タイトル

Transcription

1 制 御 セキュリティセッション IEC62443の 概 要 と 認 証 について EDSA : Embedded Device Security Assuranceを 中 心 に 2013 年 11 月 20 日 技 術 研 究 組 合 制 御 システムセキュリティセンター Control System Security Center CSSC 専 務 理 事 研 究 開 発 部 部 長 CSSC 認 証 ラボラトリー 長 評 価 認 証 標 準 化 委 員 会 副 委 員 長 小 林 偉 昭 (ひであき) [email protected] 1

2 目 次 1. 制 御 システムへのサイバー 攻 撃 の 脅 威 増 大 2. 制 御 システムセキュリティセンターの 紹 介 3. IEC62443の 概 要 と 認 証 について ~ 制 御 システムの 認 証 への 取 り 組 み~ 奈 良 時 代 後 半 の 多 賀 城 外 郭 南 門 ( 推 定 復 元 図 ) ロゴや 商 標 は それぞれの 組 織 に 属 しています 利 用 に 関 しては 注 意 してください 2

3 1. 制 御 システムへのサイバー 攻 撃 の 脅 威 増 大 3

4 多 様 化 する 脅 威 ハード 故 障 劣 化 ソフトバグ 動 作 停 止 誤 動 作 品 質 不 良 環 境 汚 染 Control System Security Center 社 会 政 治 的 災 害 9.11テロ 7.7テロ 自 爆 テロ 大 量 破 壊 兵 器 コミュニティ ( 社 会 ) 自 然 災 害 障 害 3.11 地 震 津 波 火 災 水 害 停 電 大 型 ハリケーン 内 部 不 正 機 密 情 報 の 持 ち 出 し 不 正 アクセス 不 正 操 作 サイバー 攻 撃 Stuxnet( 破 壊 動 作 異 常 ) 情 報 窃 取 不 正 アクセス Web 改 竄 DoS 攻 撃 ウイルス ビジネス ( 企 業 ) ライフ ( 家 庭 個 人 ) 人 為 的 災 害 オペレーションミス 従 業 員 モラル 不 法 投 棄 プライバシー 問 題 個 人 情 報 保 護 法 (05/4 施 行 ) ( 金 融 医 療 データ 等 ) 盗 聴 盗 撮 サイバー 攻 撃 の 脅 威 に 対 する 社 会 的 関 心 増 大 4

5 重 要 インフラの 制 御 システムへの 攻 撃 例 Stuxnet(スタックスネット)による 制 御 システム 停 止 攻 撃 Stuxnet 攻 撃 の 特 長 入 念 に 準 備 されたマルウェア ( 事 前 に 制 御 システムの 構 成 や 数 を 把 握 ) 複 数 のゼロデイ 脆 弱 性 を 狙 う オペレータの 監 視 を 欺 く 制 御 システムを 停 止 させた 目 的 は? イランの 核 開 発 を 遅 らせるために 使 われたと 言 われている 2009 年 の 終 わりから2010 年 の 初 頭 にかけて イランにある 遠 心 分 離 器 9000 台 のうち 約 1000 台 がStuxnetによって 破 壊 されたとしている このウイルスの 目 的 は イランの 核 施 設 における 遠 心 分 離 機 を 破 壊 することであり その ため 遠 心 分 離 機 の 回 転 速 度 に 関 わる 制 御 システムに 特 定 のコマンドを 出 したという 5

6 制 御 システムへのサイバー 攻 撃 の 対 象 例 攻 撃 目 的 : 装 置 や 設 備 の 破 壊 悪 品 質 製 品 生 産 や 生 産 の 暴 走 装 置 ベンダの 信 頼 失 墜 等 攻 撃 ターゲット 設 備 管 理 サーハ 品 質 管 理 サーハ 3 3 オープン 化 : 汎 用 製 品 と 標 準 プロトコル (TCP/IP) 2 DCS Operation Terminal 2 2 Historical Data Server SCADA SCADA 設 計 ツール 1 DCS Controller 4~20ma Field bus PLC 制 御 コンフィギュレーション RS232c / Ethernet ツール 1 PA FA 出 典 :VEC 村 上 氏 6

7 制 御 システム セキュリティインシデント 増 加 米 国 ICS-CERT:2009 年 に 設 置 以 降 インシデント 届 出 件 数 が 飛 躍 的 に 増 大 エネルギー 水 道 原 子 力 化 学 政 府 関 連 設 備 など 届 出 が 多 い ICS-CERT:Industrial Control Systems Cyber Emergency Response Team 件 ICS-CERTのインシデント 報 告 傾 向 (2010 年 ~2013 年 ) Stuxnet 攻 撃 分 野 別 インシデント 報 告 割 合 (2013 年 ) @ICSJWG 年 ICS-CERT Monitor Newsletters April-June ICS-CERTウェブサイト ICSJWG2013Fall 情 報 をもとに 作 成 7

8 サイバー 攻 撃 者 に 対 する 防 護 ハードルを 高 くしよう! 社 会 インフラ 事 業 者 やシステムを 提 供 運 用 する 事 業 者 1.サイバー 攻 撃 のリスクを 低 減 する4つの 対 策 実 施 (オーストラリアDSD, NIST) 1アプリケーションに 対 するホワイトリスティング(Whitelisting) 適 用 2アプリケーションの 脆 弱 性 対 策 パッチ 適 用 pdfやwordなど 3 基 本 ソフトOSの 脆 弱 性 対 策 パッチ 適 用 ネットワーク 機 器 も 4 特 権 ユーザの 数 を 最 小 にする 上 記 の 対 策 で85% 以 上 のリスク 低 減 が 実 現 できた 2. 継 続 的 な 監 視 (Continuous Monitoring)によるリスク 低 減 1ネットワーク 状 態 やシステムログの 継 続 的 監 視 :デジタルに 加 えアナログ 情 報 2 正 常 通 常 状 態 との 差 分 の 継 続 的 監 視 :SIEM 技 術 の 拡 張 3. 標 準 準 拠 認 証 された 製 品 やシステムの 利 用 守 るカギが 多 いと 攻 撃 者 は 時 間 がかかる ただしコストとの 関 係 も DSD: Defense Signals Directorate 既 知 の 脆 弱 性 を 利 用 した 攻 撃 が75% 8

9 2. 制 御 システムセキュリティセンターの 紹 介 CSSC: Control System Security Center <ビデオ> 約 10 分 東 京 都 心 で 大 規 模 な 停 電 が 発 生 したら CSSCの 紹 介 9

10 制 御 システムセキュリティへの 日 本 の 取 組 み 状 況 とCSSC 経 済 産 業 省 の 動 向 海 外 でのセキュリティ 関 連 規 格 認 証 制 度 の 普 及 拡 大 サイバーセキュリティと 経 済 研 究 会 (2010/12~2011/8) 制 御 システムセキュリティ 検 討 タスクフォース (2011/10~2012/4) 電 力 ガス ビル 分 野 の サイバーセキュリティ 演 習 東 京 研 究 センター CSS-Base6 で 継 続 ( 予 定 ) 東 北 多 賀 城 本 部 5.28 CSSCテストベッド 開 所 (CSS-Base6) 技 術 研 究 組 合 制 御 システム セキュリティセンター(CSSC) (2012/3/6 発 足 ) EDSA 評 価 認 証 パイロット プロジェクトCSSCで 推 進 中 CSMSパイロットプロジェクト JIPDEC/IPAで 推 進 中 10

11 2012 年 3 月 CSSCを 設 立 1. 重 要 インフラをサイバー 攻 撃 から 守 るための 技 術 開 発 をしよう! 2. 日 本 の 制 御 システムは サイバー 攻 撃 に 強 いことを 実 証 しよう! 3. サイバーセキュリティ 事 業 を 震 災 復 興 減 災 に 役 立 てよう! 多 賀 城 市 減 災 リサーチパーク 構 想 への 貢 献 経 済 産 業 省 震 災 復 興 補 助 金 宮 城 県 多 賀 城 市 みやぎ 復 興 パーク 技 術 研 究 組 合 制 御 システムセキュリティセンター 理 事 長 : 新 誠 一 活 動 拠 点 : 東 北 多 賀 城 本 部 と 東 京 研 究 センター 制 御 システム 製 造 ユーザー 企 業 ユーザ 企 業 制 御 ベンダ セキュリティベンダ その 他 大 学 電 気 通 信 大 ( 東 北 大 倉 敷 芸 術 科 学 大 学 名 古 屋 工 業 大 学 ) 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 情 報 処 理 推 進 機 構 11

12 CSSCの 概 要 技 術 研 究 組 合 制 御 システムセキュリティセンター Control System Security Center 全 21 社 (2013 年 11 月 現 在 ) *: 創 設 時 メンバー8 社 名 称 ( 英 文 名 )Control System Security Center ( 略 称 ) CSSC 経 済 産 業 大 臣 認 可 法 人 設 立 日 2012 年 3 月 6 日 ( 登 録 完 了 日 ) 東 北 多 賀 城 本 部 (TTHQ) 宮 城 県 多 賀 城 市 桜 木 (みやぎ 復 興 パーク F-21 棟 6 階 ) アズビル 株 式 会 社 * エヌ アール アイ セ キュアテクノロジーズ 株 式 会 社 エヌ ティ ティ コミュニケーションズ 株 式 会 社 オムロ ン 株 式 会 社 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 組 合 員 * 独 立 行 政 法 人 情 報 処 理 推 進 機 構 国 立 大 学 (50 音 順 ) 法 人 電 気 通 信 大 学 株 式 会 社 東 芝 * 東 北 イン フォメーション システムズ 株 式 会 社 株 式 会 社 トヨタIT 開 発 センター トレンドマイクロ 株 式 会 社 日 本 電 気 株 式 会 社 株 式 会 社 日 立 製 作 所 * 富 士 通 株 式 会 社 富 士 電 機 株 式 会 社 マ カフィー 株 式 会 社 三 菱 重 工 業 株 式 会 社 * 株 式 会 社 三 菱 総 合 研 究 所 * 三 菱 電 機 株 式 会 社 森 ビル 株 式 会 社 * 横 河 電 機 株 式 会 社 * 所 在 地 東 京 研 究 センター(TRC) 東 京 都 江 東 区 青 海 ( 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 臨 海 副 都 心 センター 別 館 8 階 ) 連 携 団 体 ( 予 定 含 む) 一 般 社 団 法 人 JPCERTコーディネーションセンター 一 般 社 団 法 人 日 本 電 機 工 業 会 公 益 社 団 法 人 計 測 自 動 制 御 学 会 一 般 社 団 法 人 電 子 技 術 情 報 産 業 協 会 一 般 社 団 法 人 日 本 電 気 計 測 器 工 業 会 一 般 財 団 法 人 製 造 科 学 技 術 セ ンター 電 気 事 業 連 合 会 一 般 社 団 法 人 日 本 ガス 協 会 一 般 社 団 法 人 日 本 化 学 工 業 協 会 賛 助 会 員 の 新 設 : 研 究 成 果 などの 普 及 活 動 12

13 CSSCの 組 織 体 制 Control System Security Center 現 在 13

14 CSSCの 研 究 開 発 の 概 要 Control System Security Center 人 材 育 成 プログラムの 開 発 制 御 システムにインシデントが 発 生 した 場 合 の 対 策 に 関 する 普 及 啓 発 システムについての 技 術 を 開 発 する 制 御 システムにおけるマルウェア 感 染 の 影 響 および 対 策 のための 人 材 育 成 プログラム 構 築 技 術 制 御 システムセキュリティ 人 材 育 成 のための 模 擬 システム 構 築 技 術 制 御 機 器 が 実 環 境 と 同 等 の 環 境 で 稼 働 することを 保 証 し 制 御 機 器 の 接 続 性 脆 弱 性 を 検 証 し それらの 結 果 を 視 覚 化 する 技 術 を 開 発 する 制 御 機 器 評 価 認 証 手 法 の 開 発 制 御 機 器 間 の 接 続 性 検 証 技 術 制 御 システムに おける 脆 弱 性 検 証 技 術 実 環 境 エミュレー ションソフトウェア 技 術 セキュリティ 検 証 結 果 の 視 覚 化 技 術 高 セキュア 化 技 術 の 開 発 マルウェアの 侵 入 防 止 や 感 染 後 の 不 正 な 動 作 の 防 止 を 図 ること によるマルウェア 対 策 技 術 通 信 路 での 暗 号 化 を 図 るための 暗 号 化 技 術 構 造 自 体 をセキュアにする 技 術 などを 開 発 する インシデント 分 析 技 術 の 開 発 インシデントを 検 知 するために ネットワーク 上 の 振 る 舞 いや 制 御 機 器 の 異 常 を 検 知 できる 技 術 を 開 発 する 制 御 機 器 制 御 システムへのマル ウェア 侵 入 対 策 技 術 仮 想 環 境 化 における サーバや 制 御 機 器 の 異 常 検 知 技 術 通 信 機 器 高 セキュアデバイス 保 護 技 術 制 御 システム 向 け 軽 量 暗 号 認 証 技 術 仮 想 環 境 における 高 セキュア 制 御 システム 構 築 技 術 制 御 ネットワーク 上 の 異 常 振 る 舞 い 検 知 技 術 14

15 テストベッド(CSS-Base6)の7つの 模 擬 プラントシステム 制 御 システムの 特 徴 的 な 機 能 を 切 り 出 し デモンストレー ションとサイバー 演 習 が 実 施 可 能 な 模 擬 システムを 構 築 した 2013 年 5 月 時 点 では 下 記 の7 種 類 の 模 擬 システムが 稼 働 中 (7) (1) (2) (1) 排 水 下 水 プラント (2)ビル 制 御 システム (3) 組 立 プラント (4) 火 力 発 電 所 訓 練 シミュレータ (5)ガスプラント (6) 広 域 制 御 (スマートシティ) (7) 化 学 プラント (3) (5) (4) (6) 15

16 3.IEC62443の 概 要 と 認 証 について ~ 制 御 システムの 認 証 への 取 り 組 み~ ISA : International Society of Automation 国 際 計 測 制 御 学 会 ISASecure : ISCI( ISA Security Compliance Institute )の 認 証 プログラム EDSA : Embedded Device Security Assurance 16

17 制 御 システム 分 野 での 標 準 化 に 関 する 技 術 動 向 制 御 システムのセキュリティの 標 準 基 準 には 組 織 やシステムのレイヤに 対 応 したもの 業 種 や 業 界 に 対 応 し たものなど 様 々な 標 準 基 準 が 提 案 されている こうした 中 で 汎 用 的 な 標 準 基 準 として IEC62443が 注 目 されてきており 一 部 事 業 者 の 調 達 要 件 に 挙 がってきている 業 界 で 評 価 認 証 が 先 行 しているISCIやWIBの 基 準 が IEC62443のシリーズに 統 合 される 動 きとなっている 標 準 化 対 象 汎 用 制 御 システム 石 油 化 学 プラント 専 用 ( 業 種 )システム 電 力 システム スマート グリッド 鉄 道 システム 組 織 CSMS 認 NERC CIP NIST IR7628 ISO/IEC システム IEC SSA 認 WIB 認 IEC61850 コンポー ネント ISCI EDSA 認 IEEE1686 凡 例 ISCI: ISA Security Compliance Institute WIB: International Instrument User s Association 国 際 標 準 業 界 標 準 認 : 認 証 スキーム 有 17

18 制 御 システムセキュリティ 基 準 IEC62443の 全 体 像 IEC62443は 制 御 システムセキュリティの 全 レイヤ/プレイヤーをカバーした 規 格 先 行 する 評 価 認 証 の 標 準 (EDSA 認 証 等 )がIEC62443に 採 用 される 方 向 事 業 者 イ ン テ グ レ ー タ 装 置 ベ ン ダ 標 準 化 *1) IEC IEC 管 理 運 用 フ ロセス IEC 技 術 システム IEC コンホ ーネント テ ハ イス EWS DCS/ Slave 情 報 ネットワーク HMI DCS/ Master 生 産 管 理 サーバ PLC PIMS ファイアウォール 制 御 情 報 ネットワーク コントロールネットワーク 評 価 認 証 < 評 価 事 業 者 > ISCI : ISASeure EDSA 認 証 *2) *1) IEC62443のCyber securityの 標 準 化 作 業 は IEC/TC65/WG10が 担 当 ( 日 本 国 内 事 務 局 はJEMIMAが 対 応 ) *2) EDSA:Embedded Device Security Assurance: 制 御 機 器 (コンポーネント)の 認 証 プログラム IEC に 提 案 されている *3) WIB: International Instrument User s Association IEC に 提 案 されている DCS: Distributed Control System PLC: Programmable Logic Controller PIMS: Process Information Management System PLC フィールドネットワーク M センサ アクチュエータなど センサバス WIB *3) 18

19 IEC62443 標 準 化 状 況 と 評 価 認 証 の 状 況 12の 標 準 中 3つが 標 準 化 済 みだが 他 の 標 準 については 国 内 意 見 の 反 映 を 推 進 装 置 ベンダ 向 けEDSA 認 証 は 米 国 で 先 行 事 業 運 用 者 向 けCSMS 認 証 は 国 内 で 先 行 2CSMS 認 証 (Cyber Security Management System) 1EDSA 認 証 (Embedded Device Security Assurance) 19

20 民 間 組 織 が 主 体 の 認 証 スキーム ドイツTUViT 社 Trusted Site Security SCADA Infrastructure オランダWIB(International Instrument Users Association) カナダWurldtech 社 Achilles 国 際 制 御 学 会 ISAとその 下 部 の 認 証 フレームワーク 推 進 組 織 ISCIが 主 体 の 制 御 機 器 認 証 スキームが 拡 大 ISCI(ISA Security Compliance Institute) ISASecure 認 証 :EDSA ( Embedded Device Security Assurance ) 国 際 標 準 (IEC62443)への 組 込 みが 見 込 まれており 認 証 のスキームも 綿 密 に 組 み 立 てられているため 今 後 拡 大 してゆく 可 能 性 大 20

21 ISA Security Compliance Institute (ISCI)とは 組 織 アセットオーナー( 制 御 システム 事 業 者 ) サプライヤ 及 び 業 界 組 織 からなる コンソーシアムでISA Automation Standards Compliance Institute(ASCI) 内 に2007 年 に 構 築 された 目 的 制 御 システム 製 品 向 け 試 験 及 び 認 証 のための 仕 様 とプロセスの 確 立 アセットオーナー サプライヤ 及 び 利 害 関 係 者 の 間 の 業 界 ベース のプログラム 確 立 により 制 御 システムの 開 発 購 入 及 び 構 築 のための 時 間 コスト 及 びリスクの 低 減 出 典 : ISA Security Compliance Institute (ISCI) and ISASecure 21

22 ISCIのメンバタイプと 加 入 組 織 1Strategic Member: Chevron ExxonMobil Honeywell Invensys Siemens Yokogawa Voting 有 年 会 費 50000ドル 2Technical Member: Exida RTP Corporation Voting 有 年 会 費 5000ドルから25000ドル 3Associate Member: 現 在 加 入 組 織 無 (コンソーシアム 組 織 が 対 象 ) Voting 無 年 会 費 5000ドル 4Government Member : IPA Voting 無 年 会 費 5000ドル 5Information Member: Egemin Voting 無 年 会 費 1500ドル CSSCは ISCIに 加 入 予 定 加 入 の 目 的 : 1)SSA( System Security Assurance )の 検 討 状 況 把 握 及 び 最 終 仕 様 の 早 期 入 手 2)EDSAのエンハンス 検 討 状 況 の 早 期 把 握 3) 適 宜 CSSCからの 評 価 認 証 実 績 に 基 づくコメント 提 案 等 がある 特 にSSAの 早 期 仕 様 入 手 が 来 年 度 以 降 の 活 動 の 検 討 に 必 要 となってきている 22

23 ISCIのISASecure 認 証 標 準 進 捗 状 況 ISCIは ISASecureの 認 証 標 準 を 制 定 している 組 織 である 現 在 ISASecure の 第 1 弾 として EDSA 認 証 の 標 準 を 提 供 している 制 御 システム 事 業 者 サプライヤ( 制 御 システム 構 築 事 業 者 装 置 ベンダ) 等 からなるコンソーシアム ISA (=IEC62443) 標 準 化 状 況 とISASecureの 関 係 SSA とSDLAは 現 在 開 発 中 ISASecureは3つの 認 証 標 準 ( 現 在 EDSA 認 証 が 標 準 済 ) ISASecure System Security Assurance (SSA) ISASecure Embedded Device Security Assurance (EDSA) ISASecure Security Development Lifecycle Assurance (SDLA) 出 典 : ISCI : ISA Security Compliance Institute ISA : International Society of Automation 国 際 計 測 制 御 学 会 PCLS: Provisional Chartered Laboratory Status 仮 免 状 態 23

24 EDSA 製 品 認 証 の 最 新 動 向 EDSA 認 証 対 象 : 制 御 システム 向 けの 組 込 み 機 器 組 込 み 機 器 とは 産 業 プロセスを 直 接 監 視 制 御 及 び 駆 動 するよう 設 計 された 組 込 みソフトウェアを 実 行 する 特 定 目 的 を 持 ったデバイス 例 : Programmable Logic Controller (PLC) Distributed Control System (DCS) controller Safety Logic Solver Programmable Automation Controller (PAC) Intelligent Electronic Device (IED) Digital Protective Relay Smart Motor Starter/Controller SCADA Controller Remote Terminal Unit (RTU) Turbine controller Vibration monitoring controller Compressor controller 24

25 EDSA 標 準 のドキュメント 体 系 評 価 認 証 Certification Scheme (EDSA-100) 機 関 認 定 ツール 承 認 認 証 要 件 Chartered lab operations and accreditation (EDSA-200) CRT tool recognition (EDSA-201) ISASecure certification requirements (EDSA-300) 認 証 要 件 の 維 持 管 理 Maintenance of ISASecure certification (EDSA-301) 通 信 評 価 機 能 評 価 開 発 環 境 評 価 CRT FSA SDSA (EDSA-310) (EDSA-311) (EDSA-312) Ethernet (EDSA-401) ARP (EDSA-402) IPv4 (EDSA-403) ICMPv4 (EDSA-404) UDP (EDSA-405) TCP (EDSA-406) IPAにより 翻 訳 されたEDSA 標 準 の 対 訳 版 はISCIウェブサイトにて 公 開 25

26 EDSA 認 証 の 各 評 価 項 目 概 要 EDSA ソフトウェア 開 発 セキュリティ 評 価 (SDSA) SDSA FSA CRTの3つを 評 価 することで 想 定 脅 威 に 対 する 対 策 のカバー 範 囲 が 十 分 であることを 認 証 体 系 的 な 設 計 不 良 の 検 出 と 回 避 ベンダのソフトウェア 開 発 とメンテナンスのプロセス 監 査 堅 牢 (robust)で,セキュアなソフトウェア 開 発 プロセスを 当 該 組 織 が 守 っていることを 評 価 する 3 段 階 のセキュリティレベルにより 評 価 項 目 数 が 決 まる 機 能 セキュリティ 評 価 (FSA) 通 信 ロバストネス 試 験 (CRT) 実 装 エラー / 実 装 漏 れの 検 出 セキュリティ 機 能 要 件 について 目 標 とするセキュリティレベル に 対 応 する 全 要 件 が 実 装 済 みであるかどうかを 評 価 3 段 階 のセキュリティレベルにより 評 価 項 目 数 が 決 まる デバイスの 堅 牢 性 を 評 価 する 試 験 コンポーネントのロバストネス( 堅 牢 性 ) について 試 験 奇 形 や 無 効 な 形 式 のメッセージを 送 り 脆 弱 性 等 を 分 析 セキュリティレベルによらず 評 価 項 目 数 は 同 一 EDSA : Embedded Device Security Assurance 注 : 正 式 には 原 英 文 を 参 照 してください Communication Robustness Testing(CRT), Functional Security Assessment(FSA), Software Development Security Assessment(SDSA) 出 典 : ISA Security Compliance Institute (ISCI) and ISASecure 及 び 26

27 ソフトウェア 開 発 セキュリティ 評 価 (SDSA) 目 的 : ソフトウェア 開 発 プロセスがセキュア( 脆 弱 性 を 作 り 込 まないよう)に 行 われていることを 監 査 する 構 成 Set of requirements, derived from existing reference standards and traceable to source standard (IEC 61508, ISO/IEC 15408) SDSAの 主 な 参 照 標 準 ISO/IEC ~ I IEC Part 3 情 報 技 術 セキュリティ 技 術 ITセキュリティ 評 価 基 準 Part1~Part3 電 気 / 電 子 /プログラマブル 電 子 的 安 全 関 連 システムの 機 能 安 全 :ソフトウェア 開 発 出 典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 27

28 SDSAの 主 な 要 求 事 項 セキュリティマネジメント プロセス This phase specifies a process for planning and managing security development activities to ensure that security is designed into a product. For example, this phase incorporates requirements that the development team have a security management plan and that the developers assigned to the project are competent and have been provided basic training in good security engineering practices and processes. Also includes requirements that the project team creates and follows a configuration management plan. セキュリティ 要 件 仕 様 ソフトウェアアーキ テクチャ 設 計 セキュリティリスクアセ スメントと 脅 威 モデリン グ 詳 細 ソフトウェア 設 計 セキュリティ 指 針 の 文 書 化 ソフトウェアモジュール 実 装 と 検 証 セキュリティ 統 合 試 験 セキュリティプロセス 実 証 セキュリティレスポンス 計 画 セキュリティ 実 証 試 験 セキュリティレスポンス 実 行 Most vulnerabilities and weaknesses in software intensive information systems can be traced to inadequate or incomplete requirements. This phase requires that the project team document customer driven security requirements, security features and the potential threats that drive the need for these features. Software architecture facilitates communication between stakeholders, documents early decisions about high-level design, and allows reuse of design components and patterns between projects. This phase requires the project team develop a top-level software design and ensures that security is included in the design. This phase requires the project team determine which components can affect security and plan which components will require security code reviews and security testing. Also requires that a threat model be created and documented for the product. This phase requires the project team design the software down to the module level following security design best practices. This phase requires the project team create guidelines that users of the product must follow to ensure security requirements are met. This phase requires the project team implement design by writing code following security coding guidelines. It ensures that software modules are implemented correctly by conducting security code reviews, static analysis and module testing. This phase requires that the project team perform security specific tests such as fuzz testing and penetration testing. This phase requires an independent assessment that all required software development processes have been followed This phase requires the project team establish a process to be able to quickly respond to security issues found in the field if and when they happen. This phase requires that the project team confirm that all security requirements have been met preferably by test or by analysis. This phase requires the project team respond to security problems in the field by taking action to both preventative and corrective action. 出 典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 28

29 ソフトウェア 開 発 ライフサイクルへのセキュリティ 導 入 SDSAでは 開 発 プロセスのVモデルにセキュリティを 組 み 込 まれていることを 監 査 する セキュリティ トレーニング セキュリティ 要 件 要 件 分 析 レビュー/ 試 験 継 続 するサポート 操 作 上 の 試 験 セキュリティ 対 応 計 画 と 実 行 セキュリティ アーキテクチャ 設 計 セキュリティリスクアセスメ ントと 脅 威 のモデル 化 セキュリティコーディング のガイドライン ハイレベル 設 計 詳 細 仕 様 コーディング 統 合 試 験 単 体 テスト セキュリティ 妥 当 性 試 験 ファジングテスト, abuse caseテスト セキュリティコードレ ビュー& 静 的 分 析 出 典 : ISA Security Compliance Institute (ISCI) and ISASecure 29

30 機 能 セキュリティ 評 価 (FSA) 目 的 : 製 品 の 機 能 が 一 定 の 要 求 事 項 を 満 たしているかを 監 査 する 構 成 : 既 存 の 参 照 規 格 で 且 つ 出 典 元 の 規 格 にトレース 可 能 な 要 件 各 要 件 に 対 して 識 別 された1 個 以 上 の 容 認 可 能 な 解 決 策 ( 対 抗 策 ) 適 用 可 能 なときは, 要 件 検 証 手 順 が 満 たされている * 適 用 可 能 とは 要 求 事 項 でアロケータブルとなっている(allocation が Yesとなっている) 場 合 その 機 能 をデバイス 以 外 のもので 実 現 してもよい ということを 示 す 出 典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 30

31 FSAの 主 な 参 照 標 準 [N1] ISA D 産 業 自 動 制 御 システム 向 けセキュリティ:システムセキュリティ 要 件 とセキュリティ 保 証 レベルISA [N2] NERC 規 格 CIP ~ CIP North American Electric Reliability Council Cyber Security Standards [N3] NIST 連 邦 情 報 システムのための 推 奨 されたセキュリティ 制 御 Recommended Security Controls for Federal Information Systems [N4] [N5] ISO/IEC ~ I 情 報 技 術 セキュリティ 技 術 ITセキュリティ 評 価 基 準 Part1~Part3 国 土 安 全 保 障 省 : 制 御 システムセキュリティのカタログ: 標 準 策 定 者 のための 推 奨 事 項 Department of Homeland Security: Catalog of Control Systems Security: Recommendations for Standards Developers 出 典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 31

32 FSAの 主 な 要 求 事 項 アクセス 制 御 使 用 制 御 データ 完 全 性 データ 機 密 性 データのフロー 制 限 イベントへの 迅 速 な 応 答 ネットワークリソース 有 用 性 ユーザ 承 認 ユーザ 認 証 システム 使 用 通 知 セッションロック/ 終 了 User authorization, user authentication, system use notification, session locking/termination デバイス 認 証 監 査 証 跡 Device authentication, audit trail 転 送 中 のデータ 保 管 中 のデータ Data in transit, data at rest 転 送 中 のデータ, 保 管 中 のデータ, 暗 号 化 Data in transit, data at rest, crypto 情 報 フロー 実 施 適 用 パーティッショニング 機 能 分 離 Information flow enforcement, application partitioning, function isolation インシデント 応 答 Incident response サービス 不 能 攻 撃 防 御 バックアップと 回 復 Denial of service protection, backup & recovery 出 典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 32 32

33 通 信 ロバストネス 試 験 (CRT) 組 込 み 機 器 へのネットワークプロトコル 実 装 が,ネットワークから 受 信 した 異 常 な 又 は 意 図 的 な 悪 意 のトラフィックに 対 して, 自 分 自 身 及 び 他 のデバ イス 機 能 を 防 御 する 程 度 を 測 定 する 不 適 切 なメッセージ 応 答, 又 はデバイスが 重 要 サービスを 適 切 に 実 行 継 続 できないと,デバイス 内 部 の 潜 在 的 なセキュリティ 脆 弱 性 の 存 在 を 示 し ている 共 通 CRT 要 件 (EDSA-310) Ethernet (EDSA-401) IPv4 (EDSA-403) ICMP (EDSA-404) ARP (EDSA-402) TCP (EDSA-406) UDP (EDSA-405) 出 典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 33

34 CRT 試 験 の 実 施 方 法 Control System Security Center ISCIの 認 定 ( 承 認 )ツールを 使 う ( 現 在 はAchillesとdefensicsが 認 定 ツール 現 在 他 のツールも 認 定 中 ) コントローラだけではなく 事 実 上 HMI 側 の 用 意 も 必 要 (Achilles 認 証 とは 違 う) 試 験 環 境 のイメージ 攻 撃 パケット DUT (PLC) 通 信 死 活 監 視 Digital, Analog 制 御 出 力 モニタ TD 操 作 端 末 DUT : Device Under Test TD : Test Device 34

35 ISASecure 3 段 階 のセキュリティレベル 評 価 項 目 の 数 によって3 段 階 の 認 証 レベルを 規 定 LEVEL 3 LEVEL 1 Software Development Security Assessment (129) Functional Security Assessment(21) LEVEL 2 Software Development Security Assessment (148) Functional Security Assessment(50) Software Development Security Assessment (169) Functional Security Assessment(83) Communication Robustness Testing(69) 出 典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 35

36 EDSA Certification Process Typical Chartered Lab Level of Effort in Man Weeks 1. CRT test all accessible TCP/IP interfaces 2. Perform FSA on device and all interfaces 3. Audit supplier s software development process 4. Perform ITA and issue report Level 1 Level 2 Level weeks 1-2 weeks 1-2 weeks < 1 week 1 week 1 2 weeks 1 week 1 2 weeks 1 2 weeks 1 week 1 week 1 week 3 5 weeks 4 6 weeks 4 10 weeks ITA : Integrated Threat Analysis ( 統 合 脅 威 分 析 ) 出 典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 36

37 情 報 ネットワーク ファイアウォール EDSAの SDSA FSA の 要 求 事 項 がほぼ 同 内 容 で IEC IEC へそれぞれ 提 案 されている EWS HMI DCS/Master 生 産 管 理 サーバ PLC PIMS 制 御 情 報 ネットワーク コントロールネットワーク PLC EDSA 認 証 Software Development Security Assessment(SDSA) Functional Security Assessment(FSA) Communications Robustness Testing(CRT) DCS/Slave フィールドネットワーク センサバス M センサ アクチュエータなど 37

38 日 本 で 日 本 語 による 世 界 共 通 の 認 証 取 得 を 可 能 に 現 Current 在 のスキム Scheme EDSA Scheme Owner IPAより 米 国 ISCIへ 提 案 承 諾 されたスキーム Proposal 承 諾 スキーム Scheme ISO/IEC Guide65*2 ANSI/ACLASS Accreditate 認 定 ISO/IEC 17025*3 Current EDSA CL*1 CL 現 candidate 在 は 米 国 needs のexida ANSI/ACLASS 一 社 が accreditation CLとして 認 for 定 され requirements 活 動 中 related to ISO/IEC and ISO/IEC Guide65. IAF/ ILAC MRA IAF : International Accreditation Forum ILAC : International Laboratory Accreditation Cooperation MRA :Mutual Recognition Arrangement 日 本 のベンダ ISO/IEC Guide65*2 Accreditate 認 定 ISO/IEC 17025*3 Additional EDSA CL (In Japan) CL CSSCがCLとして candidates in Japan 認 can 定 get をthe accreditation 受 け 認 証 from 機 関 JAB, となるよう based on MRA. 推 進 中 Japan s Case Other Countries Cases *1 CL: Chartered Laboratory *2 ISO/IEC Guide65:General requirements for Bodies Operating Product Certification Systems *3 ISO/IEC 17025:General requirements for the competence of testing and calibration laboratories *4 CSSC:Control System Security Center 38

39 CSSCのISASecure 認 証 制 度 への 取 り 組 み (EDSAから) 制 御 システムのセキュリティに 関 する 評 価 認 証 の 国 際 相 互 承 認 のスキーム 確 立 今 後 の 取 組 みについては 下 記 の 線 表 を 予 定 活 動 線 表 ( 評 価 認 証 ) CSSC 国 際 相 互 承 認 スキームの 確 立 相 互 承 認 < 国 内 認 証 試 行 > < 国 際 相 互 承 認 スキーム> < 研 究 成 果 の 活 用 > ISCI 認 証 と 同 基 準 で 国 内 向 けの 認 証 ( 試 行 )を 実 施 ISCIに 準 拠 した 相 互 承 認 のスキーム 確 立 国 内 CSSC 研 究 成 果 の 反 映 EDSA 調 査 研 究 パイロット 認 証 PCLS 認 証 運 用 本 格 認 証 運 用 ISCIの 規 格 化 状 況 に 基 づき CSSCの 対 応 計 画 案 を 示 す 実 線 は 計 画 済 で 実 施 中 のもの 年 度 表 記 ISCI : ISA Security Compliance Institute ISA : International Society of Automation 国 際 計 測 制 御 学 会 PCLS: Provisional Chartered Laboratory Status 仮 免 状 態 39

40 SSAシステム 認 証 の 最 新 動 向 システムとは? An Industrial Control System (ICS) or SCADA system that is available from a single system supplier It may be comprised of hardware and software components from several manufacturers but must be integrated into a single system and supported, as a whole, by a single supplier < 出 典 > 制 御 システムセキュリティセンター 東 北 多 賀 城 本 部 (CSS-Base6) 開 所 記 念 シンポジウム パネルディスカッション テーマ: 制 御 システム セキュリティと 国 際 連 携 Automation Standards Compliance Institute (ASCI) Managing Director of ISCI Andre Ristaino 氏 40

41 Zones and Accessible Network Interfaces 41

42 ISASecure SSA Certification Program 42

43 SDLA : Multiple Product Certification 43

44 CSMS 認 証 制 度 の 推 進 ISMS(ISO27001)のIACS 版 と 考 えられ ほぼ 同 様 の 要 求 事 項 制 御 システムのトータルなセキュリティ 向 上 を 目 指 して CSMS 認 証 を 導 入 する ISMS 適 合 性 評 価 制 度 のスキームに 沿 って CSMS 認 証 を 実 現 する 2013 年 2014 年 2015 年 認 証 取 得 の 試 行 先 行 的 な 評 価 認 証 による ノウハウの 蓄 積 効 果 的 な 試 行 者 の 選 定 三 菱 化 学 エンジニアリング( 株 ) 横 河 ソリューションサービス( 株 ) パイロットプロジェクト 国 家 施 策 による 立 上 げ (METI, IPA, JIPDEC) 評 価 認 証 の 拡 大 一 般 認 証 事 業 開 始 業 界 固 有 の 特 徴 分 析 ノウハウの 蓄 積 (CSSC 会 員 企 業 を 中 心 に 各 業 界 1 件 程 度 ) 国 家 施 策 による 評 価 認 証 施 策 の 拡 大 認 証 の 本 格 的 普 及 蓄 積 されたノウハウに 基 づくガイドの 策 定 ( 各 業 界 向 けガイド 公 開 ) ガイドを 活 用 した 評 価 認 証 の 実 施 認 証 取 得 の 事 業 メリット の 明 確 化 活 用 2013 年 度 :パイロットプロジェクトにより 認 証 基 準 スキームを 立 ち 上 げ 2014 年 度 : 認 証 事 業 の 開 始 先 行 事 業 者 によるノウハウの 蓄 積 2015 年 度 : 業 界 別 のガイド 策 定 事 業 メリット 明 確 化 認 証 取 得 拡 大 44

45 参 考 : ソフトウェア 製 品 の 開 発 ライフサイクルにファジングの 導 入 を(1/2) ファジングとは ファジングとは ソフトウェ ア 製 品 に 問 題 を 引 き 起 こし そうなテストデータを 大 量 に 送 り 込 み その 応 答 や 挙 動 を 監 視 することで 脆 弱 性 を 検 出 する 検 査 手 法 です バグや 脆 弱 性 の 低 減 テストの 自 動 化 効 率 化 による 労 力 削 減 45

46 ソフトウェア 製 品 の 開 発 ライフサイクルにファジングの 導 入 を(2/2) ファジングの 活 用 製 品 開 発 企 業 でまだファジング を 導 入 していない 場 合 まずは 開 発 部 門 品 質 保 証 部 門 での ファジングを 活 用 を 推 奨 します 製 品 開 発 における 品 質 保 証 部 門 だけではなく 開 発 部 門 でも ファジングを 活 用 することで 製 品 出 荷 後 に 脆 弱 性 が 発 見 され る 可 能 性 を 低 減 させることがで きます 活 用 の 手 引 き ファジング 実 践 資 料 管 理 部 門 開 発 部 門 向 け ファジングの 概 要 から 実 践 方 法 および 製 品 開 発 組 織 にお けるファジングの 活 用 方 法 な どをまとめた 手 引 書 です 開 発 部 門 品 質 部 門 向 け オープンソースソフトウェアなどを 活 用 してすぐにファジングを 実 践 で きるよう ツールの 使 い 方 などをま とめた 解 説 書 です Copyright 2012 独 立 行 政 法 人 情 報 処 理 推 進 機 構 46

47 参 考 :CERT C/C++セキュアコーディングスタンダード セキュアコーディングとは プログラムの 実 装 (コーディング) 段 階 で 脆 弱 性 を 作 り 込 まない あるいは 作 り 込 まれた 脆 弱 性 を 検 出 し 修 正 する 取 組 みや 手 法 である CERT C / C++ セキュアコーディングスタン ダードは 脆 弱 性 に 直 接 つながる 製 品 の 弱 点 となるコードや セキュリティ 品 質 に 関 わるコーディングを 特 定 し セキュアで 品 質 の 高 いコードを 作 成 するためのコーディング 規 約 としてまとめられている 全 てのルールに 準 拠 する 必 要 はなく 各 ルールに 設 定 された 優 先 度 に 基 づき 組 織 や 開 発 プロジェクトに 合 わせてカスタマイズして 利 用 することが 可 能 である このCERT C / C++ セキュアコーディングスタン ダードを 導 入 することで 以 下 の 実 現 が 期 待 できる より 高 品 質 でセキュアな 製 品 開 発 発 生 しうる 攻 撃 リスクの 把 握 コードのセキュリティ 品 質 を 評 価 する 指 標 のひとつとして 活 用 2014 年 度 より 開 始 が 予 定 されているEDSA 認 証 の 要 求 事 項 の 一 部 への 対 応 CERT セキュアコーディングスタンダードは C / C++ / Java の3 種 類 を 提 供 中 詳 細 情 報 : 本 件 に 関 する 連 絡 先 :[email protected] 47

48 セキュアな 制 御 システムを 世 界 へ 未 来 へ CSSCホームページ CSSC 説 明 ビデオ( 日 本 語 版 ) 48