タイトル

Similar documents

全体概要標準化動向 ISA/ASCI/ISCI について EDSA について日本の取組み 2

その他事業推進体制平成 20 年 3 月 26 日に石垣島国営土地改良事業推進協議会を設立し事業を推進 ( 構成 : 石垣市石垣市議会石垣島土地改良区石垣市農業委員会沖縄県農

預金を確保しつつ資金調達手段も確保する収益性を示す指標として営業利益率を採用し営業利益率の目安となる数値を公表する株主の皆様への還元については持続的な成長による配当可

1. 制御機器認証 (EDSA 認証 )について EDSA 認証とは EDSA 認証の評価項目 EDSA の体系認証レベル評価項目数 EDSA 規格のドキュメント体系 (EDSA ) EDSA 規格のドキュメント体

Microsoft PowerPoint - 経営事項審査.ppt

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>

<4D F736F F D E598BC68A8897CD82CC8DC490B68B7982D18E598BC68A8893AE82CC8A C98AD682B782E993C195CA915B C98AEE82C382AD936F985E96C68B9690C582CC93C197E1915B927582CC898492B75F8E96914F955D89BF8F915F2E646F6

1 総合設計一定規模以上の敷地面積及び一定割合以上の空地を有する建築計画について特定行政庁の許可により容積率斜線制限などの制限を緩和する制度である建築敷地の共同化や

社会保険加入促進計画に盛込むべき内容

文化政策情報システムの運用等

入札参加者は入札の執行完了に至るまではいつでも入札を辞退することができこれを理由として以降の指名等において不利益な取扱いを受けることはない 12 入札保証金免除 13 契約保証金免除 14 入

独立行政法人国立病院機構呉医療センター医療機器安全管理規程

企画課企画部満了 2 55 総務部企画室設置認可学部佐賀大学附属図書館医学分館設置申請書企画室企画調査係 2004/4/1 30 年 2005/4/1 2035/3/31 ファイル事務室企画部企画

続に基づく一般競争 ( 指名競争 ) 参加資格の再認定を受けていること ) c) 会社更生法に基づき更生手続開始の申立てがなされている者又は民事再生法に基づき再生手続開始の申立てがなさ

資料年オリンピックパラリンピック東京大会におけるホストシティタウン構想 (イメージ) 1. 趣旨経済財政運営と改革の基本方針 2014( 平成 26 年 6 月 24 日閣議決定 )を踏まえ 2020 年オリン

目標を達成するための指標第 4 章計画における環境施策世界遺産への登録早期登録の実現史跡の公有地化平成 27 年度 (2015 年度 )までに 235,022.30m 2 施策の体系 1 歴史的遺産とこ

<4D F736F F D2095CA8E A90DA91B18C9F93A289F1939A8F D8288B3816A5F E646F63>

2 役員の報酬等の支給状況平成 27 年度年間報酬等の総額就任退任の状況役名報酬 ( 給与 ) 賞与その他 ( 内容 ) 就任退任 2,142 ( 地域手当 ) 17,205 11,580 3,311 4 月 1

4 参加資格要件本提案への参加予定者は以下の条件を全て満たすこと 1 地方自治法施行令 ( 昭和 22 年政令第 16 号 ) 第 167 条の4 第 1 項各号の規定に該当しない者であること 2 会社

平成24年度税制改正要望公募結果　153. 不動産取得税

03 平成28年度文部科学省税制改正要望事項

Control System Security Center CSSC 認証ラボラトリー ISASecure EDSA 認証説明会 ISASecure EDSA CRT 説明 2014 年 1 月 15 日 CSSC 認証ラボラトリー評価員田中貴志 1

調達パートナー　CSR調査票

3 独占禁止法違反事件の概要 (1) 価格カルテル山形県の庄内地区に所在する5 農協が, 特定主食用米の販売手数料について, 平成 23 年 1 月 13 日に山形県酒田市所在の全国農業協

（２）大学・学部・研究科等の理念・目的が、大学構成員（教職員および学生）に周知され、社会に公表されているか

のとする (1) 防犯カメラを購入し設置 ( 新設又は増設に限る ) すること (2) 設置する防犯カメラは新設又は既設の録画機と接続することただし録画機能付防犯カメラは

東京事務所ＢＣＰ【実施要領】溶け込み版

Microsoft Word - 目次.doc

自衛官俸給表の１等陸佐、１等海佐及び１等空佐の（一）欄又は（二）欄に定める額の俸給の支給を受ける職員の占める官職を定める訓令

私立大学等研究設備整備費等補助金（私立大学等

する ( 評定の時期 ) 第条成績評定の時期は第 3 次評定者にあっては完成検査及び部分引渡しに伴う検査の時とし第次評定者及び第次評定者にあっては工事の完成の時とする ( 成績評定

為が行われるおそれがある場合に都道府県公安委員会がその指定暴力団等を特定抗争指定暴力団等として指定しその所属する指定暴力団員が警戒区域内において暴力団の事務所を新たに設

・モニター広告運営事業仕様書

2. 建築基準法に基づく限着色項目の地区が尾張旭市内にはあります関係課で確認してください項目所管課窓口市役所内電話備考がけに関する限 (がけ条例 ) 都市計画課建築住宅係南庁舎

る第三者機関情報保護関係認証プライバシーマーク ISO27001 ISMS TRUSTe 等の写しを同封のうえ持参又は郵送とする但し郵送による場合は書留郵便とし同日同時刻必着とする提出場所は上

<6D313588EF8FE991E58A778D9191E5834B C8EAE DC58F4992F18F6F816A F990B32E786C73>

●幼児教育振興法案

慶應義塾利益相反対処規程

大田市固定資産台帳整備業務（プロポーザル審査要項）

有料老ホーム ( ) ( 主として要介護状態にあるを入居させるものに限る ) 第 29 条 ( 届出等 ) 第二十九条有料老ホーム( 老を入居させ入浴排せつ若しくは食事の介護食事の提供又はその他の

2 一般行政職給料表の状況 (24 年 4 月 1 日現在 ) 1 号級の給料月額最高号級の給料月額 1 級 ( 単位 : ) 2 級 3 級 4 級 5 級 6 級 7 級 8 級 9 級 1 級 135,6 185,8 222,9 261,

Transcription:

制御セキュリティセッション IEC62443の概要と認証について EDSA : Embedded Device Security Assuranceを中心に 2013 年 11 月 20 日技術研究組合制御システムセキュリティセンター Control System Security Center CSSC 専務理事研究開発部部長 CSSC 認証ラボラトリー長評価認証標準化委員会副委員長小林偉昭 (ひであき) hideaki.kobayashi@css-center.or.jp 1

目次 1. 制御システムへのサイバー攻撃の脅威増大 2. 制御システムセキュリティセンターの紹介 3. IEC62443の概要と認証について ~ 制御システムの認証への取り組み~ 奈良時代後半の多賀城外郭南門 ( 推定復元図 ) ロゴや商標はそれぞれの組織に属しています利用に関しては注意してください 2

1. 制御システムへのサイバー攻撃の脅威増大 3

多様化する脅威ハード故障劣化ソフトバグ動作停止誤動作品質不良環境汚染 Control System Security Center 社会政治的災害 9.11テロ 7.7テロ自爆テロ大量破壊兵器コミュニティ ( 社会 ) 自然災害障害 3.11 地震津波火災水害停電大型ハリケーン内部不正機密情報の持ち出し不正アクセス不正操作サイバー攻撃 Stuxnet( 破壊動作異常 ) 情報窃取不正アクセス Web 改竄 DoS 攻撃ウイルスビジネス ( 企業 ) ライフ ( 家庭個人 ) 人為的災害オペレーションミス従業員モラル不法投棄プライバシー問題個人情報保護法 (05/4 施行 ) ( 金融医療データ等 ) 盗聴盗撮サイバー攻撃の脅威に対する社会的関心増大 4

重要インフラの制御システムへの攻撃例 Stuxnet(スタックスネット)による制御システム停止攻撃 Stuxnet 攻撃の特長入念に準備されたマルウェア ( 事前に制御システムの構成や数を把握 ) 複数のゼロデイ脆弱性を狙うオペレータの監視を欺く制御システムを停止させた目的は? イランの核開発を遅らせるために使われたと言われている 2009 年の終わりから2010 年の初頭にかけてイランにある遠心分離器 9000 台のうち約 1000 台がStuxnetによって破壊されたとしている http://japan.zdnet.com/security/analysis/35005709/ ---- このウイルスの目的はイランの核施設における遠心分離機を破壊することでありそのため遠心分離機の回転速度に関わる制御システムに特定のコマンドを出したという http://wired.jp/2012/06/04/confirmed-us-israel-created-stuxnet-lost-control-of-it/ 5

制御システムへのサイバー攻撃の対象例攻撃目的 : 装置や設備の破壊悪品質製品生産や生産の暴走装置ベンダの信頼失墜等攻撃ターゲット設備管理サーハ品質管理サーハ 3 3 オープン化 : 汎用製品と標準プロトコル (TCP/IP) 2 DCS Operation Terminal 2 2 Historical Data Server SCADA SCADA 設計ツール 1 DCS Controller 4~20ma Field bus PLC 制御コンフィギュレーション RS232c / Ethernet ツール 1 PA FA 出典 :VEC 村上氏 6

制御システムセキュリティインシデント増加米国 ICS-CERT:2009 年に設置以降インシデント届出件数が飛躍的に増大エネルギー水道原子力化学政府関連設備など届出が多い ICS-CERT:Industrial Control Systems Cyber Emergency Response Team 300 250 200 件 ICS-CERTのインシデント報告傾向 (2010 年 ~2013 年 ) Stuxnet 攻撃分野別インシデント報告割合 (2013 年 ) 150 100 50 0 2010 2011 2012 2013 2013.11@ICSJWG 年 ICS-CERT Monitor Newsletters April-June 2013 http://ics-cert.us-cert.gov/sites/default/files/monitors/ics-cert_monitor_apr-jun2013.pdf ICS-CERTウェブサイト ICSJWG2013Fall 情報をもとに作成 7

サイバー攻撃者に対する防護ハードルを高くしよう! 社会インフラ事業者やシステムを提供運用する事業者 1.サイバー攻撃のリスクを低減する4つの対策実施 (オーストラリアDSD, NIST) 1アプリケーションに対するホワイトリスティング(Whitelisting) 適用 2アプリケーションの脆弱性対策パッチ適用 pdfやwordなど 3 基本ソフトOSの脆弱性対策パッチ適用ネットワーク機器も 4 特権ユーザの数を最小にする上記の対策で85% 以上のリスク低減が実現できた 2. 継続的な監視 (Continuous Monitoring)によるリスク低減 1ネットワーク状態やシステムログの継続的監視 :デジタルに加えアナログ情報 2 正常通常状態との差分の継続的監視 :SIEM 技術の拡張 3. 標準準拠認証された製品やシステムの利用守るカギが多いと攻撃者は時間がかかるただしコストとの関係も DSD: Defense Signals Directorate 既知の脆弱性を利用した攻撃が75% 8

2. 制御システムセキュリティセンターの紹介 CSSC: Control System Security Center <ビデオ> 約 10 分東京都心で大規模な停電が発生したら CSSCの紹介 9

制御システムセキュリティへの日本の取組み状況とCSSC 2010 2011 2012 2013 経済産業省の動向海外でのセキュリティ関連規格認証制度の普及拡大サイバーセキュリティと経済研究会 (2010/12~2011/8) 制御システムセキュリティ検討タスクフォース (2011/10~2012/4) 電力ガスビル分野のサイバーセキュリティ演習東京研究センター 2014- CSS-Base6 で継続 ( 予定 ) 2013. 東北多賀城本部 5.28 CSSCテストベッド開所 (CSS-Base6) 技術研究組合制御システムセキュリティセンター(CSSC) (2012/3/6 発足 ) EDSA 評価認証パイロットプロジェクトCSSCで推進中 CSMSパイロットプロジェクト JIPDEC/IPAで推進中 10

2012 年 3 月 CSSCを設立 1. 重要インフラをサイバー攻撃から守るための技術開発をしよう! 2. 日本の制御システムはサイバー攻撃に強いことを実証しよう! 3. サイバーセキュリティ事業を震災復興減災に役立てよう! 多賀城市減災リサーチパーク構想への貢献経済産業省震災復興補助金宮城県多賀城市みやぎ復興パーク技術研究組合制御システムセキュリティセンター理事長 : 新誠一活動拠点 : 東北多賀城本部と東京研究センター制御システム製造ユーザー企業ユーザ企業制御ベンダセキュリティベンダその他大学電気通信大 ( 東北大倉敷芸術科学大学名古屋工業大学 ) 独立行政法人産業技術総合研究所情報処理推進機構 11

CSSCの概要技術研究組合制御システムセキュリティセンター Control System Security Center 全 21 社 (2013 年 11 月現在 ) *: 創設時メンバー8 社名称 ( 英文名 )Control System Security Center ( 略称 ) CSSC 経済産業大臣認可法人設立日 2012 年 3 月 6 日 ( 登録完了日 ) 東北多賀城本部 (TTHQ) 宮城県多賀城市桜木 3-4-1 (みやぎ復興パーク F-21 棟 6 階 ) アズビル株式会社 * エヌアールアイセキュアテクノロジーズ株式会社エヌティティコミュニケーションズ株式会社オムロン株式会社独立行政法人産業技術総合研究所組合員 * 独立行政法人情報処理推進機構国立大学 (50 音順 ) 法人電気通信大学株式会社東芝 * 東北インフォメーションシステムズ株式会社株式会社トヨタIT 開発センタートレンドマイクロ株式会社日本電気株式会社株式会社日立製作所 * 富士通株式会社富士電機株式会社マカフィー株式会社三菱重工業株式会社 * 株式会社三菱総合研究所 * 三菱電機株式会社森ビル株式会社 * 横河電機株式会社 * 所在地東京研究センター(TRC) 東京都江東区青海 2-4-7 ( 独立行政法人産業技術総合研究所臨海副都心センター別館 8 階 ) 連携団体 ( 予定含む) 一般社団法人 JPCERTコーディネーションセンター一般社団法人日本電機工業会公益社団法人計測自動制御学会一般社団法人電子技術情報産業協会一般社団法人日本電気計測器工業会一般財団法人製造科学技術センター電気事業連合会一般社団法人日本ガス協会一般社団法人日本化学工業協会賛助会員の新設 : 研究成果などの普及活動 12

CSSCの組織体制 Control System Security Center 20130801 現在 13

CSSCの研究開発の概要 Control System Security Center 人材育成プログラムの開発制御システムにインシデントが発生した場合の対策に関する普及啓発システムについての技術を開発する制御システムにおけるマルウェア感染の影響および対策のための人材育成プログラム構築技術制御システムセキュリティ人材育成のための模擬システム構築技術制御機器が実環境と同等の環境で稼働することを保証し制御機器の接続性脆弱性を検証しそれらの結果を視覚化する技術を開発する制御機器評価認証手法の開発制御機器間の接続性検証技術制御システムにおける脆弱性検証技術実環境エミュレーションソフトウェア技術セキュリティ検証結果の視覚化技術高セキュア化技術の開発マルウェアの侵入防止や感染後の不正な動作の防止を図ることによるマルウェア対策技術通信路での暗号化を図るための暗号化技術構造自体をセキュアにする技術などを開発するインシデント分析技術の開発インシデントを検知するためにネットワーク上の振る舞いや制御機器の異常を検知できる技術を開発する制御機器制御システムへのマルウェア侵入対策技術仮想環境化におけるサーバや制御機器の異常検知技術通信機器高セキュアデバイス保護技術制御システム向け軽量暗号認証技術仮想環境における高セキュア制御システム構築技術制御ネットワーク上の異常振る舞い検知技術 14

テストベッド(CSS-Base6)の7つの模擬プラントシステム制御システムの特徴的な機能を切り出しデモンストレーションとサイバー演習が実施可能な模擬システムを構築した 2013 年 5 月時点では下記の7 種類の模擬システムが稼働中 (7) (1) (2) (1) 排水下水プラント (2)ビル制御システム (3) 組立プラント (4) 火力発電所訓練シミュレータ (5)ガスプラント (6) 広域制御 (スマートシティ) (7) 化学プラント (3) (5) (4) (6) 15

3.IEC62443の概要と認証について ~ 制御システムの認証への取り組み~ ISA : International Society of Automation 国際計測制御学会 ISASecure : ISCI( ISA Security Compliance Institute )の認証プログラム EDSA : Embedded Device Security Assurance 16

制御システム分野での標準化に関する技術動向制御システムのセキュリティの標準基準には組織やシステムのレイヤに対応したもの業種や業界に対応したものなど様々な標準基準が提案されているこうした中で汎用的な標準基準として IEC62443が注目されてきており一部事業者の調達要件に挙がってきている業界で評価認証が先行しているISCIやWIBの基準が IEC62443のシリーズに統合される動きとなっている標準化対象汎用制御システム石油化学プラント専用 ( 業種 )システム電力システムスマートグリッド鉄道システム組織 CSMS 認 NERC CIP NIST IR7628 ISO/IEC 62278 システム IEC 62443 SSA 認 WIB 認 IEC61850 コンポーネント ISCI EDSA 認 IEEE1686 凡例 ISCI: ISA Security Compliance Institute WIB: International Instrument User s Association 国際標準業界標準認 : 認証スキーム有 17

制御システムセキュリティ基準 IEC62443の全体像 IEC62443は制御システムセキュリティの全レイヤ/プレイヤーをカバーした規格先行する評価認証の標準 (EDSA 認証等 )がIEC62443に採用される方向事業者インテグレータ装置ベンダ標準化 *1) IEC62443-1 IEC62443-2 管理運用フロセス IEC62443-3 技術システム IEC62443-4 コンホーネントテハイス EWS DCS/ Slave 情報ネットワーク HMI DCS/ Master 生産管理サーバ PLC PIMS ファイアウォール制御情報ネットワークコントロールネットワーク評価認証 < 評価事業者 > ISCI : ISASeure EDSA 認証 *2) *1) IEC62443のCyber securityの標準化作業は IEC/TC65/WG10が担当 ( 日本国内事務局はJEMIMAが対応 ) *2) EDSA:Embedded Device Security Assurance: 制御機器 (コンポーネント)の認証プログラム IEC62443-4に提案されている *3) WIB: International Instrument User s Association IEC62443-2-4に提案されている DCS: Distributed Control System PLC: Programmable Logic Controller PIMS: Process Information Management System PLC フィールドネットワーク M センサアクチュエータなどセンサバス WIB *3) 18

IEC62443 標準化状況と評価認証の状況 12の標準中 3つが標準化済みだが他の標準については国内意見の反映を推進装置ベンダ向けEDSA 認証は米国で先行事業運用者向けCSMS 認証は国内で先行 2CSMS 認証 (Cyber Security Management System) 1EDSA 認証 (Embedded Device Security Assurance) 19

民間組織が主体の認証スキームドイツTUViT 社 Trusted Site Security SCADA Infrastructure オランダWIB(International Instrument Users Association) カナダWurldtech 社 Achilles 国際制御学会 ISAとその下部の認証フレームワーク推進組織 ISCIが主体の制御機器認証スキームが拡大 ISCI(ISA Security Compliance Institute) ISASecure 認証 :EDSA ( Embedded Device Security Assurance ) 国際標準 (IEC62443)への組込みが見込まれており認証のスキームも綿密に組み立てられているため今後拡大してゆく可能性大 20

ISA Security Compliance Institute (ISCI)とは組織アセットオーナー( 制御システム事業者 ) サプライヤ及び業界組織からなるコンソーシアムでISA Automation Standards Compliance Institute(ASCI) 内に2007 年に構築された目的制御システム製品向け試験及び認証のための仕様とプロセスの確立アセットオーナーサプライヤ及び利害関係者の間の業界ベースのプログラム確立により制御システムの開発購入及び構築のための時間コスト及びリスクの低減出典 : ISA Security Compliance Institute (ISCI) and ISASecure 21

ISCIのメンバタイプと加入組織 1Strategic Member: Chevron ExxonMobil Honeywell Invensys Siemens Yokogawa Voting 有年会費 50000ドル 2Technical Member: Exida RTP Corporation Voting 有年会費 5000ドルから25000ドル 3Associate Member: 現在加入組織無 (コンソーシアム組織が対象 ) Voting 無年会費 5000ドル 4Government Member : IPA Voting 無年会費 5000ドル 5Information Member: Egemin Voting 無年会費 1500ドル CSSCは ISCIに加入予定加入の目的 : 1)SSA( System Security Assurance )の検討状況把握及び最終仕様の早期入手 2)EDSAのエンハンス検討状況の早期把握 3) 適宜 CSSCからの評価認証実績に基づくコメント提案等がある特にSSAの早期仕様入手が来年度以降の活動の検討に必要となってきている 22

ISCIのISASecure 認証標準進捗状況 ISCIは ISASecureの認証標準を制定している組織である現在 ISASecure の第 1 弾として EDSA 認証の標準を提供している制御システム事業者サプライヤ( 制御システム構築事業者装置ベンダ) 等からなるコンソーシアム ISA99 62443(=IEC62443) 標準化状況とISASecureの関係 SSA とSDLAは現在開発中 ISASecureは3つの認証標準 ( 現在 EDSA 認証が標準済 ) ISASecure System Security Assurance (SSA) ISASecure Embedded Device Security Assurance (EDSA) ISASecure Security Development Lifecycle Assurance (SDLA) 出典 :http://www.css-center.or.jp/sympo/2013/documents/sympo20130528-andre.pdf ISCI : ISA Security Compliance Institute ISA : International Society of Automation 国際計測制御学会 PCLS: Provisional Chartered Laboratory Status 仮免状態 23

EDSA 製品認証の最新動向 EDSA 認証対象 : 制御システム向けの組込み機器組込み機器とは産業プロセスを直接監視制御及び駆動するよう設計された組込みソフトウェアを実行する特定目的を持ったデバイス例 : Programmable Logic Controller (PLC) Distributed Control System (DCS) controller Safety Logic Solver Programmable Automation Controller (PAC) Intelligent Electronic Device (IED) Digital Protective Relay Smart Motor Starter/Controller SCADA Controller Remote Terminal Unit (RTU) Turbine controller Vibration monitoring controller Compressor controller 24

EDSA 標準のドキュメント体系評価認証 Certification Scheme (EDSA-100) 機関認定ツール承認認証要件 Chartered lab operations and accreditation (EDSA-200) CRT tool recognition (EDSA-201) ISASecure certification requirements (EDSA-300) 認証要件の維持管理 Maintenance of ISASecure certification (EDSA-301) 通信評価機能評価開発環境評価 CRT FSA SDSA (EDSA-310) (EDSA-311) (EDSA-312) Ethernet (EDSA-401) ARP (EDSA-402) IPv4 (EDSA-403) ICMPv4 (EDSA-404) UDP (EDSA-405) TCP (EDSA-406) IPAにより翻訳されたEDSA 標準の対訳版はISCIウェブサイトにて公開 http://isasecure.org/isasecure-program/japanese-isasecure-program.aspx 25

EDSA 認証の各評価項目概要 EDSA ソフトウェア開発セキュリティ評価 (SDSA) SDSA FSA CRTの3つを評価することで想定脅威に対する対策のカバー範囲が十分であることを認証体系的な設計不良の検出と回避ベンダのソフトウェア開発とメンテナンスのプロセス監査堅牢 (robust)で,セキュアなソフトウェア開発プロセスを当該組織が守っていることを評価する 3 段階のセキュリティレベルにより評価項目数が決まる機能セキュリティ評価 (FSA) 通信ロバストネス試験 (CRT) 実装エラー / 実装漏れの検出セキュリティ機能要件について目標とするセキュリティレベルに対応する全要件が実装済みであるかどうかを評価 3 段階のセキュリティレベルにより評価項目数が決まるデバイスの堅牢性を評価する試験コンポーネントのロバストネス( 堅牢性 ) について試験奇形や無効な形式のメッセージを送り脆弱性等を分析セキュリティレベルによらず評価項目数は同一 EDSA : Embedded Device Security Assurance 注 : 正式には原英文を参照してください Communication Robustness Testing(CRT), Functional Security Assessment(FSA), Software Development Security Assessment(SDSA) 出典 : ISA Security Compliance Institute (ISCI) and ISASecure 及びhttp://www.css-center.or.jp/sympo/2013/documents/sympo20130528-andre.pdf 26

ソフトウェア開発セキュリティ評価 (SDSA) 目的 : ソフトウェア開発プロセスがセキュア( 脆弱性を作り込まないよう)に行われていることを監査する構成 Set of requirements, derived from existing reference standards and traceable to source standard (IEC 61508, ISO/IEC 15408) SDSAの主な参照標準 ISO/IEC 15408-1 ~ I5408-3 IEC 61508 Part 3 情報技術セキュリティ技術 ITセキュリティ評価基準 Part1~Part3 電気 / 電子 /プログラマブル電子的安全関連システムの機能安全 :ソフトウェア開発出典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 27

SDSAの主な要求事項セキュリティマネジメントプロセス This phase specifies a process for planning and managing security development activities to ensure that security is designed into a product. For example, this phase incorporates requirements that the development team have a security management plan and that the developers assigned to the project are competent and have been provided basic training in good security engineering practices and processes. Also includes requirements that the project team creates and follows a configuration management plan. セキュリティ要件仕様ソフトウェアアーキテクチャ設計セキュリティリスクアセスメントと脅威モデリング詳細ソフトウェア設計セキュリティ指針の文書化ソフトウェアモジュール実装と検証セキュリティ統合試験セキュリティプロセス実証セキュリティレスポンス計画セキュリティ実証試験セキュリティレスポンス実行 Most vulnerabilities and weaknesses in software intensive information systems can be traced to inadequate or incomplete requirements. This phase requires that the project team document customer driven security requirements, security features and the potential threats that drive the need for these features. Software architecture facilitates communication between stakeholders, documents early decisions about high-level design, and allows reuse of design components and patterns between projects. This phase requires the project team develop a top-level software design and ensures that security is included in the design. This phase requires the project team determine which components can affect security and plan which components will require security code reviews and security testing. Also requires that a threat model be created and documented for the product. This phase requires the project team design the software down to the module level following security design best practices. This phase requires the project team create guidelines that users of the product must follow to ensure security requirements are met. This phase requires the project team implement design by writing code following security coding guidelines. It ensures that software modules are implemented correctly by conducting security code reviews, static analysis and module testing. This phase requires that the project team perform security specific tests such as fuzz testing and penetration testing. This phase requires an independent assessment that all required software development processes have been followed This phase requires the project team establish a process to be able to quickly respond to security issues found in the field if and when they happen. This phase requires that the project team confirm that all security requirements have been met preferably by test or by analysis. This phase requires the project team respond to security problems in the field by taking action to both preventative and corrective action. 出典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 28

ソフトウェア開発ライフサイクルへのセキュリティ導入 SDSAでは開発プロセスのVモデルにセキュリティを組み込まれていることを監査するセキュリティトレーニングセキュリティ要件要件分析レビュー/ 試験継続するサポート操作上の試験セキュリティ対応計画と実行セキュリティアーキテクチャ設計セキュリティリスクアセスメントと脅威のモデル化セキュリティコーディングのガイドラインハイレベル設計詳細仕様コーディング統合試験単体テストセキュリティ妥当性試験ファジングテスト, abuse caseテストセキュリティコードレビュー& 静的分析出典 : ISA Security Compliance Institute (ISCI) and ISASecure 29

機能セキュリティ評価 (FSA) 目的 : 製品の機能が一定の要求事項を満たしているかを監査する構成 : 既存の参照規格で且つ出典元の規格にトレース可能な要件各要件に対して識別された1 個以上の容認可能な解決策 ( 対抗策 ) 適用可能なときは, 要件検証手順が満たされている * 適用可能とは要求事項でアロケータブルとなっている(allocation が Yesとなっている) 場合その機能をデバイス以外のもので実現してもよいということを示す出典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 30

FSAの主な参照標準 [N1] ISA-99.01.03D2-20090527 産業自動制御システム向けセキュリティ:システムセキュリティ要件とセキュリティ保証レベルISA-99.01.03 [N2] NERC 規格 CIP-001-1 ~ CIP-001-9 North American Electric Reliability Council Cyber Security Standards [N3] NIST 800-53 連邦情報システムのための推奨されたセキュリティ制御 Recommended Security Controls for Federal Information Systems [N4] [N5] ISO/IEC 15408-1 ~ I5408-3 情報技術セキュリティ技術 ITセキュリティ評価基準 Part1~Part3 国土安全保障省 : 制御システムセキュリティのカタログ: 標準策定者のための推奨事項 Department of Homeland Security: Catalog of Control Systems Security: Recommendations for Standards Developers 出典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 31

FSAの主な要求事項アクセス制御使用制御データ完全性データ機密性データのフロー制限イベントへの迅速な応答ネットワークリソース有用性ユーザ承認ユーザ認証システム使用通知セッションロック/ 終了 User authorization, user authentication, system use notification, session locking/termination デバイス認証監査証跡 Device authentication, audit trail 転送中のデータ保管中のデータ Data in transit, data at rest 転送中のデータ, 保管中のデータ, 暗号化 Data in transit, data at rest, crypto 情報フロー実施適用パーティッショニング機能分離 Information flow enforcement, application partitioning, function isolation インシデント応答 Incident response サービス不能攻撃防御バックアップと回復 Denial of service protection, backup & recovery 出典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 32 32

通信ロバストネス試験 (CRT) 組込み機器へのネットワークプロトコル実装が,ネットワークから受信した異常な又は意図的な悪意のトラフィックに対して, 自分自身及び他のデバイス機能を防御する程度を測定する不適切なメッセージ応答, 又はデバイスが重要サービスを適切に実行継続できないと,デバイス内部の潜在的なセキュリティ脆弱性の存在を示している共通 CRT 要件 (EDSA-310) Ethernet (EDSA-401) IPv4 (EDSA-403) ICMP (EDSA-404) ARP (EDSA-402) TCP (EDSA-406) UDP (EDSA-405) 出典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 33

CRT 試験の実施方法 Control System Security Center ISCIの認定 ( 承認 )ツールを使う ( 現在はAchillesとdefensicsが認定ツール現在他のツールも認定中 ) コントローラだけではなく事実上 HMI 側の用意も必要 (Achilles 認証とは違う) 試験環境のイメージ攻撃パケット DUT (PLC) 通信死活監視 Digital, Analog 制御出力モニタ TD 操作端末 DUT : Device Under Test TD : Test Device 34

ISASecure 3 段階のセキュリティレベル評価項目の数によって3 段階の認証レベルを規定 LEVEL 3 LEVEL 1 Software Development Security Assessment (129) Functional Security Assessment(21) LEVEL 2 Software Development Security Assessment (148) Functional Security Assessment(50) Software Development Security Assessment (169) Functional Security Assessment(83) Communication Robustness Testing(69) 出典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 35

EDSA Certification Process Typical Chartered Lab Level of Effort in Man Weeks 1. CRT test all accessible TCP/IP interfaces 2. Perform FSA on device and all interfaces 3. Audit supplier s software development process 4. Perform ITA and issue report Level 1 Level 2 Level 3 1-2 weeks 1-2 weeks 1-2 weeks < 1 week 1 week 1 2 weeks 1 week 1 2 weeks 1 2 weeks 1 week 1 week 1 week 3 5 weeks 4 6 weeks 4 10 weeks ITA : Integrated Threat Analysis ( 統合脅威分析 ) 出典 :ICSJWG Spring 2011, (ASCI) Validating the Security Assurance of Industrial Automation Products 36

情報ネットワークファイアウォール EDSAの SDSA FSA の要求事項がほぼ同内容で IEC62443-4-1 IEC62443-4-2 へそれぞれ提案されている EWS HMI DCS/Master 生産管理サーバ PLC PIMS 制御情報ネットワークコントロールネットワーク PLC EDSA 認証 Software Development Security Assessment(SDSA) Functional Security Assessment(FSA) Communications Robustness Testing(CRT) DCS/Slave フィールドネットワークセンサバス M センサアクチュエータなど 37

日本で日本語による世界共通の認証取得を可能に現 Current 在のスキム Scheme EDSA Scheme Owner IPAより米国 ISCIへ提案承諾されたスキーム Proposal 承諾スキーム Scheme ISO/IEC Guide65*2 ANSI/ACLASS Accreditate 認定 ISO/IEC 17025*3 Current EDSA CL*1 CL 現 candidate 在は米国 needs のexida ANSI/ACLASS 一社が accreditation CLとして認 for 定され requirements 活動中 related to ISO/IEC 17025 and ISO/IEC Guide65. IAF/ ILAC MRA IAF : International Accreditation Forum ILAC : International Laboratory Accreditation Cooperation MRA :Mutual Recognition Arrangement 日本のベンダ ISO/IEC Guide65*2 Accreditate 認定 ISO/IEC 17025*3 Additional EDSA CL (In Japan) CL CSSCがCLとして candidates in Japan 認 can 定 get をthe accreditation 受け認証 from 機関 JAB, となるよう based on MRA. 推進中 Japan s Case Other Countries Cases *1 CL: Chartered Laboratory *2 ISO/IEC Guide65:General requirements for Bodies Operating Product Certification Systems *3 ISO/IEC 17025:General requirements for the competence of testing and calibration laboratories *4 CSSC:Control System Security Center 38

CSSCのISASecure 認証制度への取り組み (EDSAから) 制御システムのセキュリティに関する評価認証の国際相互承認のスキーム確立今後の取組みについては下記の線表を予定活動線表 ( 評価認証 ) 2012.7 2013 2014.4 CSSC 国際相互承認スキームの確立相互承認 < 国内認証試行 > < 国際相互承認スキーム> < 研究成果の活用 > ISCI 認証と同基準で国内向けの認証 ( 試行 )を実施 ISCIに準拠した相互承認のスキーム確立国内 CSSC 研究成果の反映 2012 2013 2014 2015 2016 2017 EDSA 調査研究パイロット認証 PCLS 認証運用本格認証運用 ISCIの規格化状況に基づき CSSCの対応計画案を示す実線は計画済で実施中のもの年度表記 ISCI : ISA Security Compliance Institute ISA : International Society of Automation 国際計測制御学会 PCLS: Provisional Chartered Laboratory Status 仮免状態 39

SSAシステム認証の最新動向システムとは? An Industrial Control System (ICS) or SCADA system that is available from a single system supplier It may be comprised of hardware and software components from several manufacturers but must be integrated into a single system and supported, as a whole, by a single supplier < 出典 > 制御システムセキュリティセンター東北多賀城本部 (CSS-Base6) 開所記念シンポジウムパネルディスカッションテーマ: 制御システムセキュリティと国際連携 Automation Standards Compliance Institute (ASCI) Managing Director of ISCI Andre Ristaino 氏 http://www.css-center.or.jp/sympo/2013/documents/sympo20130528-andre.pdf 40

Zones and Accessible Network Interfaces 41

ISASecure SSA Certification Program 42

SDLA : Multiple Product Certification 43

CSMS 認証制度の推進 ISMS(ISO27001)のIACS 版と考えられほぼ同様の要求事項制御システムのトータルなセキュリティ向上を目指して CSMS 認証を導入する ISMS 適合性評価制度のスキームに沿って CSMS 認証を実現する 2013 年 2014 年 2015 年認証取得の試行先行的な評価認証によるノウハウの蓄積効果的な試行者の選定三菱化学エンジニアリング( 株 ) 横河ソリューションサービス( 株 ) パイロットプロジェクト国家施策による立上げ (METI, IPA, JIPDEC) 評価認証の拡大一般認証事業開始業界固有の特徴分析ノウハウの蓄積 (CSSC 会員企業を中心に各業界 1 件程度 ) 国家施策による評価認証施策の拡大認証の本格的普及蓄積されたノウハウに基づくガイドの策定 ( 各業界向けガイド公開 ) ガイドを活用した評価認証の実施認証取得の事業メリットの明確化活用 2013 年度 :パイロットプロジェクトにより認証基準スキームを立ち上げ 2014 年度 : 認証事業の開始先行事業者によるノウハウの蓄積 2015 年度 : 業界別のガイド策定事業メリット明確化認証取得拡大 44

参考 : ソフトウェア製品の開発ライフサイクルにファジングの導入を(1/2) ファジングとはファジングとはソフトウェア製品に問題を引き起こしそうなテストデータを大量に送り込みその応答や挙動を監視することで脆弱性を検出する検査手法ですバグや脆弱性の低減テストの自動化効率化による労力削減 45

ソフトウェア製品の開発ライフサイクルにファジングの導入を(2/2) ファジングの活用製品開発企業でまだファジングを導入していない場合まずは開発部門品質保証部門でのファジングを活用を推奨します製品開発における品質保証部門だけではなく開発部門でもファジングを活用することで製品出荷後に脆弱性が発見される可能性を低減させることができます活用の手引きファジング実践資料管理部門開発部門向けファジングの概要から実践方法および製品開発組織におけるファジングの活用方法などをまとめた手引書です http://www.ipa.go.jp/security/vuln/fuzzing.html 開発部門品質部門向けオープンソースソフトウェアなどを活用してすぐにファジングを実践できるようツールの使い方などをまとめた解説書です Copyright 2012 独立行政法人情報処理推進機構 46

参考 :CERT C/C++セキュアコーディングスタンダードセキュアコーディングとはプログラムの実装 (コーディング) 段階で脆弱性を作り込まないあるいは作り込まれた脆弱性を検出し修正する取組みや手法である CERT C / C++ セキュアコーディングスタンダードは脆弱性に直接つながる製品の弱点となるコードやセキュリティ品質に関わるコーディングを特定しセキュアで品質の高いコードを作成するためのコーディング規約としてまとめられている全てのルールに準拠する必要はなく各ルールに設定された優先度に基づき組織や開発プロジェクトに合わせてカスタマイズして利用することが可能であるこのCERT C / C++ セキュアコーディングスタンダードを導入することで以下の実現が期待できるより高品質でセキュアな製品開発発生しうる攻撃リスクの把握コードのセキュリティ品質を評価する指標のひとつとして活用 2014 年度より開始が予定されているEDSA 認証の要求事項の一部への対応 CERT セキュアコーディングスタンダードは C / C++ / Java の3 種類を提供中詳細情報 : https://www.jpcert.or.jp/securecoding.html 本件に関する連絡先 :secure-coding@jpcert.or.jp 47

セキュアな制御システムを世界へ未来へ CSSCホームページ http://www.css-center.or.jp/ CSSC 説明ビデオ( 日本語版 ) http://www.youtube.com/watch?v=wbeidqzu5si&feature=youtu.be 48