制御システムのセキュリティ - ipa › files ›...

制御システムのセキュリティ～2種(マネジメント/製品)の評価認証パイロットプロジェクト～

1

独立行政法人情報処理推進機構(IPA) 情報セキュリティ技術ラボラトリー

入澤康紀

講演の流れ

あらゆるデバイス・場面へのサイバー脅威の拡がり

重要インフラを支える制御システムへの攻撃事例

制御システムのセキュリティマネジメント(CSMS*)

日本発CSMS認証制度のパイロットプロジェクト

制御機器の認証について(EDSA*)

EDSA評価認証制度への日本参画プロジェクト

2

*CSMS : Cyber Security Management System

*EDSA : Embedded Device Security Assurance

ITの利用状況(環境)は大きく変化している

攻撃(悪意)の動機も変化している

あなたのパソコンは 4分に１回

不正な？アクセス

＜初めの頃は＞＜現在、これから？＞

いたずら金銭・犯罪・テロ・情報戦

→対策が必要

IT脅威の変遷(攻撃の高度化)

3


制御システム


4

医療機器

糖尿病患者のインスリンポンプの無線機能を

攻撃し、投与量を不正操作される可能性

自動車

複合機

保守用インタフェースの悪用

制御システムも標的に

攻撃対象の拡大

ICカード

不正な読み取り

携帯/スマートフォン

信号機に対するハッキング •発生した国 ◇米国業種

◇道路管理原因

◇システムが脆弱な状態想定被害

◇道路状況の混乱

2009年1月、米国の複数の州における信号機（交通メッセージ表示）が「ゾンビ注意（ZOMBIES AHEAD）」に変更された。この例はいたず

らだが、原因はシステムにおけるパスワードをデフォルトのままにしていた。また、本来ロックしておかなければならない機能をロックしておらず、脆弱な状態にあったため、いたずらに利用された。

Source: Los Angels Times http://latimesblogs.latimes.com/lanow/2009/12/engineers-who-hacked-in-la-traffic-signal-computers-jamming-traffic-sentenced.html

写真：The Telegraph

http://www.telegraph.co.uk/

Copyright © 2013 独立行政法人情報処理推進機構


5

原子力発電所の制御システムへのワーム侵入

発生した原因 ◇VPN接続による内部感染

◇対象パッチの未更新

事件の影響 ◇6時間の運用停止

2003 年1 月、オハイオ州Davis Besse 原子力発電所でSQL サーバを狙ったSlammer（読み方：スラマー）ワームがVPN（Virtual Private Network）接続を介して侵入・感染し、SCADA システムを約5 時間にわたって停止させた。同施設のプロセス・コンピュータも停止し、再運用までに約6 時間を費やしたほか、他の電力施設を結ぶ通信トラフィックも混乱し、通信の遅延や遮断に追い込まれた。感染したSlammer ワー

ムに対するパッチは、その時点で公開されていたが、発電所のシステムには該当パッチがあてられていなかった。



6

制御システムの「セキュリティインシデント」の増加

出典：「制御システムの情報セキュリティに関する調査」調査報告書2013.3公開

参考：IPA制御システムのセキュリティ：http://www.ipa.go.jp/security/controlsystem/index.html

・米国ICS-CERT：2009年以降、インシデント届出件数が飛躍的に増大

・水道、エネルギー、原子力、化学、政府関連設備など、届出が多い

ICS-CERTのインシデントレスポンス動向

(2009年～2011年)

ICS-CERTウェブサイト情報をもとに作成

分野別インシデント報告割合(2011年)

ICS：Industrial Control Systems

Copyright © 2013 独立行政法人情報処理推進機構 7

8 198 Incidents by Sector [2012(Fiscal Year)]

・2012年のインシデント届出は、昨年同数の高い水準で、198件となっている。

・エネルギー関連の届出が41％（82件）と激増（昨年16％）している

件数, %

ICS-CERTウェブサイト情報をもとに作成

M

制御情報ネットワーク

コントロールネットワーク

センサバス

ファイアウォール

生産管理サーバ

PLC

HMI

PLC

PIMS

センサ・アクチュエータなど

情報ネットワーク

DCS/Slave

フィールドネットワーク

EWS DCS/Master

9

制御システムのセキュリティマネジメントシステム～ Cyber Security Management System～

◇情報セキュリティインシデントは、一点でも攻撃を許すと組織全体に被害が拡大

◇組織な体制のもと、経営・管理面を含めたトータルな対応が必要

◇適用範囲内のリスクを特定し、リスクを許容範囲内に低減していくことが基本コンセプト

◇情報システム向け規格のISMSをべースとし、制御システム向けに特化した規格

管理対象内のリスクを低減するマネジメントが必須

ISMS(ISO/IEC27001)の要求事項を引用し、

制御システム事業者向けに拡張(CSMS)

2014年確立予定,現在パイロット(先行)事業中

リスク分析

脅威

サービス妨害、

改ざん、

情報漏えい…

脆弱性

○

△

×

資産価値

大

中

小

リスク

リスクへの対応

(管理策の適用等)

・基本的に、リスクを許容値以下に

低減させる事が目標となる。

[ リスクに対応する運用の改善例 ]

例)運用手順等の見直し

・USBメモリ利用管理

・パッチマネジメント

例)セキュリティ機能を有する製品等の利用

・侵入検知、FW、ホワイトリスト制御

攻撃の受け易さ制御システムでは

社会的な影響も大きい

Act：維持改善

Plan：リスク分析・対応

Check：監視

Do：運用

業務改善サイクルを適切に回している事を第3者が認証

※分析イメージの一例

10

CSMS(IEC62443-2-1ed2）ドラフトの状況

4 CSMSの要素

4.1 概要

4.2 リスク分析

4.2.1 説明

4.2.2 事業上の根拠

4.2.3 リスクの識別，分類及びアセスメント

4.3 CSMSによるリスクへの対処

4.3.1 説明

4.3.2 セキュリティポリシー，組織及び意識向上

4.3.3 選ばれたセキュリティ対抗策

4.3.4 導入

4.4 CSMSの監視及び改善

4.4.1 説明

4.4.2 適合

4.4.3 CSMSのレビュー，改善及び維持管理

4.4 IACSセキュリティマネジメントシステム

4.4.1 一般要求事項

4.4.2 IACS-SMSの確立及び運営管理

4.4.3 文書化に関する要求事項

4.5 経営陣の責任

4.5.1 経営陣のコミットメント

4.5.2 経営資源の運用管理

4.6 IACS-SMS内部監査

4.7 IACS-SMSのマネジメントレビュー

4.7.1 一般

4.7.2 レビューへのインプット

4.7.3 レビューからのアウトプット

4.8 IACS-SMSの改善

4.8.1 継続的改善

4.8.2 是正処置

4.8.3 予防処置

4 情報セキュリティマネジメントシステム

4.1 一般要求事項

4.2 ISMS の確立及び運営管理

4.2.1 ISMS の確立

4.2.2 ISMS の導入及び運用

4.2.3 ISMS の監視及びレビュー

4.2.4 ISMS の維持及び改善

4.3 文書化に関する要求事項

4.3.1 一般

4.3.2 文書管理

4.3.3 記録の管理

5 経営陣の責任

5.1 経営陣のコミットメント

5.2 経営資源の運用管理

5.2.1 経営資源の提供

5.2.2 教育・訓練，意識向上及び力量

6 ISMS 内部監査

7 ISMS のマネジメントレビュー

7.1 一般

7.2 レビューへのインプット

7.3 レビューからのアウトプット

8 ISMS の改善

8.1 継続的改善

8.2 是正処置

8.3 予防処置

Edition2では規格書の箇条体系について、ISO/IEC27001により近い形でリリース予定。

Edition2ではCSMSの名称がIACS-SMS(Industrial Automation and Control System Security Management

System)と変更される予定で、制御システム分野向けである旨がその名称にも反映される見込み。

IEC62443-2-1ed1（発行済) IEC62443-2-1ed2(ドラフト) (参考)JIS Q 27001：2006

対応

ISMSの箇条体系

に近似(予定)

ISMS関連規格抜粋(未発行規格含む)

11

ISO/IEC27000

概要及び用語

ISO/IEC27001

要求事項

ISO/IEC27002

実践のための規範

ISO/IEC27006

認証機関に対する

要求事項

ISO/IEC27011

電気通信組織

のための指針

ISO/IEC27015

金融サービスに

対するISMS指針

ISO/IEC27017

クラウド利用のための

管理策に関する指針

ISO/IEC27003

導入に関する手引き

ISO/IEC27005

リスクマネジメント

に関する指針

分野毎の管理策、手引等が検討されてきている。

制御システムについては、ISMSを参考に「IEC62443-2-1」として

制御システム事業者向けのセキュリティマネジメントシステム規格が発行済み

セクター規格同様、制御システム利用における課題に沿った管理策・要求事項が規定

Terminology 用語

Requirements 要求事項

Guidelines 指針

Sector-Specific Guidelines 分野別指針

参考：情報セキュリティマネジメント・セミナー[日本ISMSユーザグループ]

http://j-isms.jp/events/20121221.html

【課題1：オープン化、ネットワーク化に伴うセキュリティ脅威の増大】

• 汎用製品、標準プロトコルネットワーク採用により、脆弱性リスク、ワームなどのウイルスの侵入や、機密情報漏えいのおそれがある。

【課題2：製品の長期利用に伴うセキュリティ対策の困難さ】

• 制御システムは通常10～20年使用。IT製品のサポート期間より長い。

• 通常のシステムに比べて対策が難しく、特に新たな脅威への対応が課題。

【課題3：可用性、性能重視に伴うセキュリティ機能の絞込み】 • 可用性、性能が重視されており、システムの動作保証や負荷などの事情から、ウイルス監視やセキュリティパッチ(修正プログラム)の適用が難しい。

制御システム情報システム

セキュリティ優先順位

主なセキュリティの対象サービス（連続稼動）モノ（設備、製品）

情報

資料：IPA「重要インフラの制御システムセキュリティとITサービス継続に関する調査」より抜粋

A.I.C（可用性重視） C.I.A（機密性重視）


制御システム特有の課題

情報システム

と同様

12

CSMSユーザーズガイド (JIPDECより一般公開)

認定機関

パイロット認証の推進及び

知見の蓄積

認証機関認証機関

認定基準/認証基準

受査組織受査組織

既存のISMS認証機関が候補

有識者委員会

本プロジェクトの成果物である認定/認証基準及び手続きについて、有識者を招聘した委員会にて精査を実施。

認証機関の審査技術

受査企業の構築・運用技術

CSMSパイロットプロジェクト(2013年4月～2014年3月) ～認定/認証基準・手続き・審査・受査技術の確立～

パイロット認証の実施

CSMS固有分の基準確立

CSMS固有基準 ①

②

受査組織の構築・運用技術

③

④

⑤

⑦ ⑥

⑥

<一般公開物>

基準の確立

(JIPDEC主体)

要員認証機関

CSMSパイロットプロジェクト

(Cyber Security Management System)

IPA

は全面的な支援を実施

認定

認証

JIPDEC：日本情報経済社会推進協会 13

制御機器製品のセキュリティ

14

M



センサバス



PLC

HMI

PLC

PIMS



DCS/Slave


EWS DCS/Master

トータルなセキュリティを実現するためには

個別の製品に関するリスクの検討も重要

個別の制御機器製品の

セキュリティ保証に関する認証制度が存在

制御機器認証制度EDSAの概要

(Embedded Device Security Assurance)

15

ISA Security Compliance Institute(ISCI) の評価認証へのわが国の取り組み

ISCIの組織概要

● EDSA認証制度のスキームオーナ(認証制度の運営元)

●制御システム事業者、構築事業者、装置ベンダ等

からなる米国主体のコンソーシアム(業界団体) 目的

●制御システム/製品向けの評価・認証のための仕様策定とその実施

●制御システムの開発、調達コスト、及びリスク等の低減が目的等

IPAも2012年9月にGovernment membershipとしてISCIへ加入し、以下を推進 ①日本における国際認証制度の推進

→日本へのEDSAスキームの導入を推進

②認証用規格に対する日本意見の提案

→EDSAスキームについて日本としての提案実施

③認証用規格の国内普及啓発活動の推進（規格の日本語版の整備等）

→EDSA規格の翻訳を実施

EDSA認証の評価項目とISASecureレベルについて

16

3種類の評価

• SDSA(Software Development Security Assessment)

ソフトウェア開発プロセスのセキュリティ評価

• FSA(Functional Security Assessment)

セキュリティ機能評価

• CRT(Communication Robustness Testing)

通信に対する堅牢性評価

評価項目の数によって3段階のセキュリティ保証レベルを規定

Level 1 Level 2 Level 3

（）内は評価項目(要求事項)の数を示す

CRT（69）

FSA（50）

SDSA（148）

CRT（69）

FSA（83）

SDSA（169）

CRT（69）

FSA（21）

SDSA（129）

SDSA/FSAはIEC62443-4シリーズにも提案されており、国際規格化する見込み

17

EDSA認証の各評価項目概要

統合脅威分析

(ITA)

ソフトウェア開発セキュリティ評価 (SDSA) Software Development

Security Assurance

機能セキュリティ評価(FSA) Functional Security

Assurance

通信ロバストネス試験 (CRT) Comminication Robustness

Testing

体系的な設計不良の検出と回避

• ベンダのソフトウェア開発とメンテナンスのプロセス監査

• 堅牢で,セキュアなソフトウェア開発プロセスを当該組織が

実行していることを評価する。

※3段階のセキュリティレベルにより評価項目数が決まる

実装エラー / 実装漏れの検出

• セキュリティ機能要件について、目標とするセキュリティレベル

に対応する全要件が実装済みであるかどうかを評価


対象デバイスの堅牢性を評価する実機試験

• コンポーネントのロバストネス(堅牢性) について試験

• 奇形や無効な形式のメッセージを送り、脆弱性等を分析

※セキュリティレベルによらず、評価項目数は同一

◆SDSA,FSA,CRTの各々評価することで、想定脅威に対する

対策のカバー範囲が十分であることを保証 • 潜在的な脅威に対して期待するシステムの抵抗力(resistance)

を文書化

• ユーザの期待する対策を示し、それを実現するための製品利用マニュアルを文書化

出典：「ISA Security Compliance Institute (ISCI) and ISASecure™

18


統合脅威分析

(ITA)


Security Assurance


Assurance


Testing
















を文書化



評価用

ソフトウェア

筐体型評価ツール

ICS 製品

試験項目

異常データ等を入力

19


統合脅威分析

(ITA)


Security Assurance


Assurance


Testing
















を文書化



機密性

完全性

可用性

情報セキュリティ優先順位

＜通常の情報システム＞＜制御システム＞

機密性

完全性

可用性

3大要素を7項目に細分化

・アクセス制御

・使用制御

・データ完全性

・データ機密性

・データフロー制限

・イベント応答性

・ネットワーク可用性

・DoS攻撃対策要件

・ﾌﾟﾛﾄｺﾙﾌｧｼﾞﾝｸﾞ対策

・攻撃検知要件

：

＜大項目＞

＜要求事項具体例＞

高

20


統合脅威分析

(ITA)


Security Assurance


Assurance


Testing
















を文書化



要件分析

上位設計

詳細設計

実装

単体テスト

統合試験

運用試験

継続サポート

セキュリティ

要件

セキュリティ

アーキテクチャ設計

リスクアセスメント

脅威のモデル化

セキュアコーディング

ガイドライン

セキュリティトレーニング

セキュリティコードレビュー

＆静的分析

ファジングテスト

abuse caseテスト

セキュリティ

妥当性試験

セキュリティ対応

計画/体制整備

レビュー/試験

開発サイクルの各フェーズのセキュリティ評価

設計段階試験運用段階

EDSA認証スキームへの日本参画構想～国内認定機関の実現構想について(ISCIへの提案実施)～

＜日本版評価認証機関＞

日本での評価認証機関の候補は、相互承認協定に基づき、JABより認定を受けることが可能となる。

＜現状の評価認証機関＞

評価及び認証機関の候補は、現状は米国ANSIより認定を受ける必要がある。現在一社のみ

ANSI/ACLASS

EDSA認証制度の運営元

相互承認協定

現状の制度将来の制度案

日本のケース

外国のケース

IPAが米国ISCIへ提案した制度案

認定認定

IPAが提案したグローバルな制度案

日本のベンダ

スキームオーナ

認定機関

評価/認証機関

指定指定

21

22

EDSA認証取得の手引 (一般公開予定)

JAB

CSSC関連組織

認定手続きの確立

X社製品 Y社製品

技術研究組合から組織改組または分割

有識者委員会パイロット認証を踏まえた認証組織の立ち上げについて検討・作業を実施。

認証機関の審査技術

認証取得のための受査手順等

EDSAパイロットプロジェクト(仮称) ～認定/認証基準・手続き・ノウハウの確立～

パイロット認証の実施

①

受査組織の体制/手順

②

③

④

⑥ ⑤

⑤

<一般公開物>

認定

認証

今年度実施予定

CSSC 東北宮城県多賀城市に研究施設を持つ技術研究

組合

JAB 公益財団法人日本適合性認定協会

EDSAパイロットプロジェクト – 制御機器製品認証制度の確立

(Embedded Device Security Assurance)

IPA

は全面的な支援を実施

(3製品程度を予定)

23

EDSA 評価項目

M



センサバス



PLC

HMI

PLC

PIMS



DCS/Slave


EWS DCS/Master

Act Plan

Check 導入・運用点検・監査

見直し、改善管理策の選定

リスクアセスメント

ポリシー作成

Do

継続的改善

CSMS : Cyber Security Management System ISCI : ISASecurity Compliance Institute JAB : Japan Accreditation Board EDSA : Embedded Device Security Assurance CSSC : Control System Security Center

制御システムセキュリティマネジメントシステム

世界に先立つ制御システムのセキュリティマネジメントシステム「CSMS*認証制度」の立ち上げの提案/推進の全面的支援

米国で先行する制御機器のセキュリティに対する製品認証制度「EDSA*認証制度」の国内導入の提案/推進の全面的支援

評価用

ソフトウェア

筐体型評価ツール

評価対象

試験項目

異常データ等を入力

＜IPAの活動＞

・認証制度として用いる国際規格(IEC62443-2-1)の選定

・IPAによる調査、委員会活動の実績に基づき、本CSMSを用いた認証

制度案を提案し、JIPDEC主導で認証制度立ち上げ推進事業が開始

・有識者委員会メンバ、パイロット(試行)認証受審候補の選定支援

・認証基準、及び認定基準案の策定支援[有識者委員会、専門部会]

＜今後の予定＞

・制度説明会開催(IPA講演,10月下旬)、試行認証の実施(10月～翌2月)

・2014年4月正式な認証制度として開始予定

ソフトウェア開発セキュリティ評価 (SDSA) Software Development Security Assurance

機能セキュリティ評価(FSA) Functional Security Assurance

通信ロバストネス試験 (CRT) Comminication Robustness Testing

＜IPAの活動＞

・IPAよりEDSAのスキームオーナ(米国ISCI)へ交渉を実施し、日本国内導入

が承認され、国内認証制度実現に向け、JAB及びCSSCへ協力を要請

・JABに対し、国内の認証機関を認定する基準、認定フローの開発に協力

し、8月末よりJABが正式な国内の認定機関として登録

・認証機関候補であるCSSCの専門部会の場において認証フローの開発に

協力し、9月にJABへの認定申請を支援。

＜今後の予定＞

・2014年3月頃にEDSA認証書を発行できる資格をCSSCが取得予定

・2014年4月より正式な認証制度として開始予定

IPAによる2種の認証制度の提案及び創設/推進(まとめ)

まとめ

制御システムもサイバー脅威の対象となりつつある

トータルなセキュリティマネジメントが重要

→ISMSをベースとした日本発のCSMS認証制度の

パイロットプロジェクトが進行中

制御機器製品のセキュリティ保証について

→米国主体のEDSA認証制度へ日本として参画すべく

同じくパイロット事業によるプロジェクトを進めている

24

IPAでは上記2種のパイロットプロジェクトについて、

計画の立案を行い、全面的に支援しています。

制御システムのセキュリティ - ipa › files ›...

Documents