ET/IoT2016 ブースプレゼン
2016年11月18日
独立行政法人情報処理推進機構(IPA)
技術本部 ソフトウェア高信頼化センター(SEC)
西尾 桂子
「つながる世界のセーフティ&セキュリティ設計入門」
で伝えたいこと
~実態調査から見えたこと、そして開発指針へ~
目次
つながる世界のリスク
セーフティ設計・セキュリティ設計のアンケート調査結果より
「つながる世界のセーフティ&セキュリティ設計入門」解説
設計入門発行後の取組み:「開発指針」
目次
つながる世界のリスク
セーフティ設計・セキュリティ設計のアンケート調査結果より
「つながる世界のセーフティ&セキュリティ設計入門」解説
設計入門発行後の取組み:「開発指針」
つながる世界
(IoT)とは
様々な「モノ」がつながって
新たな価値を創出
していく世界
AVネットワーク 医療・ヘルスケアネットワーク 蓄電池・ コジェネ HEMSネットワーク 電力会社 省エネ制御 家電・照明 EV/HV 太陽光発電 HEMS 端末 医療・ヘルスケア 機器 ウェラブル 機器 医療・ ヘルスケア サーバ ロボット介護 テレマティクス端末、 データレコーダ等 ITS&自動車安全機能の連携 Newサービス 後付 車載器 車車間通信 持込機器 ITS路側機 自動運転 車載 ECU 4K・8K コンテンツ ホーム サーバ ネットワーク 家電 HEMS 関連企業 コンテンツ 提供企業 医療機関・ ヘルスケア企業 サービス提供サーバ (クラウド) 自動車メーカ ・交通管制 Convenience お 弁 当 セ ー ル 生活圏の公共エリア のネットワーク機器 ATM 遠隔監視・制御機器メーカ 農地や工場 スマートメータ ホームゲートウェイ接続先は信頼できる?
(信頼性に関する設計要件は自分が求めているものと合致しているか?)
設計要件が異なる際に想定されるリスク
• 車を制御・操作中のスマホのハングアップにより、
制御・操作が効かなくなり、重大な事故が発生
• 脆弱性がある側の機器への不正アクセスにより、
相手側の機器に保存されている情報が盗難
自動運転の車 スマートフォン 人の命を預かる 信頼性の設計要件 通信や エンターテイメントに 利用する信頼性の 設計要件接続しても
問題がないかの
確認が必要
IoT時代の安全
と安心への危惧
等
つながる事を想定した安全・安心に向けた設計が重要に!
例)
接続先の信頼性をどう確認するのか?
(1)セーフティ・セキュリティ設計の確実な実
施
【IoT時代の安全・安心への危惧を払拭するには】
製品やサービスをつなげるための開発を
行う際に互いの信頼性を確認することが重要
セーフティ設計 セキュリティ設計 セーフティ、セキュリティは 車の両輪その把握のためには、双方の
(2)その設計実施状況の見える化
が必要不可欠に
特にセーフティ設計・セキュリティ設計
目次
つながる世界のリスク
セーフティ設計・セキュリティ設計のアンケート調査結果より
「つながる世界のセーフティ&セキュリティ設計入門」解説
設計入門発行後の取組み:「開発指針」
セーフティ設計・セキュリティ設計に関する実態調査結果
「セーフティ設計・セキュリティ設計に関する実態調査結果」
(平成27年9月10日発行)
対象:自動車、スマートフォン、ヘルスケア、スマート家電の4分野
サンプル数:320社 調査期間:2015年2月~4月 有効回答:68組織
◆
「セーフティ設計」「セキュリティ設計」
上流の段階でリスク分析を実施し、
リスクを低減した設計を行う
◆
「見える化」
設計の品質をエビデンス(証拠)に基づき
第三者でも容易に理解できる表記で論理的
に説明する
その他, 7.0% 経営層, 19.3% 経営層と 品質管理, 10.5% 品質管理, 19.3% 開発部の み, 43.9% n=57 その他, 13.2% 経営層, 9.4% 経営層と 品質管理, 17.0% 品質管理, 26.4% 開発部の み, 34.0% n=53 セーフティ設 計は必要, 4.4% セキュリティ 設計は必要, 19.1% 両方とも必 要, 76.5% n=68
セーフティ・セキュリティ設計に関するアンケート結果から
経営層の関与が少ない
設計上の判断に、経営層や品質保証部門の 責任者が関わることはありますか?経営層が関与していると回答した組織は、開発部門のみで判断していると言う
回答に比べて少ない
経営層 26.4% 経営層 29.8%事故やインシデントが発生すると、損害賠償や企業の信用失墜・リコールなど、
経営リスクに発展
セーフティ設計 セキュリティ設計セーフティ設計・セキュリティ設計上の判断には、
経営層の関与が必要
出典:独立行政法人情報処理推進機構「セーフティ設計・セキュリティ設計に関する実態調査結果」(平成27年9月10日) セーフティ設計・セキュリティ 設計の必要性 しかし 設計は必要 100%セーフティ・セキュリティ設計に関するアンケート結果から
設計の基本方針が明文化されていない
セキュリティ 設計に特化 した基本方 針あり, 15.8% セキュリティ 設計を含む 基本方針あ り, 29.8% 明文化され たものはな い, 54.4% n=57 セーフティ設 計に特化し た基本方針 あり, 10.5% セーフティ設 計を含む基 本方針あり, 24.6% 明文化され たものはな い, 64.9% n=57 セーフティ設計の基本方針(明文化なし:64%) セキュリティ設計の基本方針(明文化なし:54%) 基本方針がないのに経営層の関与もなし 基本方針がある組織はほとんど設計ルールあり 基本方針がない組織はほとんど設計ルールなし なし あり なし あり あり 16.2% 40.0% 19.4% 42.3% なし 83.8% 60.0% 80.6% 57.7% セーフティ基本方針 セキュリティ基本方針 経営層関与 なし あり なし あり あり 27.0% 94.7% 9.7% 92.0% なし 73.0% 5.3% 90.3% 8.0% 設計ルール セーフティ基本方針 セキュリティ基本方針半数以上の企業では基本方針が設けられていないが、
経営層の関与もなく、開発現場の判断に任せられている
セーフティ・セキュリティ設計に関するアンケート結果から
現場で行っているセーフティ設計
11
22 20 10 1 3 8 19 0 10 20 30FMEA (Failure Mode and Effect Analysis) FTA (Fault Tree Analysis)手法 HAZOP(Hazard and Operability Studies)手法 STAMP/STPA手法を利用 その他の手法やツール 独自の手法 ハザード分析は行っていない N=55 Q:ハザード分析について、手法やツールを利用していますか?(複数回答) セーフティ分析 3大手法 ハザード分析をしてい ないプロダクトも多い 19 8 7 5 2 4 17 12 0 10 20 30 40 フェールセーフ手法を利用 フールプルーフ手法を利用 形式手法を利用 多層防御手法を利用 アフォーダンス手法を利用 その他の手法やツール 独自の手法 セーフティ設計は行っていない N=50 Q:ハザードに対するセーフティ設計・評価について、手法やツールを利用していますか? (複数回答) フェールセーフ手法が1強 独自手法が多い セーフティ設計をしてい ないプロダクトも多い
12 9 9 7 7 2 2 2 2 1 1 9 19 13 0 10 20 30
FMEA (Failure Mode and Effect Analysis) 脅威モデリング手法(STRIDE, DFD) FTA (Fault Tree Analysis)手法 Attack Tree手法 HAZOP(Hazard and Operability Studies)手法 ISO/IEC27005 (GMITS) ミスユースケース手法を利用 問題フレーム手法 ゴール指向 エージェント指向 (i*/Secure Tropos) 手法 ALE (Annual Loss Expectation)手法 その他の手法やツール 独自の手法 リスク分析は行っていない N=56 35 32 25 20 18 17 12 11 6 4 3 3 2 1 1 5 11 5 0 10 20 30 40 認証 暗号化 アクセス制御 電子署名 脆弱性評価 ログ・監査 UML 侵入検知 CC (ISO/IEC 15408) SDL (Secure Development Lifecycle) SIM/TPM等信頼を担保する手法 形式手法 FIPS-140 Twin Peaks手法 SQUARE その他の手法やツール 独自の手法 セキュリティ設計は行っていない N=56 Q:セキュリティ上のリスク分析について、 手法やツールを利用していますか?(複数 回答)セキュリティ分 析 5大手法 独自手法が最多 Q:リスクに対するセキュリティ設計・評価につ いて、手法やツールを利用していますか? (複数回答) セキュリティ対 策は様々な手法 が使われている リスク分析をしていな いプロダクトも多い セキュリティ設計をしていない プロダクトは少ない