2015年11⽉16⽇「”つながる”製品のセキュリティ⼊⾨講座」〜ＩｏＴ時代の新たな脅威に向けたセキュリティへの取り組み〜

組込みシステムセキュリティ⼊⾨と最新動向

松原 豊名古屋⼤学⼤学院情報科学研究科

附属 組込みシステム研究センター 助教Web: http://www.ertl.jp/~yutaka/

E-mail: yutaka@ertl.jp

1

本資料について

⽬次•  組込みシステムセキュリティの最新動向•  組込みシステムセキュリティ⼊⾨•  製品設計段階からのセキュリティ対策•  ⽶国におけるセキュリティ研究の現場•  まとめ

2

→ガイドブック p.XX参考⽂献•  本資料では，中部経産局発⾏の「組

込みシステムのセキュリティ取組みガイドブック」を参照している箇所がありますhttp://www.chubu.meti.go.jp/technology_jyoho/sesaku/security.htm

⾃⼰紹介

現在の役職•  名古屋⼤学 ⼤学院情報科学研究科 •  附属組込みシステム研究センター•  情報システム学専攻 ⾼⽥研究室 助教•  TOPPERS プロジェクト運営委員•  技術アドバイザ（組込み関係企業）主な研究トピック•  ⾃動⾞制御システム向けソフトウェアプラットフォーム

の開発•  ⾞載 Ethernet のリアルタイム性解析，プロトコル・ス

タックの開発•  ⾞載/ロボット向け制御ミドルウェアの開発，リアルタ

イム性評価•  組込みシステム向けの安全，セキュリティ分析⼿法•  組込みソフトウェア検証環境の開発

3

2015年4⽉- 9⽉，組込みセキュリティに関する研究＆情報収集のため，⽶国ワシントン⼤学セキュリティ＆プライバシー研究室と、カリフォルニア⼤学サンディエゴ校に滞在

研究分野

4

組込みシステムセキュリティの最新動向

5

組込みセキュリティが注⽬されている背景

組込みシステムの⾼機能化・ネットワーク化•  製品，サービスの多様化により，ネットワー

クに繋がる組込みシステムが増加•  独⾃開発ではなく既存技術の転⽤が増加

•  OS，TCP/IPスタック，USBスタックなど→セキュリティの脅威が及ぶ

セキュリティの問題が安全性にも影響•  安全性を確保する活動が浸透し，機能安全

国際規格も広く普及しつつある•  制御システムの安全性を確保するためには，

セキュリティ対策を無視できない→安全性とセキュリティの両⽴への要求が⾼まる

6

組込みシステムに対するセキュリティの脅威

7

情報家電

⾃動⾞

医療機器

産業ロボット

http://www.autoblog.com/2014/07/18/auto-industry-deals-with-hacking-cyber-threats/

http://www.iec.ch/etech/2014/etech_0614/ca-1.htm

http://www.theregister.co.uk/2011/10/27/fatal_insulin_pump_attackhttp://www.insurancejournal.com/news/international/2014/07/18/335214.htm

⾃動⾞制御システムに関する脅威の事例１

•  ⽶国ワシントン⼤学 Kohno 准教授らは，2010年に⾃動⾞内から⾃動⾞制御システムへの攻撃を実証

•  2011年，⾞外から攻撃できる侵⼊経路を調査し，3G携帯電話，CDプレーヤ等の脆弱性を使⽤した侵⼊経路の実証に成功

8

引⽤：2011 年度⾃動⾞の情報セキュリティ動向に関する調査http://www.ipa.go.jp/files/000024413.pdf

※対象は⽶国⾞

⾃動⾞に対する遠隔攻撃の事例２

9

OBD-IIを経由した遠隔操作

http://www.wired.com/2015/08/hackers-cut-corvettes-brakes-via-common-car-gadget

LIDAR の信号を改変

http://spectrum.ieee.org/cars-that-think/transportation/self-driving/researcher-hacks-selfdriving-car-sensors?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+IeeeSpectrumCarsThatThink+%28IEEE+Spectrum+Cars+That+Think%29

IoT ゲートウェイに対する物理的攻撃

•  LI Jun, YANG Qing : IʼM A NEWBIE YET I CAN HACK ZIGBEE, DEF CON 23, 2015年

•  WifiとZigbeeを利⽤した家電制御システムを対象に，家電（デモではZigbee搭載の電気バルブ）を不正に操作•  家電の中央管理システム（ゲートウェイ）を攻撃•  ファームウェアのバイナリをリバースエンジニアリングし，

Zigbeeデバイス認証⽤秘密鍵を特定•  秘密鍵を⽤いて，攻撃者の任意のデバイスから，Zigbee

デバイスを操作，攻撃可能に

10

Zigbeeデバイス⾃⾝をいきなり攻撃せずに，秘密鍵が格納されたゲートウェイを攻撃した後で，繋がっている家電を操作可能としたところがポイント

組込みシステムのセーフティとセキュリティに関連する国際規格

12

標準に対応するには

37

電気・電子・プログラマブル電子 機能安全規格である IEC 61508

、直接的もしく 間接的に人 安全を脅かす恐れ ある製品や

部品 組込みシステム 安全性を確保するため 基本的な標準で

す。これに加え、自動車を

対象とした ISO 26262、医療

機器を対象とした IEC 60601

など、各分野において標準

策定が進められています。

しかしこれら 標準で 、組

込みシステム ぜい弱性を

突いた故意 攻撃 対象と

していません。そこで、産業

プラントや電力・水道など重

要インフラをサイバー攻撃

から守ることを視野に、汎用

制御システム セキュリティ

標準である IEC 62443 策

定が進められています。

図 21 産業分野と機能安全／セキュリティ 標準（主なも ）

国内で 技術研究組合制御システムセキュリティセンター（CSSC）が IEC 62443 制御機

器部分 標準 提案 基となっている「ISA Secure EDSA」 認証事業 トライアルを平成

26 年 4 月から開始する予定です。

標準 メリット 、基本的な管理体制や取組み手順が網羅されているた

め漏れなく対応できること、国際標準に関して 海外企業と 取引にお

いて有利となることなどが挙げられます。また、制御システムに関して 、

相手国企業からセキュリティ対策が求められるケースが増えており、今後、国際的な取引に

おいて製品 セキュリティが必須となる可能性もあります。しかし、生活関連機器において 、

セキュリティ標準が未作成また 作成中 も が多く、策定されてから製品 評価・認証を

受けるまでに 相当 時間を要すると予想されます。事例 ように身近な機器に対する脅威

が現実となりつつある状況を考えれ 、標準 動向を注視しつつ、自社 製品や受託部品

開発、ソフトウェア開発などにおけるセキュリティ確保を進めることが重要です。

TIPS： セキュリティ標準 参考サイト

情報マネジメントシステム推進センター（http://www.isms.jipdec.or.jp/）

IT セキュリティ評価及び認証制度（https://www.ipa.go.jp/security/jisec/）

技術研究組合制御システムセキュリティセンター（http://www.css-center.or.jp/）

セキュリティ

標準のまとめ

制御システムの

セキュリティ標準

原子力

自動車

医療機器

機能安全（セーフティ） セキュリティ

IEC 61508「電気・電子・プログラマブル電子の機能安全」

IEC 62443「汎用制御システムのセキュリティ」

IEC 61513

ISO 26262

IEC 60601

プロセス産業 IEC 61511

白物家電 IEC 60335

産業機械類 IEC 62061

基本 分野別

策定中または未策定

組織 分野別

ISO 27001「ISMS：情報セキュリティマネジメントシステム」

製品・部品のセキュリティ機能

ISO 15408「セキュリティ評価・認証」

プリンター複合機 IEEE 2600

引⽤：中部経済産業局：組込みシステムのセキュリティ取組みガイドブック, 2014年

参照

FDA（⽶国⾷品医薬品局）が2014年10⽉に発⾏した，「繋がる医療機器におけるファームウェア更新とセキュリティに関するガイドライン」においても，参照すべき⽂献として登場している

情報セキュリティに関する評価・認証のための規格

製品，国レベルでのガイドラインの検討が進んでいる

その他の関連規格

ISO 27001（ISMS）•  組織において，情報資産の機密性，完全性，可⽤性

を維持するための仕組みを規定•  組織が要求を満たすこと（規格適合）を，⾃⼰診断，

取引先，第三者組織による認定のいずれかで宣⾔•  参考：IACSを対象としたCSMS（Cyber Security

Management System）の認定も始まっているISO 31000（リスクマネジメント）•  特定の分野や製品に特化しない，あらゆる組織のあ

らゆるリスクを対象としたリスク管理のガイドライン

•  従来のリスクの定義（⽬的に対して影響を与える不確かさの結果，好ましくない影響に限定）を拡⼤し，好ましい影響も含めて，⽬標を達成するための組織の維持，運営のあり⽅を規定

13

組込みシステムセキュリティ対応の現状

セキュリティ専⾨家，技術者不⾜•  組込みシステム技術，安全に関する技術者・知⾒者

は，（他業界に⽐べると）多いと思われるが，セキュリティの技術者はまだ少ない

•  組込みシステムの知識を持つセキュリティ専⾨家が少ない（特に⽇本）•  情報セキュリティ，特定の技術（暗号，チップ等）

の研究者，専⾨家は多いが…国際規格整備の遅れ•  安全性，情報セキュリティの国際規格は，すでに普

及段階にある•  ⼀⽅で，組込みシステムのセキュリティ，安全性＋

セキュリティの規格は，議論・検討段階•  特定の製品を対象に，企業が主導してガイドライン

をまとめる動きも出始めている

14

⼈材の育成と、ガイドライン作りが急務になっている！

組込みシステムセキュリティ⼊⾨

15

コンピュータシステムのセキュリティとは？

コンピュータシステムのセキュリティ•  コンピュータシステムの災害，誤⽤および不正な利⽤か

ら，システムに含まれるハードウェア，ソフトウェア，情報などの機密性、完全性、可⽤性を維持すること

•  物理的なセキュリティと区別して，サイバーセキュリティと呼ばれることもある

○○のセキュリティ•  守る対象によって様々なセキュリティが考えられる•  オンライン取引のセキュリティ•  ⾃動⾞制御システムのセキュリティ•  ⼯場の⾃動組⽴システムのセキュリティ→⼀般には，コンピュータシステムの情報に関するセキュリティ（情報セキュリティ）が扱われることが多い

16

サイバーセキュリティの脅威の変遷

17引⽤：「2014年版 10⼤脅威」https://www.ipa.go.jp/files/000037684.pdf

情報セキュリティの定義と基本的な性質

情報セキュリティの定義（JIS Q 27001:2005）•  情報の機密性，完全性及び可⽤性を維持すること•  さらに，真正性，責任追跡性，否認防⽌及び信頼性のよ

うな特性を維持することを含めてもよい機密性（Confidentiality）•  認可されていない個⼈，エンティティ（実体のあるも

の）またはプロセスに対して，情報を使⽤不可または⾮公開にする特性

完全性(Integrity)•  （情報）資産の正確さ及び完全さを保護する特性可⽤性(Availability)•  情報へのアクセスを認められた者が，必要時に，中断す

ることなく，情報及び関連資産にアクセスできる状態を確保すること

18

→情報セキュリティで満たすべき基本的な性質をまとめてCIAと呼ぶ

情報セキュリティの性質

真正性（authenticity）•  ある主体または資源が，主張どおりであることを確

実にする特性．利⽤者，プロセス，システム，情報などのエンティティに対して適⽤する

責任追跡性（accountability）•  あるエンティティの動作が，その動作から動作主の

エンティティまで⼀意に追跡できることを確実にする特性

否認防⽌（non-repudiation）•  ある活動または事象が起きたことを，後になって

否認されないように証明する能⼒信頼性（reliability）•  意図した動作及び結果に⼀致する特性

19

IEC 62443におけるセキュリティの定義

1.   システムを守るために取られる対策2.  システムを守るための対策を構築して保守した結果，

得られるシステムの状態3.   システムの資源に対する，未許可のアクセス，変更，

破壊，損失がない状態4.  コンピュータシステムにより，以下を提供することが

できる能⼒•  許可されていない⼈物やシステムが，ソフトウェアや

そのデータを変更することができない•  システムの機能にアクセスする権限を不正に獲得する

ことができない•  許可された⼈物やシステムを拒否しない

5.   産業⾃動制御システムに対して，違法もしくは不正な侵⼊，意図した運⽤への⼲渉を防⽌すること

20

参考：IEC 62443-1-1:2009→情報以外の資産も対象となる

安全性とセキュリティで違うところ

21

安全性 セキュリティ

対象範囲

• 開発対象のシステム• 開発者が⾃⾝の範囲で対応• 内部者，第三者は信⽤でき

る前提（リスクを低減する⾏動を取る）

•  開発対象のシステム＋つながるシステム

•  第三者の意図が含まれる（脅威には何らかの意図がある）

性質を保証できる状態

• 安全状態があるものが多い •  セキュア状態は存在しない•  脅威はなくならない（時代

とともに増加すると考えるべき）

対策への要求レベル指標

•  SIL(Safety Integrity Level)

•  SAL(Security Assurance Level)

•  TAL(Trust Assurance Level)

国際規格

• グループ規格に加えて分野ごとの規格が整いつつある

•  情報セキュリティに関しては⻑い（例えばCCがある）

•  組込みセキュリティに関しては，まだこれから

基本⽤語の関係性

22

所有者

脅威エージェント

対策

リスク

資産脅威発⽣させる

⽤意する

影響を及ぼす

低減する

増⼤する

最⼩化することを望む価値を⾒出す

影響を及ぼす

不正使⽤／破壊を望む

脆弱性把握する可能性あり引き起こす

利⽤する

有する可能性あり減らされる可能性あり

参考：ISO 15408:2005

基本⽤語：資産（asset）

•  ある組織の管理義務の元におかれている，物理的もしくは論理的なもの

•  その組織において価値があると考えられている，もしくは実際に価値があるもの

23

資産区分 例

情報データベース及びデータファイル，システム関連⽂書，ユーザマニュアル，訓練資料，⼿順書，計画書，代替⼿段の⼿配，記録保管された情報

ソフトウェア資産 業務⽤ソフトウェア，システムソフトウェア，開発⽤ツール及びユーティリティ

物理的資産コンピュータ装置（プロセッサ，ラップトップ），通信装置（ルータ，ファクシミリ，留守番電話），磁気媒体，電源，空調装置，什器

サービス 計算処理及び通信サービス，⼀般ユーティリティ（例えば，暖房，照明，電源，空調）

⼈ 保有する資格，技能，経験無形資産 組織の評判，イメージ

JIS Q 27002:2006

基本⽤語：リスク（risk）

24

•  ある脅威が，ある影響をもつ脆弱性を攻撃する確率として表現される損失の期待値

計算⽅法リスク ＝ 資産価値 × 脅威の⼤きさ × 脆弱性の存在   = 深刻度 × 脅威の発⽣確率 × 脅威の成功確率

•  リスク値を計算すると，リスクを定量的に評価し，対策の必要性，優先度を決めることができる

•  ただし，実際に計算するのは難しい•  例えば，脅威の発⽣確率はどう計算するか？

基本⽤語：脅威（threat）

•  セキュリティ・インシデント（事故，事件）の潜在的な可能性

•  セキュリティを破る，または危害の原因となりうる，状況，能⼒，振舞い，イベントがあるときに存在するもの

25

脅威の分類 例

⼈為的脅威 意図的脅威 攻撃（不正侵⼊，ウイルス，改ざん，盗聴，なり

すまし，など）偶発的脅威 ⼈為的ミス（ヒューマン・エラー），障害

環境的脅威 環境的脅威 災害（地震，洪⽔，台⾵，落雷，⽕事，など）

基本⽤語：脆弱性（vulnerability）

•  システムの，完全性またはセキュリティポリシの違反に繋がりうる，システムの設計，実装，運⽤，管理上の⽋陥または弱点•  セキュリティホール：ソフトウェア製品やウェブ

アプリケーションなどにおけるセキュリティ上の問題箇所

•  ⼈為的なミス：個⼈情報やカード情報等が，適切なアクセス制御のもとで管理されていない

26

脆弱性と関連する脅威の例

27

脆弱性の分類 脆弱性の例 関連する脅威

環境・施設ドア，窓などの物理的保護の⽋如 盗難 不安定な電源設備 停電，誤作動 災害を受けやすい⽴地条件 洪⽔，地震，災害

ハードウェア 温湿度変化に影響を受けやすい 故障，誤作動 記憶媒体のメンテナンス不⾜ 故障，情報漏えい

ソフトウェア

仕様書の不備 ソフトウェア障害，誤作動 アクセスコントロールの⽋如 なりすまし，改ざん，情報漏えい 不適切なパスワード 不正アクセス，改ざん，情報漏えい監査証跡（ログ管理）の⽋如 不正アクセス バックアップコピーの⽋如 復旧不能

製品設計段階からのセキュリティ対策Security by Design

28

⾝近な例：ホームセキュリティ

29

引⽤：http://www.security-daiwa.co.jp/kikai_online_home_wireless.html

何を守る？

侵⼊ルートは？

重点的に対策すべきなのはどこ？

対策費⽤はいくら？

10年前のシステムって意味ある？

設計段階で考慮すべきポイント

30

資産の特定

脅威分析

リスク評価リスクを低減する

対策を追加

セキュリティ要求仕様の策定

リスクを許容可能か？

対象システムの特定

• 製品に関連する脅威は何か？• 既知の脆弱性はあるか？

• 製品に合わせてテンプレートを修正• リスクのレベル分け

設計・実装⼯程へ

• 製品の中で守らなければならないものは何か？性質は？

Yes

No

•  セキュリティ対策が要求仕様に⼊っているか？

•  トレーサビリティはとれているか？

セキュリティ対策の基本的な考え⽅

31

インシデント深刻度

インシデントの発⽣頻度

リスク

許容可能なリスク

許容できないリスク

対策によってリスクを許容可能な範囲におさえる

境界線を設定するのは実際には困難（左図はあくまでイメージ）→脅威と脆弱性の組ごとに，リスクを評価して許容できるか判断する

セキュリティ対策によるリスク低減（⼀般論）

32

対策前のリスク評価 対策後のリスク評価インシデントの深刻度

インシデントの発⽣頻度

インシデントの深刻度

インシデントの発⽣頻度

攻撃（脅威）脆弱性 攻撃を低減

する対策

脆弱性を低減する対策

リスク

深刻度

何をどこまでやれば良いのか？

深刻度を低減する対策

製品の開発段階におけるセキュリティ確保の取組み

33

資産の特定

脅威分析

リスク評価リスクを低減する

対策を追加

セキュリティ要求仕様の策定

リスクを許容可能か？

対象システムの特定

課題• 脅威をどう網羅的に

分析するのか？• 分析の負荷が⾼い

課題• リスクをどう定量的

に評価するか？

設計・実装⼯程へ

組込みシステムでは，情報だけでなく利⽤者の安全性も資産になりうる

Yes

No

→ガイドブック p.14

脅威分析

脅威分析の⽬的•  システムに対する脅威を洗い出し，リスク評価の基

礎情報を獲得する•  システムに内在する脆弱性も発⾒する•  システム開発の各段階で繰り返し実施する

34

結果（資産の侵害）

原因（脆弱性）課題•  網羅的に実施するためには，

分析が膨⼤に•  １つの分析⼿法だけでなく，

様々な視点から実施することが重要•  安全分析と同じ考え⽅

リスクを評価

脅威

→ガイドブック p.18

トップダウン分析：Attack Tree

35

アタックゴール（危害の発⽣，資産の侵害）

サブゴール

脆弱性＋脅威

対策（具体的な⽅法，コスト等）

攻撃者の視点で，脆弱性＋攻撃⽅法を列挙→リスク値に応じて対策するかどうかを判断問題：設計者（攻撃経験のない者）が，アタックゴールや攻撃⽅法を考えるのは容易ではない

分析の抽象度によって段数は異なる

HAZOP的な⽅法

DFD（Data Flow Diagram）を使⽤した例

36

書換え処理

整備担当者（ツール）

制御プログラム

制御コンピュータ

動作ログ

制御処理

診断処理

故障診断実⾏命令

ソフト更新実⾏命令

最新のプログラム

動作ログ

動作ログ

制御プログラム

制御命令

制御対象制御

命令

診断結果更新処理結果

•  データの流れやプロセスに着⽬し，セキュリティの特性（例えばC・I・A）を侵害する脅威（逸脱）事象の影響を考える

•  防⽌すべき脅威に対してのみ，脆弱性の存在を詳細に分析→トップダウン分析よりは脅威の列挙が容易と思われる

脅威導出を⽀援する⾔葉（ガイドワード）の例

37

Spoofing (なりすまし)Tampering (改ざん)Repudiation (否認)Information Disclosure (情報漏えい)Denial of Service (サービス拒否)Elevation of Privilege (特権の昇格)http://msdn.microsoft.com/ja-jp/magazine/cc163519.aspx

分析対象 ガイドワード

サービス

Omission（提供されない）Commission（違うサービスが提供される)Early（早い）Late（遅い)

データ，機器

Probe（信号を拾う）Scan（状態を取得する)Flood（⼤量に送る）Authenticate（認証を試みる)Spoof（なりすます）Bypass（バイパスする）Modify（変更する）Read（読み込む）

STRIDE 我々の提案

リスク評価

リスク評価の必要性•  組込みシステムの脆弱性を指摘する論⽂が多く発表され

ており，セキュリティを侵害するリスクが⾼まっている•  すべての脅威に対策するのは困難なので，設計段階でリ

スクを洗い出し，対策の必要性を判断するのが望ましい既存のリスク評価⽅法•  リスクの深刻さや発⽣確率を，定性的な表現，もしくは

段階的なレベル分けによって評価•  評価項⽬を製品に併せて修正する必要がある脆弱性リスク評価システム CVSS 2.0•  運⽤段階で発⾒された脆弱性について，対策の優先度を

算出する→設計段階のリスク評価には向かない

•  評価項⽬が，組込みシステムの脆弱性評価に適していない（特に基本評価基準）

38

→ガイドブック p.19

98

Table 13 Risk analysis for “Attack Active Brake Function”

Attack Objective

Severity (S)

Attack Method

Risk level (R)

Combined attack

probability (A)

Asset (attack)

Attack prob-ability

(P) 9.1.1.2 Chassis Safety Controller (denial of service) 2 Delay com-

putation RO=R3 4 9.1.1.1 Communications Unit (denial of service) 4

9.1.2.1 Wireless Communications (jamming) 5

9.1.2.2 Backbone Bus (jamming) 4

9.1 Delay active braking (e.g. by x ms)

SS=0 SP=0 SF=0 SO=2 Delay data

transmission RO=R4 5

9.1.2.3 Chassis Safety Bus (jamming) 4 9.3.3.1 Chassis Safety Controller (denial of service) 2

9.3.3.2 Chassis Safety Controller (corrupt code or data) 1 Prevent com-

putation RO=R3 4

9.3.3.3 Communications Unit (denial of service) 4

9.3.1.1 Wireless Communications (jamming) 5

9.3.1.2 Backbone Bus (jamming) 4 Prevent data transmission RO=R4 5

9.3.1.3 Chassis Safety Bus (jamming) 4 9.3.2.2 ABS and ESP Sensors (disable) 5

9.3 Prevent active braking

SS=0 SP=0 SF=0 SO=2

Force brake controller into fallback mode

RO=R4 5 9.3.2.1 Chassis Safety Bus (jamming) 4 9.2.1.1Environment Sensors (corrupt) 5 9.2.1.2 Sensor Environment (fake conditions) 5

9.2 Degrade active braking (e.g. by z m/s2)

SS=0 SP=0 SF=0 SO=2

Manipulate environment information

RO=R4 5 9.2.1.3 Chassis Safety Bus (insert fake environment data) 1

C.2.3 Tamper with warning message

Tampering with warning messages relates to the use cases “Local Danger Warning to/from other Cars”. The risk analysis table (see Table 14) is based on the corresponding attack tree (Figure 8).

Loss of the danger warning function is not expected to result in an additional safety hazard, since it is assumed that drivers will be able to respond to driving hazards by conventional manual braking. Loss of warning messages may not be discernible to drivers, suggesting an operational severity rating SO=2. However, widespread late or erroneous messages will be more obvious to drivers and are likely to be detrimental to the reputation of this function (and thereby to vehicle manufacturers and system suppliers), suggesting an operational severity rating SO=3 for the attack objectives “delayed warning” and “wrong warning”. No financial or privacy aspects are expected to be associated with this attack.

リスク評価事例１：EVITAプロジェクト

39

参考：EVITA, Deliverable D2.3:Security requirements for automotive on-board networks based on dark-side scenarios, 2009年

危害の深刻度

具体的な攻撃⼿法ごとに確率を数値化

想定される最も⾼い発⽣確率

リスク評価事例２：評価テンプレートの利⽤

40

⼤分類 中分類 ⼩分類 評価項⽬

リスク

深刻度（資産のダメージ）

ダメージの⼤きさダメージの範囲

攻撃成功の発⽣頻度

脅威の強さ（脅威の成功率）

攻撃者の数

攻撃者の種類攻撃に必要な物理的道具攻撃に必要な知識攻撃ポイントへのアクセス，距離

1回の攻撃の成功率

脆弱性の深刻さ（脅威の発⽣確率）

攻撃対象の数

型番設定／動作ソフトウェア攻撃インタフェースの有無

1回の攻撃機会の頻度

攻撃可能な場所攻撃可能な時間帯攻撃対象の⾏動モデル

リスク以外 対策の困難度

対策費⽤対策完了に要する時間（ダメージの範囲にも依存）

リスク評価の例

•  資産：⾃動⾞を制御するCANメッセージ•  脅威：所有者以外の⼈物がCANメッセージの内容を読む•  状況１：具体的な脅威と脆弱性が分かっている場合

•  OBD-IIポートに第３者が解析ツールを設置して情報を読む

•  状況２：具体的な脅威と脆弱性が分かっていない場合•  OBD-IIポートから誰かが何らかの⽅法で情報を読む

41

http://www.macrumors.com/2013/03/12/automatic-link-app-and-bluetooth-adapter-create-connected-car-for-diagnostics-and-safety/

状況１：⾃⾞のOBD-IIポートに，他⼈が解析ツールを設置してCANメッセージの情報を読む

42

⼩分類 評価項⽬ 評価値

ダメージの⼤きさ OBD-IIに流れる情報が漏れるが，変更は不可能→安全性に問題ない

ダメージの範囲 OBD-IIで取得できるCANメッセージ全体

脅威の強さ（脅威の成功率）

攻撃者の数

攻撃者の種類 ⾃動⾞と攻撃対象者に興味をもつ⼀般⼈攻撃に必要な物理的道具 OBD-II Bluetooth変換器，情報可視化ア

プリ→数万円程度攻撃に必要な知識 特別な知識は必要なし攻撃ポイントへのアクセス，距離 社内に侵⼊する必要がある（鍵必要）

→鍵の管理はユーザ責任1回の攻撃の成功率 ほぼ１００％

脆弱性の深刻さ（脅威の発⽣確率）

攻撃対象⾞の数⾞種 1996年以降の⾞なら全部⾞の設定／動作ソフトウェア 特になし攻撃インタフェースの有無 ⼤体ある

1回の攻撃機会の頻度

攻撃可能な場所 駐⾞場などBluetoothが接続できる場所攻撃可能な時間帯 いつでも想定する攻撃対象⾞の⾏動モデル ⼀般⼈が所有する⾞

対策費⽤ 所有者⾃⾝で防⽌できれば安価．本質的な解決（OBD-IIから読み取れる情報を制限する）は⾼価

対策完了に要する時間（対策ごとに異なる，ダメージの範囲にも依存） 本質的な解決はかなり時間がかかる

対策の有無を判断した根拠となる

状況２：⾃⾞のOBD-IIポートから，誰かが何らかの⽅法でCANメッセージの情報を読む

43

⼩分類 評価項⽬ 評価値

ダメージの⼤きさ OBD-IIに流れる情報が漏れるが，変更は不可能→安全性に問題ない

ダメージの範囲 OBD-IIで取得できるCANメッセージ全体

脅威の強さ（脅威の成功率

攻撃者の数

攻撃者の種類 ？攻撃に必要な物理的道具 ？攻撃に必要な知識 ？攻撃ポイントへのアクセス，距離 ？

1回の攻撃の成功率 ？

脆弱性の深刻さ（脅威の発⽣確率

攻撃対象⾞の数⾞種 1996年以降の⾞なら全部⾞の設定／動作ソフトウェア ？攻撃インタフェースの有無 ⼤体ある

1回の攻撃機会の頻度攻撃可能な場所 ？攻撃可能な時間帯 ？想定する攻撃対象⾞の⾏動モデル ？

対策費⽤ ？対策完了に要する時間（ダメージの範囲にも依存） ？

これだけで対策するかしないかを判断せざるを得ない…

⽶国におけるセキュリティ研究の現場

※配布資料では省略

44

組込みシステムセキュリティに関して今すぐ始められること

51

今すぐ始められること

初級編•  既存製品のセキュリティに関する取組みの振り返り•  セキュリティの知識獲得

中級編•  業界・国際規格の動向チェック•  勉強会への参加

上級編•  最新の研究動向チェック•  技術者，セキュリティ専⾨チームの育成

52

既存製品のセキュリティに関する取組みの振り返り

•  既存製品において，セキュリティを考慮していない場合には，資産定義，脅威分析，対策を検討すべき•  すでに対策を実施している場合でも，その過程を確認

することは⼤切（トレーサビリティも重要）•  結論だけでなく，前提，思考過程を含めて残しておく 

→将来，国際規格への対応を迫られても慌てなくて済む

53

­中部地域中⼩企業向け­「組込みシステムのセキュリティ取組みガイドブック」

ポイント•  システムレベル→詳細レベルの順に

考える•  複数の視点から脅威分析を実施する•  使⽤者や環境の想定を，最新の状況を

踏まえて⾒直す

セキュリティの知識獲得

知識獲得の必要性•  時代とともに，ユーザ，脅威，対策の最適解は変化•  セキュリティ知識を継続的に更新する仕組みが必要

お勧めの書籍

54

IPAの調査資料

•  組込みシステムのセキュリティへの取組みガイド(2010年度改訂版)•  URL：http://www.ipa.go.jp/security/fy22/reports/

emb_app2010/index.html •  2010年度版情報家電におけるセキュリティ対策 検討報告書 •  URL：http://www.ipa.go.jp/security/fy22/reports/

electronic/index.html•  ⾃動⾞の情報セキュリティへの取組みガイド•  URL：http://www.ipa.go.jp/security/fy24/reports/

emb_car/index.html•  制御システム情報セキュリティ委員会報告書•  URL：http://www.ipa.go.jp/security/fy24/reports/

ics_sec/index.html •  医療機器における情報セキュリティに関する調査報告書•  URL：http://www.ipa.go.jp/security/fy25/reports/

medi_sec/

55

業界・国際規格の動向チェック

業界の動向チェック•  業界ごとに，セキュリティ対策の相場観，取組み⽅

法が議論され始めている•  ⾃社の製品を取組みを振り返るチャンス！

勉強会•  ⾞載組込みシステムフォーラムASIFのセミナー，

EVITA勉強会•  名古屋情報セキュリティ勉強会（停⽌中？）国際規格の動向チェック•  ISO/IEC 15408(Common Criteria)•  CC v3.1 Release4 ⽇本語訳:http://

www.ipa.go.jp/security/jisec/cc/index.html•  ISA/IEC 62443

56

最新の研究動向チェック

海外学会•  USENIX Security Symposium•  escar(Embedded Security in Cars Conference)国内学会•  情報処理学会 コンピュータセキュリティ研究会•  電⼦情報通信学会 情報セキュリティ研究会イベント•  Black Hat•  SECCON ⽇本国内最⼤のセキュリティコンテスト•  セキュリティ・キャンプ（22歳以下）

57

まとめ

最低限の対策•  これまで発⾒されている脅威への対策をする•  設計者内で脅威分析をして対策する•  新しい脆弱性の発⾒に備えて，脆弱性を報告・管理

し，対策を実施する仕組みを作るできれば実施したい対策（今後の課題）•  専⾨家，ホワイトハッカーによる脅威分析の実施＆

対策の検討•  新しい脆弱性が広く知られる前に，いち早く把握し

て対策する•  脅威分析の継続的な実施•  ハニーポット等による，新しい攻撃の情報収集

58