制御システムの情報セキュリティ
~2種(マネジメント/製品)の評価認証パイロットプロジェクト~
20120508-10 SecurityEXPO2013 1独立行政法人情報処理推進機構
技術本部セキュリティセンター
情報セキュリティ技術ラボラトリー
入澤 康紀
講演の流れ
あらゆるデバイス・場面へのサイバー脅威の拡がり
重要インフラを支える制御システムへの攻撃事例
制御システムのセキュリティマネジメント(CSMS)
日本発CSMS認証制度のパイロットプロジェクト
制御機器の認証について(EDSA)
EDSA評価認証制度への日本参画プロジェクト
20120508-10 SecurityEXPO2013 2ITの利用状況(環境)は大きく変化している
攻撃(悪意)の動機も変化している
あなたのパソコンは
4分に1回
不正な?アクセス
<初めの頃は>
<現在、これから?>
いたずら
金銭・犯罪・テロ・情報戦
→対策が必要
IT脅威の変遷(攻撃の高度化)
3あらゆるデバイス・場面へのサイバー脅威の拡がり
制御システム
あらゆるデバイス・場面へのサイバー脅威の拡がり
4医療機器
糖尿病患者のインスリンポンプの無線機能を
攻撃し、投与量を不正操作される可能性
自動車
複合機
保守用インタフェース
の悪用
制御システムも標的に
攻撃対象の拡大
ICカード
不正な読み取り
信号機に対するハッキング
•
発生した国
◇米国
業種
◇道路管理
原因
◇システムが脆弱な状態
想定被害
◇道路状況の混乱
2009年
1月、米国の複数の州における信号機(
交通メッセージ表示
)
が「ゾンビ注意(ZOMBIES AHEAD)」に変更された。この例はいたず
らだが、原因はシステムにおける
パスワードをデフォルト
のままにして
いた。また、
本来ロックしておかなければならない機能をロックしておら
ず、
脆弱な状態にあったため、
いたずらに利用
された。
Source: Los Angels Times
http://latimesblogs.latimes.com/lanow/2009/12/engineers-who-hacked-in-la-traffic-signal-computers-jamming-traffic-sentenced.html 写真:The Telegraph http://www.telegraph.co.uk/ Copyright © 2013 独立行政法人情報処理推進機構
重要インフラを支える制御システムへの攻撃事例
5
原子力発電所の制御システムへのワーム侵入
発生した原因
◇VPN接続による内部感染
◇
対象パッチの未更新
事件の影響
◇6時間の運用停止
2003 年
1 月、オハイオ州Davis Besse 原子力発電所で
SQL サーバを狙った
Slammer(読み方:スラマー)ワーム
がVPN(Virtual Private Network)接続を介して侵
入・感染し、SCADA システムを約5 時間にわたって停止させた。同施設のプロセス・コ
ンピュータも停止し、再運用までに約6 時間を費やしたほか、他の電力施設を結ぶ通
信トラフィックも混乱し、通信の遅延や遮断に追い込まれた。 感染したSlammer ワー
ムに対する
パッチは、その時点で公開されていたが、発電所のシステムには該当パッ
チがあてられていなかった
。
Copyright © 2013 独立行政法人情報処理推進機構重要インフラを支える制御システムへの攻撃事例
6制御システムの「
セキュリティインシデント
」の増加
20120508-10 SecurityEXPO2013出典:「制御システムの情報セキュリティに関する調査」調査報告書2013.3公開
参考:
IPA制御システムのセキュリティ:http://www.ipa.go.jp/security/controlsystem/index.html
・米国ICS-CERT:2009年以降、インシデント届出件数が飛躍的に増大
・水道、エネルギー、原子力、化学、政府関連設備など、届出が多い
ICS-CERTのインシデントレスポンス動向
(2009年~2011年)
ICS-CERTウェブサイト情報をもとに作成
分野別インシデント報告割合(2011年)
ICS:Industrial Control Systems
20120508-10 SecurityEXPO2013 8
セキュリティリスクのマネジメントについて
組織な体制のもと、経営・管理面を含めたトータルな対応が必要となってきている。
情報セキュリティインシデントは、一点でも攻撃を許すと組織全体の被害に拡大
守るべき範囲を決め、どこにどのようなリスクが存在するかを洗い出し、
しかるべき対策を実施することで、
リスクを許容範囲内に低減
。
M 制御情報ネットワーク コントロールネットワーク センサバス ファイアウォール 生産管理 サーバ PLC HMI PLC PIMS センサ・アクチュエータなど 情報ネットワーク DCS/Slave フィールドネットワーク EWS DCS/Master管理対象内のリスクを低減するマネジメントが必須
情報セキュリティのマネジメント
に関する既存規格(認証制度有)
ISO/IEC 27000シリーズ規格
情報セキュリティマネジメントシステム
リスクアセスメント 脅威 サービス妨害、 改ざん、 情報漏えい… 脆弱性 ○ △ × 資産価値 大 中 小リスク
リスクへの対応 管理策の適用等 基本的に、リスクを許容値以下に 低減させる事が目標となる。 例)運用手順等の見直し ・USBメモリ利用管理 ・パッチマネジメント 例)セキュリティ機能を有する製品等の利用 ・侵入検知、FW、ホワイトリスト制御 攻撃の受け易さ 社会的な影響も大きい 制御システムでは
ISO/IEC 27001では、組織においてISMSを確立、導入、運用、監視、見直し、維持し、かつ
そのISMSの有効性を改善する際に、
プロセスアプローチを採用することを奨励
している。
ISMS基本方針を基に、
●
Plan
: 情報セキュリティ対策の具体的計画・目標を策定する。
●
Do
: 計画に基づいて対策の導入・運用を行う。
●
Check
: 実施した結果の監視・見直しを行う。
●
Act
: 経営陣による改善・処置を行う。
このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図る。
出典:JIPDEC[日本情報経済社会推進協会] http://www.isms.jipdec.or.jp/isms/index.html 9ISMSのポイント
(Information Security Management System)
管理対象と基本方針を決定
リスクアセスメントを実施し、
然るべき管理策を図る
計画の策定(確定)
状況の変化
監視・レビュー
【課題1:オープン化、ネットワーク化に伴うセキュリティ脅威の増大】
•
汎用製品、標準プロトコルネットワーク採用により、脆弱性リスク、ワームなど
のウイルスの侵入や、機密情報漏えいのおそれがある。
【課題2:製品の長期利用に伴うセキュリティ対策の困難さ】
•
制御システムは通常10~20年使用。IT製品のサポート期間より長い。
• 通常のシステムに比べて対策が難しく、特に新たな脅威への対応が課題。
【課題3:可用性、性能重視に伴うセキュリティ機能の絞込み】
•
可用性、性能が重視されており、システムの動作保証や負荷などの事情から、
ウイルス監視やセキュリティパッチ(修正プログラム)の適用が難しい。
制御システム
情報システム
セキュリティ優先順位
主なセキュリティの対象
サービス(連続稼動)
モノ(設備、製品)
情報
資料:IPA「重要インフラの制御システムセキュリティとITサービス継続に関する調査」より抜粋A.I.C(可用性重視)
C.I.A(機密性重視)
Copyright © 2013 独立行政法人情報処理推進機構制
御
シ
ス
テ
ム
特
有
の
課
題
情
報
シ
ス
テ
ム
と
同
様
10ISMS関連規格抜粋
(未発行規格含む)
11 ISO/IEC27000 概要及び用語 ISO/IEC27001 要求事項 ISO/IEC27002 実践のための規範 ISO/IEC27006 認証機関に対する 要求事項 ISO/IEC27011 電気通信組織 のための指針 ISO/IEC27015 金融サービスに 対するISMS指針 ISO/IEC27017 クラウド利用のための 管理策に関する指針 ISO/IEC27003 導入に関する手引き ISO/IEC27005 リスクマネジメント に関する指針 分野毎の管理策、手引等が検討されてきている。 制御システムについては、ISMSを参考に「IEC62443-2-1」として 制御システム事業者向けのセキュリティマネジメントシステム規格が発行済み セクター規格同様、制御システム利用における課題に沿った管理策・要求事項が規定 Terminology 用語 Requirements 要求事項 Guidelines 指針 Sector-Specific Guidelines 分野別指針 参考:情報セキュリティマネジメント・セミナー[日本ISMSユーザグループ] http://j-isms.jp/events/20121221.html20120508-10 SecurityEXPO2013 12
+
[全体で126要件]
<IEC62443-2-1>
本文
制御(CSMS)
CSMS固有規格
ISMSと併せて
認証する
。
+
マネジメント システム(MS) 管理策CSMS(Cyber Security
Management System)の構成
認証の対象とする基準(
IPA案
)
133の管理策
マネジメント
システム(MS)
<ISO/IEC27001>
本文
<ISO/IEC27001>
附属書A
選択
ISMS(Information Security
Management System)の構成
CSMSの一部(ISMSとの差分)を業界固有基準としてISMS認証にアドオン
CSMSパイロットプロジェクト
(Cyber Security Management System)
ISMSと違い、本文に管理策も含まれている。 ISO/IEC27001の本文、附属書Aとの重複が 多く、残りが固有要件(差分)となる。
・制御ネットワークのマッピング
・HSE(健康、安全性、環境)への十分な配慮
・物理リスクとITリスクの分析結果統合
・安全レベルの維持強化
CSMSユーザーズガイド
(JIPDECより一般公開)
認定機関
パイロット認証
の推進及び
知見の蓄積
認証機関
認証機関
認定基準/認証基準
受査組織
受査組織
既存のISMS認 証機関が候補有識者委員会
本プロジェクトの成果 物である認定/認証基 準及び手続きについて、 有識者を招聘した委員 会にて精査を実施。認証機関の
審査技術
受査企業の構築・運用技術
CSMSパイロットプロジェクト(2013年4月~2014年3月)
~認定/認証基準・手続き・審査・受査技術の確立~
パイロット
認証の実施
CSMS固有分の基準確立CSMS固有基準
①
②
受査組織の
構築・運用技術
③
④
⑤
⑦
⑥
⑥
<一般公開物>
基準の確立
(JIPDEC主体)
要員認証機関CSMSパイロットプロジェクト
経済産業省グローバル認証基盤整備事業
(Cyber Security Management System)
IPA
は
全面的な支援を実施
認定
認証
制御機器製品のセキュリティ
20120508-10 SecurityEXPO2013 14 M 制御情報ネットワーク コントロールネットワーク センサバス ファイアウォール 生産管理 サーバ PLC HMI PLC PIMS センサ・アクチュエータなど 情報ネットワーク DCS/Slave フィールドネットワーク EWS DCS/Masterトータルなセキュリティを実現するためには
個別の製品に関するリスクの検討も重要
ここからは、個別の制御機器製品の
セキュリティ保証についてご説明します
20120508-10 SecurityEXPO2013 15
製品が持つセキュリティ機能等の保証について
製品に求められるセキュリティ機能要件例
・必要十分なセキュリティ機能を有し、この機能が正確に実装されていること
→
有事の際に的確にセキュリティ機能が働く必要がある
セキュリティ機能の適切性・確実性を第三者により評価(試験・検証等)
することで、合理的かつ、より的確な意思決定を支援できる。
制御システムでは、制御機器コンポーネントの認証制度(EDSA)が存在
<諸課題>
・事業者(製品調達者)や使用者が調達する製品候補全てを評価するのは難しい ・製品提供者の自己評価のみでは基準未達等の懸念がある(保証が不十分な場合がある) ・調達者自身による評価は技術的にも困難な場合が多い。 (再掲)リスクへの対応策 例)運用手順等の見直し ・USBメモリ利用管理 ・パッチマネジメント 例)セキュリティ機能を有する 製品等の利用 ・侵入検知、FW、ホワイト リスト制御 A社 B社 C社 調達者 X社 Y社 Z社 提供者 個別の評価は困難(コスト大等) A社 B社 C社 調達者 X社 Y社 Z社 提供者 認証済製品リスト (評価/認証機関) 認証申請 参照/選択制御機器認証制度EDSAの概要
(Embedded Device Security Assurance)
20120508-10 SecurityEXPO2013 16
ISA Security Compliance Institute(ISCI) の
評価認証へのわが国の取り組み
ISCIの組織概要
●
EDSA認証制度のスキームオーナ(認証制度の運営元)
●制御システム事業者、構築事業者、装置ベンダ等
からなる米国主体のコンソーシアム(業界団体)
IPAも2012年9月にGovernment membershipとしてISCIへ加入
し、以下を推進
①日本における国際認証制度の推進
→日本へのEDSAスキームの導入を推進
②認証用規格に対する日本意見の提案
→EDSAスキームについて日本としての提案実施
③認証用規格の国内普及啓発活動の推進(規格の日本語版の整備等)
→EDSA規格の翻訳を実施
EDSA認証の評価項目とISASecureレベルについて
20120508-10 SecurityEXPO2013 17
3種類の評価
•
SDSA(Software Development Security Assessment)
ソフトウェア開発プロセスのセキュリティ評価
•
FSA(Functional Security Assessment)
セキュリティ機能評価
•
CRT(Communication Robustness Testing)
通信に対する堅牢性評価
評価項目の数によって3段階の認証レベルを規定
Level 1
Level 2
Level 3
()内は評価項目(要求事項)の数を示す
CRT(69)
FSA(50)
SDSA(148)
CRT(69)
FSA(83)
SDSA(169)
CRT(69)
FSA(21)
SDSA(129)
SDSA/FSAはIEC62443-4シリーズにも提案されており、国際規格化する見込み
20120508-10 SecurityEXPO2013 18
EDSA認証の各評価項目概要
統合脅威分析
(ITA)
ソフトウェア開発
セキュリティ評価 (SDSA)
Software Development
Security Assurance
機能セキュリティ評価(FSA)
Functional Security
Assurance
通信ロバストネス試験 (CRT)
Comminication Robustness
Testing
体系的な設計不良の検出と回避 • ベンダのソフトウェア開発とメンテナンスのプロセス監査 • 堅牢で,セキュアなソフトウェア開発プロセスを当該組織が 実行していることを評価する。 ※3段階のセキュリティレベルにより評価項目数が決まる 実装エラー / 実装漏れの検出 • セキュリティ機能要件について、目標とするセキュリティレベル に対応する全要件が実装済みであるかどうかを評価 ※3段階のセキュリティレベルにより評価項目数が決まる 対象デバイスの堅牢性を評価する実機試験 • コンポーネントのロバストネス(堅牢性) について試験 • 奇形や無効な形式のメッセージを送り、脆弱性等を分析 ※セキュリティレベルによらず、評価項目数は同一 ◆SDSA,FSA,CRTの各々評価することで、想定脅威に対する 対策のカバー範囲が十分であることを保証 • 潜在的な脅威に対して期待するシステムの抵抗力(resistance) を文書化 • ユーザの期待する対策を示し、それを実現するための製品利用 マニュアルを文書化20120508-10 SecurityEXPO2013 19
EDSA認証の各評価項目概要
統合脅威分析
(ITA)
ソフトウェア開発
セキュリティ評価 (SDSA)
Software Development
Security Assurance
機能セキュリティ評価(FSA)
Functional Security
Assurance
通信ロバストネス試験 (CRT)
Comminication Robustness
Testing
体系的な設計不良の検出と回避 • ベンダのソフトウェア開発とメンテナンスのプロセス監査 • 堅牢で,セキュアなソフトウェア開発プロセスを当該組織が 実行していることを評価する。 ※3段階のセキュリティレベルにより評価項目数が決まる 実装エラー / 実装漏れの検出 • セキュリティ機能要件について、目標とするセキュリティレベル に対応する全要件が実装済みであるかどうかを評価 ※3段階のセキュリティレベルにより評価項目数が決まる 対象デバイスの堅牢性を評価する実機試験 • コンポーネントのロバストネス(堅牢性) について試験 • 奇形や無効な形式のメッセージを送り、脆弱性等を分析 ※セキュリティレベルによらず、評価項目数は同一 ◆SDSA,FSA,CRTの各々評価することで、想定脅威に対する 対策のカバー範囲が十分であることを保証 • 潜在的な脅威に対して期待するシステムの抵抗力(resistance) を文書化 • ユーザの期待する対策を示し、それを実現するための製品利用 マニュアルを文書化出典:「ISA Security Compliance Institute (ISCI) and ISASecure™
評価用 ソフトウェア 筐体型評価 ツール
ICS
製品
試験項目 異常データ等を入力20120508-10 SecurityEXPO2013 20
EDSA認証の各評価項目概要
統合脅威分析
(ITA)
ソフトウェア開発
セキュリティ評価 (SDSA)
Software Development
Security Assurance
機能セキュリティ評価(FSA)
Functional Security
Assurance
通信ロバストネス試験 (CRT)
Comminication Robustness
Testing
体系的な設計不良の検出と回避 • ベンダのソフトウェア開発とメンテナンスのプロセス監査 • 堅牢で,セキュアなソフトウェア開発プロセスを当該組織が 実行していることを評価する。 ※3段階のセキュリティレベルにより評価項目数が決まる 実装エラー / 実装漏れの検出 • セキュリティ機能要件について、目標とするセキュリティレベル に対応する全要件が実装済みであるかどうかを評価 ※3段階のセキュリティレベルにより評価項目数が決まる 対象デバイスの堅牢性を評価する実機試験 • コンポーネントのロバストネス(堅牢性) について試験 • 奇形や無効な形式のメッセージを送り、脆弱性等を分析 ※セキュリティレベルによらず、評価項目数は同一 ◆SDSA,FSA,CRTの各々評価することで、想定脅威に対する 対策のカバー範囲が十分であることを保証 • 潜在的な脅威に対して期待するシステムの抵抗力(resistance) を文書化 • ユーザの期待する対策を示し、それを実現するための製品利用 マニュアルを文書化出典:「ISA Security Compliance Institute (ISCI) and ISASecure™
機密性
完全性
可用性
情報セキュリティ優先順位
<通常の情報システム> <制御システム>
機密性
完全性
可用性
3大要素を
7項目に
細分化
・アクセス制御
・使用制御
・データ完全性
・データ機密性
・データフロー制限
・イベント応答性
・ネットワーク可用性
・DoS攻撃対策要件
・プロトコルファジング対策
・攻撃検知要件
:
<大項目>
<要求事項具体例>
高
20120508-10 SecurityEXPO2013 21
EDSA認証の各評価項目概要
統合脅威分析
(ITA)
ソフトウェア開発
セキュリティ評価 (SDSA)
Software Development
Security Assurance
機能セキュリティ評価(FSA)
Functional Security
Assurance
通信ロバストネス試験 (CRT)
Comminication Robustness
Testing
体系的な設計不良の検出と回避 • ベンダのソフトウェア開発とメンテナンスのプロセス監査 • 堅牢で,セキュアなソフトウェア開発プロセスを当該組織が 実行していることを評価する。 ※3段階のセキュリティレベルにより評価項目数が決まる 実装エラー / 実装漏れの検出 • セキュリティ機能要件について、目標とするセキュリティレベル に対応する全要件が実装済みであるかどうかを評価 ※3段階のセキュリティレベルにより評価項目数が決まる 対象デバイスの堅牢性を評価する実機試験 • コンポーネントのロバストネス(堅牢性) について試験 • 奇形や無効な形式のメッセージを送り、脆弱性等を分析 ※セキュリティレベルによらず、評価項目数は同一 ◆SDSA,FSA,CRTの各々評価することで、想定脅威に対する 対策のカバー範囲が十分であることを保証 • 潜在的な脅威に対して期待するシステムの抵抗力(resistance) を文書化 • ユーザの期待する対策を示し、それを実現するための製品利用 マニュアルを文書化出典:「ISA Security Compliance Institute (ISCI) and ISASecure™
要件分析
上位設計
詳細設計
実装
単体テスト
統合試験
運用試験
継続サポート
セキュリティ 要件 セキュリティ アーキテクチャ設計 リスクアセスメント 脅威のモデル化 セキュアコーディング ガイドライン セキュリティトレーニング セキュリティコードレビュー &静的分析 ファジングテスト abuse caseテスト セキュリティ 妥当性試験 セキュリティ対応 計画/体制整備レビュー/試験
開発サイクルの各フェーズのセキュリティ評価
設計段階
試験運用段階
EDSA認証スキームへの日本参画構想
~国内認定機関の実現構想について(ISCIへの提案実施)~
20120508-10 SecurityEXPO2013<日本版評価認証機関>
日本での評価認証機関の候補は、
相互承認協定に基づき、JABより認
定を受けることが可能となる。
<現状の評価認証機関>
評価及び認証機関の候補は、
現状は米国ANSIより認定を受
ける必要がある。
ANSI/ACLASS
EDSA認証制度の運営元
相互承認協定
現状の制度
将来の制度案
日本のケース
外国のケース
IPAが米国ISCIへ提案した制度案
認定
認定
IPAが提案したグローバルな制度案
日本のベンダ
スキームオーナ 認定機関 評価/認証機関指定
指定
222014年度予定
2013年度予定
技術研究組合制御システムセキュリティセンター
におけるEDSAの各評価手法の策定
23 運営委員会 インシデントハン ドリング委員会 評価認証・ 標準化委員会 研究開発テスト ベッド委員会 普及啓発・ 人材育成委員会 通信評価認証WG 評価認証スキームにおける通信のロバストネステストとして最適な評価手順書を策定する。当面はISCI のEDSA-CRT規格への対応を検討。 機能・開発評価認証 WG 評価認証スキームにおけるセキュリティ機能・開発プ ロセスの評価手順書を策定する。当面はISCIの EDSA-FSA・SDSA規格への対応を検討。 実機評価WG CSSCにおける実機の評価環境の構築、及び評価 の実施を行う。また、評価に係るノウハウをCSSC メンバ内で共有することも目的とする。また、ツール 整備についても検討実施。体制:
[委員] CSSC職員と 組合各社から参加 [有識者/オブザーバ] 大学有識者 他 [開催期間・回数] 2012年9月~翌年2月 各WGにて作業・検討実施参加
要件
番号
項目
文書
判定
ヒアリ
ング
証拠
書類
審査
結果
1
test1 ○
○
○
○
2
test2 ○
△
×
×
3
:
チェックリスト/手順書等の作成
国産ツール等 Achilles 他ICS
製品
手引き・ ノウハウ等 蓄積ISA:International Society of Automation ISCI:ISA Security Compliance Institute EDSA: Embedded Device Security Assurance CRT: Communication Robustness Testing FSA: Functional Security Assessment
20120508-10 SecurityEXPO2013 24
