(ISC)2 secure japan 2021 自動車のサイバーセキュリティアプローチ
- 2. 1 講演者紹介 寺村 亮? 株式会社イエラエセキュリティ 執?役員 ?度解析部 部? CISSP, GXPN, 博?(?学) 主な業務 ?IoTセキュリティ ?クラウド / スマートフォン ゲーム / 暗号 など 主な研究発表 ?”Realistic trends in vulnerability based on hacking into vehicle.” Car Hacking Village, DEFCON 28, 2020 委員会活動 ?CRYPTREC 暗号活?委員会委員(2015?) Twitter @trmr105
- 3. 2 ?動?業界の取組み ?動?のコネクテッド化 ?サイバー攻撃の標的としての?動? ?新しいアタックサーフェイス 昔の?動?セキュリティ ?ポート全開のPCを3G網でインターネットにつないだ状態 ?3G/Wi-Fi/Bluetoothのレイヤー2セキュリティ頼み ?Blackhat USA 2015 ?動?業界の取組み ?2つの認証制度の導? ?CSMS(サイバーセキュリティマネジメントシステム)プロセス認証 ??両型式認証 ?国連法規で制定 ?各国(EU/?本等の1958年協定)の国内法へ反映 ?道路運送?両法に関連する法令の?部を改正(?本) 分野 名称 発?年 ?動? ISO / SAE 21434 Road vehicles — Cybersecurity engineering 2021 ?動? UN-R 155 - Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system 2021 ?動? UN-R 156 - Uniform provisions concerning the approval of vehicles with regards to software update and software updates management system 2021
- 7. 6 TARA
- 8. 7 TARAの実施イメージ アイテム 個?情報 機密情報 資産 定義 ファームウェ ア抽出 通信路盗聴 脅威 特定 デバッグ ポートロック TLSの利? リスク 評価 守るべき資産 想定すべき脅威 セキュリティ対策案 TARA: Threat Analysis and Risk Assessment (脅威分析およびリスク評価) 想定すべき脅威を洗い出し、リスクを評価し、セキュリティ要件を策定 TARAの進め?(?例) 1. 資産定義?損失した際にダメージが発?するアイテムを資産として定義 2. 脅威シナリオ特定?ダメージが発?するような脅威シナリオの洗い出し 3. 影響評価?SFOP(Safety, Financial, Operational, Privacy)の観点から点数づけ 4. アタックパス分析?脅威シナリオを実現するアタックパスを分析 5. 攻撃容易性評価?アタックパスの容易性をもとに点数付け 6. リスク値の決定?ダメージシナリオの影響とアタックパスの容易性からリスク値を決定 7. リスク対応の決定?リスクの緩和?受容?回避?転嫁を決定 8. セキュリティコンセプト?リスク対応に基づくセキュリティ対策を決定 中 ? リスクレベル ※ CALの場合も 対策 策定 OEM サプライヤ 脅威モデリング 対策要件 想定脅威 I got it! ISO / SAE 21434 15章およびAnnex
- 9. 8 TARAの?例 ?々な進め?があるため、本?法が必ずしも正しいわけではありません。 組織として、どのような脅威を想定し、どう考え、どう対応したか、証拠を残す ことが重要です。 ECU ECU ECU ECU 対象 資産 脅威シナリオ 影響値 アタックパス 攻撃容易性 リスク値 リスク対応 Targeted ECU ○ CANメッセージ の改ざんによる 誤動作 High CAN通信路にお ける改ざん Low CAL2 緩和 ECUなりすまし による改ざん どこを境界とするか アタックサーフェイスはどう定義するか 脅威シナリオはどこまでを想定すべきか → UN-R 155は最低限参考に 影響値の基準はどう考えるべきか → ISO / SAE 21434 Annexは最低限参考に アタックパスはどこまで想定すべきか 攻撃容易性の基準はどう考えるべきか → ISO / SAE 21434 Annexは最低限参考に リスク値の基準はどう考えるべきか → CALを使っても良い リスク対応の基準はどう考えるべきか Cybersecurity goal & Cybersecurity concept
- 12. 11 ?動?に対するセキュリティテスト ISO/SEA 21434の記述 - Functional testing - セキュリティ機能が適切に実装されていることを検証 - Vulnerability scanning - 脆弱性スキャン - Fuzz testing - ファジング - Penetration testing - サイバーセキュリティゴールを侵害する?法を特定するための模擬現実環境 でのテスト CALに応じてその内容を変更してもよい JASPARのガイドラインも参考資料として有? - ECU脆弱性テスト要件書 - ECUペネトレーションテストガイド
- 13. 12 対象とする脅 威選定 ? 選定脅威をも とにテストプ ランを策定 ペネトレー ションテスト ? 実機に対する テストを?い、 セキュリティ 上の問題を探 索 リスク評価& レポート ? 発?した問題 のリスクを評 価しレポート 対策の実施 ? 緩和すべきと 判断した指摘 事項の対策を 実施 ECUペネトレーションテスト セキュリティゴールを脅かすような脅威を選定し、それらを実現でき る脆弱性が存在するか評価します。 0100101010 0110010101 弊社?貴社間で決定 弊社実施事項 弊社ご?援事項 既に脅威分析済みであれば、それを??とし て開始。未実施の場合は、対象のECUの特性 や、弊社知?等から脅威を想定
- 14. 13 ペネトレーションテストのアプローチ ブラックボックスアプローチ ?対象の情報などを持たない攻撃者が攻撃できるか評価 - ???実機のみ - インタフェーステスト、ハードウェアテストなど グレーボックスアプローチ ?対象の情報を?部知る攻撃者が攻撃できるか評価 - ???実機、ファームウェア、?部仕様など - ファームウェア、セキュリティ機能の仕様 など - ファームウェア解析、ハードウェアテスト、動的解析など ホワイトボックスアプローチ ?対象の情報をしる攻撃者が攻撃できるか評価 - ???実機、ソースコード、仕様 - ソースコード解析、ハードウェアテスト、動的解析など 実施期間?攻撃者能??対象の情報には相関 実際の攻撃者と異なり、 限られたテスト期間で実施するためには、 ある程度の対象の情報をテスターに提供することが望ましい
- 15. 14 ECUのハードウェアテスト ハードウェアを分解し、重要なデータの漏洩をはじめとした、 セキュリティ上の問題を評価します ハードウェア解析 主な評価観点 ?デバッグインタフェースの評価 ?ハードコードされた重要情報 ?公知の脆弱性(フォルトインジェクション) など ハードウェア解析 イメージ 関連する外部ガイドライン OWASP IoT Top10 2018 - Lack of Physical Hardening - Weak, Guessable, Hardcoded Password など 評価対象 ?ハードウェア
- 16. 15 ECUのファームウェア解析 ファームウェア(ソフトウェア)を解析し、認証認可やセキュア ブートの実装不備をはじめとした、セキュリティ上の問題を評価 します 主な評価観点 ?認証認可サービスの評価 ?アップデートサービスの評価 ?セキュアブートの評価 など 関連する外部ガイドライン OWASP IoT Top10 2018 - Lack of Secure Update Mechanism - Insecure Default Setting など 評価対象 ?アプリケーション / ファームウェア ファームウェア解析 イメージ 0100101010 0110010101 ファームウェア解析 フロー等解析し、 攻撃シナリオ導出
- 17. 16 ECUに対する評価観点例 評価観点 分類 評価?法 コミュニケーションに対する脅威 TLS ソフトウェア解析を通じ、TLSの実装などを評価します Wi-Fi / Bluetooth / BLE ソフトウェア解析を通じ、利?されるライブラリや設定値およ びパスワード設定などを評価します。 サービス / アプリケーションに対す る脅威 API ソフトウェア解析を通じ、処理フローの解析、認証認可処理、 ?出?、仕様上の問題などを評価します。 Webアプリケーション ソフトウェア解析を通じ、処理フローの解析、認証認可処理、 ?出?、仕様上の問題などを評価します。 アップデートサービス ソフトウェア解析を通じ、処理フローの解析、認証認可処理、 ?出?、署名検証の不備、仕様上の問題などを評価します。 プラットフォーム に対する脅威 ライブラリ 悪?可能な公知脆弱性の存在を評価します。 OS OS堅牢化およびカーネルなどを評価します。 ブートローダに対する脅威 セキュアブート ソフトウェア解析を通じ、署名検証の不備、不適切なセキュア ブート実装などを評価します。 ハードウェアに対する脅威 デバッグインタフェース ハードウェア解析を通じ、JTAG / UART / SPIなどをはじめソフ トウェアが抽出できるか評価します。 プライバシーに対する脅威 プライバシー情報の漏えい 診断を通じ、プライバシー情報の漏えいを評価します。 ハードウェア ブートローダ プラットフォーム アプリケーション コミュニケーション 多様な観点からECUを評価 対象デバイスが、現実にどのような運?をされて、 現実にどのような脅威が想定されるのか ということは把握すること
- 19. 18 その他業界の動向
- 20. 19 IoT?医療業界のサイバーセキュリティ動向 IoTサイバーセキュリティ動向 IoT全体的にサイバーセキュリティに関するルール化の動きあり 脅威分析 → リスク評価 → セキュリティコントロールという?連の流れは共通 IoT全体 ?EN: ETSI EN 303 645 / ETSI TS 103 701 etc. ?US: NIST SP800–213 / 213A, NIST IR 8259 / 8259A etc. ?JP: CCDS-GR01 etc. 医療業界 ?IMDRF: Principles and Practices for Medical Device Cybersecurity ?厚?労働省医薬?品局: 国際医療機器規制当局フォーラム(IMDRF)による 医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表につ いて(周知依頼)