スライド 1

Similar documents
Control System Security Center CSSC 認証ラボラトリー ISASecure EDSA 認証説明会 ISASecure EDSA CRT 説明 2014 年 1 月 15 日 CSSC 認証ラボラトリー評価員田中貴志 1

1. 制 御 機 器 認 証 (EDSA 認 証 )について EDSA 認 証 とは EDSA 認 証 の 評 価 項 目 EDSA の 体 系 認 証 レベル 評 価 項 目 数 EDSA 規 格 のドキュメント 体 系 (EDSA ) EDSA 規 格 のドキュメント 体

適合性評価とは o 適合性評価とは ( 17000:2004): 製品 プロセス システム 要員又は機関に関する要求規定要求事項が満たされていることの実証 対象 : 製品 プロセス 要員又は機関 規定要求事項 : 明示されたニーズ又は期待 ( 規格 国家規格 業界規格など ) 2 2

国土技術政策総合研究所 研究資料

全体概要 標準化動向 ISA/ASCI/ISCI について EDSA について 日本の取組み 2

Express5800 WSUS 導入セットご紹介資料

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

IPsec徹底入門

Windows GPO のスクリプトと Cisco NAC 相互運用性

15288解説_D.pptx

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

Linkexpress トラブル初期調査資料 採取コマンド使用手引書

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

平成 30 年度需要家側エネルギーリソースを活用したバーチャルパワープラント構築実証事業 (A 事業 ) 東京電力パワーグリッド株式会社関西電力株式会社 2019 年 3 月

製品概要

Sample 5

Microsoft PowerPoint - A7_松岡(プレゼン用)jnsa-総会-IoTWG-2015.pptx

改版履歴 版数改版履歴改版年月日 1.0 新規作成 2015/03/31 Page 2 NEC Corporation 2015

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

bitvisor_summit.pptx

HULFT-WebConnectサービス仕様書

改版履歴 版数改版履歴改版年月日 1.0 新規作成 2013/03/ OverAction と DiskStallAction の値変更 (ActionNone ServiceCmdDisable ProcessOfRdmstatKillEnable ServiceCmdEnable)

4-4. ファイアウォール (IPv4)

ヤマハDante機器と他社AES67機器の接続ガイド

SC-S21 デジタル指示調節計 特長 奥行き 63mm のコンパクトサイズ 新型オートチューニングにより 素早い応答性と収束を実現 スタートアップチューニングを搭載し オートチューニング実行時間を削減 付加仕様として 上位システムとの通信機能を選択可能 4 種類の設定値を登録可能 大きく見やすい表

metis ami サービス仕様書

Spirent iTest ユーザ事例集

Copyright Compita Japan ISO33k シリーズとは? これまで使用されてきたプロセスアセスメント標準 (ISO/IEC 本稿では以降 ISO15504 と略称する ) は 2006 年に基本セットが完成し 既に 8 年以上が経過しています ISO

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

Singapore Contec Pte Ltd. Opening Ceremony

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

[技術資料] PRIMERGY サーバブレードのLAN 冗長化

Microsoft Word - IEIEJ-G アデンダムa.DOC

タイトル

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

プロダクト仕様書 SLB

TLPT の G7 基礎的要素 はさまざまな TLPT の手法の互換性を高めることを 目指すものであり 既存のフレームワークを無効化したり 変化する脅威状況 へ継続的に適応することを妨げるものではない TLPT とは? TLPT 1 は ( 金融機関の ) コントロール下において 実在の攻撃者の戦術

智美塾 ゆもつよメソッドのアーキテクチャ

JIS Q 27001:2014への移行に関する説明会 資料1

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

/ COMBINATION 入出力の状態 バッテリ状態などをリアルタイムで確認できます 停電などのイベント発生時および一定時間ごとの の状態を履歴として記録し表示できます Webブラウザ またはTelnet 端末を使用して, 遠隔からの状態確認や設定変更ができます Java Web Start また

目次 はじめに Page. 3 1 ログイン方法 4 2 監視設定 5 3 監視設定の変更 削除 18 4 性能情報確認 24 5 問い合わせ先 27 ご参考 動作環境について 28 改版履歴 29 Page 2 NEC Corporation 2014

MX/RSシリーズご紹介

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

PowerPoint プレゼンテーション

HD View Single Windowsセットアップガイド

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

クラスタ構築手順書

Time Server Pro. TS-2910 リリースノート お客様各位 2019/09/13 セイコーソリューションズ株式会社 Time Server Pro.(TS-2910/TS-2912) システムソフトウェアリリースノート Ver2.1.1 V2.2 変更点 Version 2.2 (

キャッシュポイズニング攻撃対策

実務に役立つサーバー運用管理の基礎 CompTIA Server+ テキスト SK0-004 対応

コンバージドファブリック仕様一覧

McAfee Application Control ご紹介

JapanCert 専門 IT 認証試験問題集提供者 1 年で無料進級することに提供する

9.pdf

PowerPoint プレゼンテーション

ESET Mobile Security V4.1 リリースノート (Build )

Microsoft PowerPoint - IPsec徹底入門.ppt

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

プロキシ・ファイアウォール       通信許可対象サーバリスト

JPexam 最新の IT 認定試験資料のプロバイダ IT 認証であなたのキャリアを進めます

危険なコンピュータの利用形態 インターネット 混在システムのデータの流れ ( アクセス ) Server ファイルサーバ インターネットからもローカルエリアネットワーク (LAN) からもマルウェア感染の危険性があります また LAN 上の他のコンピュータも内部からの攻撃によるマルウェア感染の危険に

1. はじめに (1) 本書の位置づけ 本書ではベジフルネット Ver4 の導入に関連した次の事項について記載する ベジフルネット Ver4 で改善された機能について 新機能の操作に関する概要説明 ベジフルネット Ver4 プログラムのインストールについて Ver4 のインストール手順についての説明

PIM-SSMマルチキャストネットワーク

ライフサイクル管理 Systemwalker Centric Manager カタログ

PowerPoint Presentation

組織内CSIRT構築の実作業

Transcription:

制御システムセキュリティセンター ISASecure SSA/SDLA/EDSA 認証説明会 ISASecure EDSA 説明 制御機器認証と拡張について EDSA2.0.0 対応 ERT について 2015 年 5 月 14 日 ( 東京 ) 5 月 22 日 ( 大阪 ) 技術研究組合制御システムセキュリティセンター 研究員市川幸宏 1

目次 1. ERT 試験とは 2. ERT 試験の内容 3. ERT 試験の準備 4. まとめ 2

1.ERT 試験とは ERT 試験の概要 制御セキュリティは 可用性 > 完全性 > 機密性である ( どんなことがあっても機能が維持されるべき ) どんなこと? 膨大 & 多様な既知攻撃を機器が受信しても 維持? 機器が提供する機能が停止しない & 自動復旧できる 攻撃 検査パケット 試験対象機器 ( コントローラ ) 信号 試験機器 制御出力モニタ 機能のモニタ 第三者がモニタを通し客観的に機能が問題ないことを確認 3

1.ERT 試験とは ERT 試験の位置づけ 評価ではなく試験 申請者の仕様に基づき 第三者が事実を確認 EDSA 2.0.0 セキュリティ開発ライフサイクルプロセス評価 (SDLPA) 組込み機器セキュリティ開発成果物 (SDA-E) 組込み機器機能セキュリティ評価 (FSA-E) 組込み機器ロバストネス試験 (ERT) デバイスの堅牢性を試験 EDSA : Embedded Device Security Assurance SDLPA : Security Development Lifecycle Process Assessment, SDA-E : Security Development Artifacts for Embedded Devices, FSA-E : Functional Security Assessment for Embedded Devices, ERT : Embedded Device Robustness Testing 4

1.ERT 試験とは ISASecure レベルと ERT 試験 全てのレベルにおいて 共通の試験を実施 対象機器のすべてのインシデント ( 既知の課題 ) は当然対策すべき 5

1.ERT 試験とは 試験の目的と要件 ERT 試験の目的は 組込み機器の堅牢性を2つの試験で確認する 1)Communication Robustness Testing(EDSA-CRT) EDSA-CRTとは IPベースの受信した異常又は意図的な悪意のトラフィックに対して, 自分自身及び他のデバイス機能を防御する程度を測定することで デバイス内部の潜在的なセキュリティ脆弱性の存在を検査する 2)Vulnerability Identification Testing(VIT) VITとは既知の脆弱性の存在を検査する ERT 要件 EDSA-310(ERT):IPベースのプロトコル実装用のEDSA-CRTとVIT 共通要件 SSA-420(VIT): 脆弱性スキャンツール (NESSUS) の設定要件 EDSA-401~406(EDSA-CRT): コアプロトコルに対する要件 6

1.ERT 試験とは EDSA 規格のドキュメント体系と ERT 要件 評価 認証 Certification Scheme (EDSA-100) 機関認定 ツール承認 認証要件 Chartered lab operations and accreditation (EDSA-200) CRT tool recognition (EDSA-201) ISASecure certification requirements (EDSA-300) 認証要件の維持管理 Maintenance of ISASecure certification (EDSA-301) 脆弱性識別試験 VIT (SSA-420) 通信試験 ERT (EDSA-310) 機能評価 FSA-E (EDSA-311) 開発成果物評価 SDA-E (EDSA-312) 開発環境評価 SDLPA (SDLA-312) Ethernet (EDSA-401) ARP (EDSA-402) IPv4 (EDSA-403) ICMPv4 (EDSA-404) UDP (EDSA-405) TCP (EDSA-406) 7

1.ERT 試験とは EDSA-CRT の試験対象プロトコル EDSA-CRT の試験対象プロトコルの要件は EDSA 401~406 で規定 EDSA 401 : IEEE 802.3(Ethernet) EDSA 402 : ARP EDSA 403 : IPv4 EDSA 404 : ICMPv4 EDSA 405 : UDP EDSA 406 : TCP その他のプロトコルについては EDSA-CRT 試験の対象外 ( 対象外のプロトコルは SDLA-SIT 要求事項で評価 ) すべての通信試験の実施は前提で 第三者試験としてコアプロトコルのみを試験 8

2.ERT 試験の内容 EDSA-CRT 試験機器構成 ISCI 認定ツールにより試験パケットを DUT に対して送信し 機能の維持を確認 6 つの必須機能 ( 機器の提供する機能 ) の維持が合否判定基準 DUT だけではなく 事実上 HMI 側の用意も必要 DUT は エンドユーザ文書で推奨されている最大の負荷下で試験を実施する 試験パケット DUT ( コントローラ ) Digital, Analog ISCI 認定ツール 制御出力モニタ 機能のモニタ DUT : Device Under Test 図 :CRT 試験環境のイメージ 9

2.ERT 試験の内容 EDSA-CRT の 3 つの ISCI 認定ツール EDSA-CRT 試験利用できるのは ISCI 認定ツールのみである Wurldtech 社 http://www.wurldtech.com/ FFRI.Inc 社 http://www.ffri.jp/ ISASecure : Recognized Test Platforms for CRT http://www.isasecure.org/test-tools/crt-test-tools Codenomicon 社 http://www.codenomicon.com/ 10

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 2.ERT 試験の内容 ERT 試験の 6 つの必須機能 6 つの必須機能 ( 停止すると困る機能 ) 次の機能を用いた機能が適切に維持されていることを確認する 6 つの内 1 つの機能でもあれば ERT 試験できる 他のコントローラ 1 制御機能 規定の信号を出力する機能 2 プロセスのビュー プロセスビューを適切なタイミングで提供する機能 2 3 4 6 5 3 プロセスコマンド 上位システムからの命令に適切なタイミングで応答する機能 上向きの機能 4 プロセスアラーム プロセスアラームを適切なタイミングで送信する機能 5 ピアツーピア制御通信 ピアツーピア制御通信を送信する機能 適用除外可能 DUT 1 下向きの機能 6 必須履歴データ 必須履歴データを適切なタイミングで送信する機能例 : 製薬事業における FDA 対応 適用除外可能 Analog Output / Digital Output 11

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 2.ERT 試験の内容 ERT 試験の 6 つの必須機能 6 つの必須機能 次の機能を用いた機能が適切に維持されていることを確認する 上位システムからの命令に適切なタイミングで応答する機能 4 プロセスアラーム プロセスアラームを適切なタイミングで送信する機能 5 必須履歴データ 試験所と合意 DUT 上向きの機能 下向きの機能 1 上向きの必須機能を適切に維持する の判定基準 必須履歴データを適切なタイミングで送信する機能例 : 製薬事業におけるFDA 対応 他のコントローラ 1 制御ループ上向きの機能は 申請者が設計に基づき定義する規定の信号を出力する機能 2 プロレスのビュー 機能 の具体的内容 2 3 4 5 6 プロセスビューを適切なタイミングで提供する機能 機能の維持 とはどのような状態なの 定量的に判 3 コマンド別する方法 6 ピアツーピア通信 ピアツーピア制御通信を送信する機能 Analog Output / Digital Output 12

2.ERT 試験の内容 下向きの機能 ( 制御ループ ) の定義と維持 下向きの必須機能の定義 ( 存在すれば必須 ) 1 制御機能 ( プロセス制御ループ 安全実装機能 ) 出力する信号は EDSA-310に定義されている 下向きの機能は 常に維持されている必要がある 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 2 秒 1 秒 アナログ信号 デジタル信号 項目 制御ジッタ 値 1 秒 ±100ms 試験対象のコントローラのスペックから定義 13

2.ERT 試験の内容 上向きの必須機能の定義 上向きの必須機能 (234: 存在すれば必須 56: 任意 ) 2 プロセスのビュー例 : プロセス制御 安全ループ で出力しているデジタル信号 アナログ信号のトレンド表示 記録 3 4 5 6 プロセスコマンド例 :HMI からプロセスパラメータを一定周期で自動的に変更し その結果がわかるログを記録 プロセスアラーム例 :: プロセス制御 安全ループ で出力しているアナログ信号出力にたいして 50% 以上でアラームが発生するように設定 そのアラームを記録 ピアツーピア制御通信例 : 一定周期で 他のコントローラ間に対して制御通信 ( コマンド送信 ) が発生するようにし その結果がわかるログを記録 必須履歴データ例 : 一定周期でプロセスパラメータ変更操作をおこない その操作履歴が発生するようにし ログに記録 フラッディングによる干渉が原因で機能が失われることは許容される ただし 仕様 ( タイミング等 ) にもとづき復帰する必要がある 14

2.ERT 試験の内容 VIT 試験機器構成 NESSUS により検査パケットを DUT に対して送信し 既知の脆弱性を検査する 合わせて 6 つの必須機能の維持を確認 検査結果に従い VIT 試験合格を以下とする 1 つでも Critical or High リスクが発見された場合 不合格 Medium リスクが発見された場合 脆弱性の緩和を実現すること Low リスクが発見された場合 FSA-E の要求事項に従い分析して 要求事項を満たすことを示す 検査パケット DUT ( コントローラ ) 結果 NESSUS 図 :VIT 試験環境のイメージ 15

2.ERT 試験の内容 試験の流れ 評価機器情報シート 準備 計画 ERT 試験の実施に必要な環境準備 実施プランの作成 試験実施計画書 実施 試験機器を用いて 試験の実施 試験環境セットアップ EDSA-CRT VIT 試験結果 レポート 試験結果のまとめ ERT 試験報告書 16

2.ERT 試験の内容 試験環境 試験の実施場所 CSSC 東北多賀城本部 試験対象機器を持ち込んで試験 試験可能機器 10/100/1000Base-T I/F 電源 100V/50Hz 条件は変更される可能性があります 最新の条件は お問い合わせください 17

3.ERT 試験の準備 ERT 試験実施に向けて 1 2 3 4 DUT の定義通信条件の仕様整理 アクセス可能なネットワークインタフェース 通常のトラフィック 防御機能と回復条件上向きの必須機能の定義 6つの必須機能の実現と監視基準の定義 18

3.ERT 試験の準備 ERT 試験実施に向けて 1 DUT の定義 認定の対象とする DUT の範囲を定義する 1 つの製品として定義可能であること 物理的に単体であることは必須ではない ( 外付けFirewall 等との組み合わせでも可 ) 製品としてとりうる CPU ネットワークインタフェースの冗長構成を整理 どのインタフェースに対して どういう状態で試験を実施するかが決まる 19

3.ERT 試験の準備 ERT 試験実施に向けて 2 通信条件の仕様確認 アクセス可能なネットワークインタフェース一覧の作成 i. 1で作成したそれぞれの構成に対して インタフェース一覧を作成する ii. その中から 対象となるインタフェース 対象外のインタフェースを決める対象外となるインタフェースには その除外理由を申請する必要がある例 : メンテナンス用のインタフェースで 通常はロックされている イーサネットインタフェースではない 通常のトラフィックの定義どのような通信が行われても 必須機能が維持されるトラフィック量を仕様化例 :1Mbps 以下 防御機能と回復条件特定の条件下で防御機能が働く等により上向きの機能が一時的に停止または提供できなくなる場合 その機能と発動条件 および回復条件を定義 20

3.ERT 試験の準備 ERT 試験実施に向けて 3 4 上向きの必須機能の定義 6 つの必須機能の実現と監視基準の定義 申請者は 製品の持つ機能のうち なにが 必須機能 に該当し 期待された動作 なのかを申請する必要がある 21

まとめ ~ ERT 試験に当たって~ ERT 試験環境の理解 6つの必須機能 という概念の理解 受験にむけての準備のポイント DUT の定義 通信条件の仕様整理 上向きの必須機能の定義 6つの必須機能の実現と監視基準の定義 セキュアな製品設計と実装 期待しない通信相手の存在を想定する ( 脅威の存在 ) 境界でのパラメータのチェック ネットワーク通信に対するファジング試験の導入 既知の脆弱性に対する検知試験の導入 22

ご清聴ありがとうございました 23

EDSA 認証 (EDSA-CRT 試験 ) と Achilles 認証 Wurldtech 社 Achilles 認証 (Achilles Communication Certification) との差異 試験トラフィックの内容は 試験デバイスに Achilles Test Platform を利用した場合 Achilles Level 2 とほぼ同一内容 判定基準 A) 制御出力モニタに関する判定基準は ほぼ同一 B)Achilles 認証では 通信機能の維持が判定基準となっているが EDSA 認証では 機能の維持が判定基準となっている 試験トラフィック DUT ( コントローラ ) ARP,ICMP,TCP,UDP 応答 Digital, Analog 制御出力モニタ Achilles Test Platform 機能のモニタ DUT : Device Under Test TD : Test Device 操作端末 (Achilles Client) 図 :Achilles 認証試験環境のイメージ 24

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック