制御システムセーフティ セキュリティ検討 WG 活動のご紹介 独立行政法人情報処理推進機構 (IPA) 技術本部ソフトウェア高信頼化センター (SEC) 調査役石田茂 IPA Software Reliability Enhancement Center

独立行政法人情報処理推進機構（IPA)

技術本部ソフトウェア高信頼化センター（SEC)

調査役 石田 茂

制御システム セーフティ・セキュリティ検討WG

活動のご紹介

本日の内容

・背景

・WGの目的

・検討プロセス

・脅威分析

・重要インフラのセキュリティ対応

重要インフラ設備へのサイバー攻撃

■英国病院ランサムウェア感染（2017年4月）

抗がん剤を処方するシステムや医用画像情報システムが使用不能。血液検査不能。

■サウジアラビア空港、政府機関への攻撃（2016年11月）

PC数千台が破壊され、数日間業務が停止。新型のShamoonが使用された。

■イスラエル電力公社への大規模サイバー攻撃（2016年1月）

コンピュータ多数が使用不能状態になる。

■ウクライナ電力施設へのサイバー攻撃（2015年12月）

ウクライナ西部半分で停電。復旧に約6時間かかり40～70万人が影響受ける。

■フランス国営放送局へのサイバー攻撃（2015年4月）

イスラム過激派からの大規模攻撃受け番組放送ができなくなった。

■Stuxnet感染（2010年11月）

ウラン濃縮施設の遠心分離機がマルウェア感染。約8400台の遠心分離機が停止。

産業用制御システム

❖

電気、石油・ガス、化学、鉄鋼、車両、輸送、製薬、組立て

製造等多くの企業で利用されている

❖

人命や環境保全に関わる安全システムでは、“

安全文化

”の

確立が必須

❖

従来より国内では監督機関によるライフサイクル全般にわたる

安全なものづくりをしてきた

❖

基本的に無停止、連続稼働、長期保守

❖

事業グローバル化→国際的に通用する認証取得

❖

ITサイバー ｖｓ OT保全管理 の文化ギャップ

重要インフラ企業の生声

Safety

Security

動向・要件

課題

（国内企業17社、

2大学よりヒアリン

グ）

規格

プロセス等確立しているが、IoT時代に向

けた新たなサービスや機能への対応が必

要になっている（自動運転、生産系と事務

系システム連携など）

セキュリティ脅威は日々増加、変化してお

り、将来に亘る脅威の全体像を特定する

ことは不可能。

認証取得のためのもので認証取得のため

のスキームと一体。ドメイン毎

組込みシステムは現在ドメインごとに作成

中。Safetyとの関係は無し

プロセス

ドメイン毎に確立されたプロセスが定義

モデルとなるようなプロセスは未定義

Security要件の抽出において、脅威分析の具体的なやり方などが規格にも明示されてい

ないため、人による差が大きくなり、脅威の網羅性に確信が持てない

Safety, Securityの双方に詳しい技術者は極めて少なく、Security要件がSafetyに及ぼす

影響を同時に評価・すりあわせてゆくことが難しく、連携させる枠組みもない

Safety要件に影響するSecurity要件をどのタイミングでどのように関連付ければいいのかがわから

ない

SecurityにはSafetyのような確立したプロセスがなく、双方の要件を満たす設計開発の進

め方がわからない

２０１５年後半からセーフティシステム関連の製造業中心にヒアリング実施

ＷＧ活動の目的

❖

機能安全等に準拠したセーフティシステムに、サイバーセキュリティ分析

をどのように行えばよいのかを、できるだけ汎用的に示す。

❖

セキュリティ要件をセーフティ要求・機能にどのようにすりあわせたらよい

かの基本的な考え方を示す。

活動方針

✔

セーフティ・ファースト：

既設セーフティシステムが有。セーフティゴールありき

✔

想定するガイド利用者：

セキュリティ対応が必要なセーフティインテグレータ

✔

国際規格・標準：

IEC 61508、IEC 62443 他TC65/WG20活動など

✔

モデルシステム：

架空のFAシステム

✔

アクター：

事業者、システムインテグレータ（＋機器メーカ）

セーフティ・セキュリティ検討プロセス

Step3 セキュリティ対策の立案・残存リスク評価

Step5 運用・保守・修理

Step0 安全設計経緯の確認

Step1 事業者のセキュリティ検討

Step2 インテグレータのセキュリティ検討

Step4 全妥当性確認

※実際には、ここで対策の実装・テストが実施されます

エンジニアリングプロセスとの関係

安全コンセプト

安全分析

安全要求

セキュアシステム仕様

システム仕様

システム仕様

詳細設計

製作

モジュール試験

システム試験

全安全妥当性確認

セキュア妥当性確認

システム運用・保守

コンポーネント仕様

(実現含む)

事業者

（アセット

オーナー）

安全妥当性確認

セキュア妥当性確認

セキュア分析・要求

セキュア分析・要求

安全システム仕様

セーフティ（実現済）

セキュリティ

安全分析

安全要求

セキュアコンセプト

インテグ

レータ

実

現

済

み

の

セ

ー

フ

テ

ィ

シ

ス

テ

ム

仕

様

検討ステップの例（インテグレータのセキュリティ検討）

Step1 事業者のセキュリティプロセス

Step3 セキュリティ対策の立案・残存リスク評価

2-1 事業者からの要求事項の確認

2-2 セキュリティリスク分析

・インテグレータによる保護資産の抽出

・脅威の識別

・脅威事象・脆弱性の識別

・被害内容の確認

・リスク評価

（影響度・発生可能性・リスクレベル）

アクティビティ

Step2 インテグレータのセキュリティ検討

2-3 セーフティへの影響確認

詳細資産一覧

・分析結果（脅威分析表）

・ｾｷｭﾘﾃｨ要求仕様

・ｾｷｭﾘﾃｨﾘｽｸﾚﾍﾞﾙ

保護資産一覧（詳細）

・事業者セキュリティ要求事項の確認

・システム構成の詳細化

入力

（既存システムの安全設計資料一式、事業者のセキュリティ検討資料一式）

・安全要求仕様（SRS）

・分析結果（FMEDA)、

他

・対象システム

仕様・構成図・設計書

・状態遷移、データフロー

他

資産一覧

保護資産一覧

・ｾｷｭﾘﾃｨ方針・計画

・ｾｷｭﾘﾃｨ検討範囲 (Suc)

分析結果（ATA他)

セキュリティ要求

システム、機器コンポ

の脆弱性情報

成果物

(インテグレータのセキュリティ検討資料一式）

セキュリティ

セーフティ

＜入力・成果物＞

一般要求事項

セーフティ影響

確認結果

セーフティ影響

確認結果

脅威分析

ＩＤ

資産種別、資産名称

リスク発生時に想定される損害、影響

（例．人がいるのに止まらない）

脅威に利用される恐れのある欠陥・弱点

（例．保護されていない通信ポート）

損害や影響をあたえるリスクを発生させる要因

（例．不正アクセス、操作ミス）

N

o

資産

Asset

_脅威

Threat

脆弱性

Vulnerability

被害

内容

リスク評価

対策

Security

Measure

種

類

名

称

標的

Target

影響

度

可能

性

ﾘｽｸﾚ

ﾍﾞﾙ

分

類

内容

セキュリティ対策内容

（ SSA-311等の分類）

セキュリティ対策の分類

（用途・目的別の分類）

脅威分析

発生可能性

説明

高

今後１年以内に発生する可能性が高い脅威、脆弱性

中

今後１０年以内に発生する可能性が高い脅威、脆弱性

低

これまで発生したことがなく今後も発生する可能性がほとんどないと考えられる脅威、脆弱性

影響度

説明

工場内

工場外

高

死亡

死亡or重大な地域ｲﾝｼﾃﾞﾝﾄ

中

休職or重傷

苦情or地域社会へ影響

低

応急手当

苦情なし

リスクレ

ベル

発生可能性

高

中

低

影

響

度

高

高

高

中

中

高

中

低

低

中

低

低

脅威発生時の影響度を評価する

脅威発生可能性を評価する

N

o

資産

Asset

_脅威

Threat

脆弱性

Vulnerability

被害

内容

リスク評価

対策

Security

Measure

種

類

名

称

標的

Target

影響

度

可能

性

ﾘｽｸﾚ

ﾍﾞﾙ

分

類

内容

セキュリティ対策

SUTは、すべてのユーザを識別し、認証する能力を提供しなければならない。この機能は、該当するセ キュリティポリシーおよび手順に従って職務分掌と最小特権をサポートするために、 SUTにユーザアク セスを提供するすべてのインターフェイス上で、このような識別と認証を実施しなければならない。 FSA-S-IAC-1.1　一意な識別と認証 SUTは、一意にすべてのユーザを識別し、認証する能力を提供しなければならない。 FSA-S-IAC-1.2　信頼のおけないネットワークに対する多要素による認証 SUTは、 （- 信頼できないネットワークを経由したアクセス、 SR 1.13 5.15を参照）信頼できないネット ワークを経由してSUTに人間のユーザアクセスのための多要素認証を採用する能力を提供しなければ ならない。

FSA-S-IAC-1.3　全てのネットワークに対するマルチファクタ認証 SUTは、 SUTへのすべてのユーザーアクセスのためのマルチファクタ認証を採用する能力を提供しなけ

ればならない SUTは、すべてのソフトウェアプロセスとデバイスを識別し、認証する能力を提供しなければならない。こ の機能は、該当するセキュリティポリシーおよび手順に従い、最低限の権限をサポートするために、 SUTへのアクセスを提供するすべてのインターフェイス上で、このような識別と認証を実施しなければな らない。 FSA-S-IAC-2.1　ユニークな識別と認証 SUTは、一意にすべてのソフトウェアプロセスとデバイスを識別し、認証する能力を提供しなければなら ない SUTは、確立、活性化、変更、無効化、およびアカウントの削除など、すべてのアカウントの管理をサ ポートする能力を提供しなければならない FSA-S-IAC-3.1　一元化されたアカウント管理 SUTは、統一されたアカウント管理をサポートするための能力を提供しなければならない SUTは、ユーザー、グループ、役割および/またはSUTインタフェースによって識別子の管理（例えば、 ユーザID ）をサポートする能力を提供しなければならない FSA-S-IAC-5.1　認証コードの初期化 SUTは、初期の認証者の情報内容を定義する能力を提供しなければならない

FSA-S-IAC-5.2　認証コードのデフォルト変更 SUTは、 SUTのインストール時にデフォルトの認証者を変更する能力を提供しなければならない

FSA-S-IAC-5.3　全ての認証コードの定期的変更 SUTは、定期的に認証者を変更する能力を提供しなければならない FSA-S-IAC-5.4　認証コードの保護 保存、送信時の不正な開示および変更から認証者を保護する能力をSUTは提供しなければならない FSA-S-IAC-5.5　ソフトウェアプロセス認証を保証するためのハードウェア機 能 ソフトウェアプロセスや装置利用者に対して、SUTはハードウェアメカニズムにより関係する認証者を保 護する能力を提供しなければならない SUTは、無線通信に従事するすべてのユーザー（人間、ソフトウェアプロセスまたはデバイス）を識別し、 認証する能力を提供しなければならない FSA-S-IAC-6.1　ユニークな識別と認証 SUTは、一意の無線通信に従事するすべてのユーザー（人間、ソフトウェアプロセスまたはデバイス）を識別し、認証する能力を提供しなければならない パスワードベースの認証を利用できるよう、 SUTはパスワードの強度の制限を適用する能力を提供しな ければならない FSA-S-IAC-7.1　パスワード生成と有効期間制限 SUTは、世代構成可能な数のパスワードを再利用することから、任意の与えられた人間のユーザアカウ ントを防止するための能力を提供しなければならない。また、 SUTは、パスワードの最小値と人間の ユーザのための最大存続期間の制限を強制する能力を提供しなければならず、これらの機能は、一般 的に受け入れられて、セキュリティ業界の慣行に従わなければならない。 FSA-S-IAC-7.2　全ユーザに対するパスワード生成と有効期間制限 パスワードベースの認証を利用するために、 SUTは、すべてのユーザーのパスワードの最小値と最大_{寿命の制限を強制する能力を提供しなければならない} FSA-S-IAC-5　認証コード管理

識別と認証制御（ Ide n t ific at io n & Au t h e n t ic at io n C o n t r o l)

FSA-S-IAC-1　ユーザの識別と認証 FSA-S-IAC-2　ソフトウェアプロセスと機器の識別と認証 FSA-S-IAC-3　アカウント管理 FSA-S-IAC-4　識別子管理 FSA-S-IAC-6　無線アクセス管理 FSA-S-IAC-7　パスワード認証の強度 すべてのインターフェイスで、 SUTは、職務分掌と最小特権をサポートするために、 SUTの使用を制御 するべくすべての人間のユーザに割り当てられた権限を強制する能力を提供しなければならない FSA-S-UC-1.1　全ユーザに対する認証の強制 すべてのインターフェイスで、 SUTは、職務分掌と最小特権をサポートするために、 SUTの使用を制御 するためのすべてのユーザー（人間、ソフトウェアプロセスとデバイス）に割り当てられた権限を強制す る能力を提供しなければならない。 FSA-S-UC-1.2　ロールへのパーミッション割当て SUTは、人間のユーザのロールに権限のマッピングを変更することが許可されたユーザまたはロールの 能力を提供しなければならない FSA-S-UC-1.3　スーパバイザオーバライド SUTは、設定可能な時間やイベントシーケンスの現在の人手で行うユーザ権限の認証を、オーバーライ ドできる機能をサポートしなければならない FSA-S-UC-1.4　デュアル承認 SUTは、工業プロセスに深刻な影響をもたらすアクションに対して、デュアル承認機能をサポートしなけ ればならない SUTは、認可監視し、一般的に受け入れられているセキュリティ業界の慣行に従って、 SUTへの無線接 続のための利用制限を実施する能力を提供しなければならない FSA-S-UC-2.1　認証されていない無線機器の識別と報告 SUTの物理的な環境の中で送信される不正な無線デバイスを識別し報告する能力を提供しなければな らない FSA-S-UC-3.1　モバイル機器使用の抑止 制御システムは以下のような設定可能な利用制限を、自動的に行う能力を提供しなければならない： a)ポータブルおよびモバイルデバイスの使用を防止すること; FSA-S-UC-3.2　コンテキスト固有の認証要求 制御システムは以下のような設定可能な利用制限を、自動的に行う能力を提供しなければならない： b)コンテキスト特有の認証要求; FSA-S-UC-3.3　モバイル機器とのデータ、プログラムの送受信制限 制御システムは以下のような設定可能な利用制限を、自動的に行う能力を提供しなければならない： c)ポータブルおよびモバイルデバイスとの制限されたコード、データの送受信; FSA-S-UC-3.4　モバイル機器のセキュリティ状態の強制 SUTは、ポータブルまたはモバイルデバイスが、そのゾーンのセキュリティ要件に準拠してゾーンに接続 しようとしていることを検証する能力を提供しなければならない FSA-S-UC-4.1　モバイルコードの実行抑止 SUTは、 以下の様なSUTへの損傷を引き起こす可能性のあるモバイルコード技術の利用制限を実施す る能力を提供しなければならない。 a）モバイルコードの実行を防止すること; FSA-S-UC-4.2　実行前の正しい認証と権限付与要求 SUTは、 以下の様なSUTへの損傷を引き起こす可能性のあるモバイルコード技術の利用制限を実施す る能力を提供しなければならない。 b）モバイルコード生成時の適正な認証; FSA-S-UC-4.3　認証対象システムとのモバイルコード送受信制限 SUTは、 以下の様なSUTへの損傷を引き起こす可能性のあるモバイルコード技術の利用制限を実施す る能力を提供しなければならない。 c）SUTとの制限されたモバイルコードの送受信; FSA-S-UC-4.4　モバイルコード使用の監視 SUTは、 以下の様なSUTへの損傷を引き起こす可能性のあるモバイルコード技術の利用制限を実施す る能力を提供しなければならない。 d）モバイルコード使用状態の監視; FSA-S-UC-3　モバイル機器の使用制御 使用制御（ Use C o n t r o l) FSA-S-UC-1　認証の強制 FSA-S-UC-2　無線使用制御 FSA-S-UC-4　モバイルコード（自動ダウンロード・実行されるプログラム）

重要インフラ セーフティシステムへのセキュリティ対応

❖

IT vs OT

制御システム

A（可用性）

I（完全性）

C（機密性）

H（健康）

_{S（安全性）}

E（環境）

C（機密性）

I（完全性）

A（可用性）

情報システム

重要インフラ セーフティシステムへのセキュリティ対応

❖

セーフティ vs セキュリティ

セーフティ

セキュリティ

危険事象の主た

る原因

故障

人為的な攻撃

原因発生

確率的

可能性

パターン

ハザードは確定的

時不変

脅威を予見しきれない

時変

設計方針

多層防護

多層防護

影響確認

ハザードを発生させないか

セキュリティ脅威

安全機能を毀損しないか

セキュリティ対策

安全機能

セキュリティ対策をバイパスしないか

：

平成30年

3月公開予定

● 制御系システムの各分野で活用可能な汎用的なガイドブック

● 実際の開発現場で、セーフティ・セキュリティ検討時に参考となる

基本的な手順・考え方を紹介（国際規格準拠）

● 事例システムによる解説 （ 分析シートつき）

ガイドブックのプレ紹介