治療指示医者使用者診察時 Not Providing Providing causes (UCA1-N-1) UCA [SC1][SC2] (UCA2-N-1) UCA [SC1] (UCA3-N-1) UCA [SC2] (UCA4-N-1) UCA [SC4] (UCA5-N-1) UCA [SC1] (UCA1-P-1) UCA [SC1][SC2] (UCA2-P-1) UCA [SC1][SC2] (UCA3-P-1) UCA [SC1] (UCA4-P-1) UCA [SC5][SC6] (UCA5-P-1) UCA [SC1][SC2] (UCA6-P-1) UCA (UCA6-N-1) UCA [SC3] [SC3] (UCA6-P-2) UCA [SC5][SC6] Information Security Lab. Too early / Too late Stop too soon / - - (UCA2-T-1) UCA [SC1][SC2] (UCA3-T-1) UCA [SC1][SC2] (UCA3-D-1) UCA [SC1][SC2] - - (UCA5-T-1) UCA [SC1][SC2]

15 手順 3 識別した UCA の例 ( 全 17 個 ) UCAID 内容違反安全制約 1 違反安全制約 2 UCA1-N-1 基礎レートの設定が行われない場合適切な量のインスリンが投与されない SC1 SC2 UCA1-P-1 基礎レートの設定が不適切な場合適切な量のインスリンが投与されない SC1 SC2 UCA2-N-1 ボーラス実施が行われない場合必要なインスリンが投与されず血糖値が上昇する UCA2-P-1 ボーラス実施の方法が誤っていた場合適切な量のインスリンが投与されない SC1 SC2 UCA2-T-1 ボーラス実施のタイミングが適切でない場合必要な時にインスリンが投与されない SC1 SC2 UCA3-N-1 投与停止が行われない場合投与されるインスリンの量が過剰になり血糖値が低下する UCA3-P-1 投与停止が不適切に行われた場合適切なインスリン投与が行われず血糖値が上昇する UCA3-T-1 投与停止が早すぎたり遅すぎる場合適切なタイミングでインスリンが投与されない SC1 SC2 UCA3-D-1 投与停止が短すぎたり長すぎたりする場合適切な量のインスリンが投与されない SC1 SC2 SC1 SC2 SC1 Information Security Lab. 15

16 手順 4 Excel によるツリー作成 Information Security Lab. 16

17 手順 5 手順 6 EFT の下位事象の確率を推定すると UCA の発生確率が求められる UCA の発生確率の OR 演算によりアクシデントの発生確率 P A が求められるアクシデント発生時の影響の大きさを推定する通常は被害額の大きさを推定各アクシデントのリスクの総和 ( トータルリスク ) を最も低減する対策を選定 Information Security Lab. 17

18 結果 STPA での分析項目アクシデント 2 ハザード (= 安全制約 ) 6 コンポーネント 7 コントロールアクション 6 安全でないコントロールアクション 17 ディフェンスツリーでの分析項目ツリー 17 最下位事象 ( ハザード誘発要因 ) 96 ソルバーによる求解時間約 1 分程度数数 Information Security Lab. 18

19 識別した HCF の例遠隔通信を行う機器による HCF 測定機とトランスミッタは短距離無線により通信を行うなりすましや通信データの改ざんにより不正な投与が行われる可能性あり時刻の同期による HCF 現状では利用開始時にユーザが手動で設定する前提 NTP サーバと同期を行う場合これを悪用した攻撃が発生する可能性あり機内モードによる HCF 機内モードの ON により全ての無線通信が停止するタイミングによってはスマートガード機能が機能しない可能性あり Information Security Lab. 19

20 考察より現実に近い対策選定について実際の対策選定では一つの HCF に対して複数の対策が存在する一つの対策が複数の HCF の発生確率に影響する可能性があるこれを考慮した上で求解が可能であるか検証が必要分析の漏れについて提案手法のツリー作成は分析者の主観による分析者の技量によらず分析漏れがないことを担保できる手法の検討 Information Security Lab. 20

21 今後の展望具体的な対策内容と低減率の設定セキュリティ面の対策 : IoT 開発におけるセキュリティ設計の手引き 1 セーフティ面の対策 : 実際のインスリンポンプに設定されているものセキュリティ上の HCF の発生確率や対策による低減率の分散を考慮した分析の導入 CrystalBall によるモンテカルロ法対策選定の精度に関する評価 Information Security Lab. 21

22 まとめ IoT にはセーフティも考慮したセキュリティバイデザインの実践が必要セーフティとセキュリティの脅威を統合的に分析できる手法が必要 STPA を拡張することで以下の要件を満たす提案手法を開発する制御構造が複雑に絡み合ったシステムを分析できることセキュリティと安全性を統合的に分析できること対策選定のためにリスクの定量的分析を含むこと提案手法を用いることでセキュリティ上の要因により機能安全だけでは防げない事故を設計段階で予測対策できる Information Security Lab. 22

社員証型センサをいた健康増進システムへの STAMP/STPA の適検討林良輔 * 伊藤信梶克彦内藤克浩水野忠則中條直也 * 愛知工業大学大学院三菱電機エンジニアリング愛知工業大学 1

社員証型センサをいた健康増進システムへの STAMP/STPA の適検討林良輔 * 伊藤信梶克彦内藤克浩水野忠則中條直也 * 愛知工業大学大学院三菱電機エンジニアリング愛知工業大学 1 社員証型センサをいた健康増進システムへの STAMP/STPA の適検討林良輔 * 伊藤信梶克彦内藤克浩水野忠則中條直也 * 愛知工業大学大学院三菱電機エンジニアリング愛知工業大学 1 次研究背景健康増進システム社員証型センサをいた運動量測定オフィスでの歩軌跡推定に基づく運動量推定エルゴ x ウェアラブル拍計を使った運動実験システムの高信頼化研究課題研究的

IoT を含む医療機器システムのセキュリティ / セーフティ評価手法の提案と適用 東京電機大学早川拓郎金子朋子佐々木良一 Information Security Lab. 1

IoT を含む医療機器システムのセキュリティ / セーフティ評価手法の提案と適用東京電機大学早川拓郎金子朋子佐々木良一 Information Security Lab. 1