セキュリティ・安全分析の GSN 活用による改善 櫻庭 孝弘† 和田 学† Improvement of safety analysis and security analysis using GSN Sakuraba Takahiro, Wada Manabu ねらい システムのセキュリティ脅威からの保護や、システムに関する危害の防止のための対策を適切に講 じるためには、セキュリティ脅威・ハザード分析やリスク評価を抜け洩れなく実施し、合意形成することが重 要である。GSN[1]を用い従来分析手法を改良することで、網羅性および合意形成に至るまでの作業工数を削減す ることができたので、本稿ではその効果を報告する。 キーワード 安全分析、セキュリティ分析、GSN Target: This abstract is to provide our experience for improving Security Analysis and Safety Analysis using GSN Keywords: Safety Analysis, Security Analysis, GSN 1.想定する読者・聴衆 図 2 はその対策として、 データとセキュリティ特性、 攻撃機会や手段などの組合せを表形式で列挙する方式 本書および本発表が想定する読者・聴衆は、セキュリ に変更したものである。組み合わせ項目数は膨大にな ティまたは安全性が要求されるシステムやソフトウェ り、一見網羅性が改善されたように見える。しかし、実 アの企画者・設計者・開発者など、脅威分析やリスクア 際に各項目を逐一レビューすると項目毎の攻撃可能性 セスメントの実施・レビューに携わる者を想定する。 の列挙不足が指摘されるなど網羅性の解消には至らず、 2.背景 一方で非常に多くの時間を要した。 制御システム分野では、機能安全対応とセキュリテ ィ対応は必須になりつつある。セキュリティや安全性 の保証を如何に効率的に実施できるかが競争力を左右 する重要課題の一つである。 現在セキュリティ脅威分析に用いられる手法は Microsoft 社の脅威モデリング(Threat Modeling)手法[2]や アタックツリー(Attack Tree)[2]分析など、安全分析の手 図 1 アタックツリーによる攻撃可能性分析結果の例 法は HAZOP[3]、フォールトツリー分析(FTA)[3]、FMEA[3] Fig1. Attack tree example などが主流である。 Who ExternalEntity しかし、これらの手法を用いても、網羅性と生産性の What When Where How 第三者 第三者 ドアホン本体 ドアホン本体 ドアホン本体 ドアホン本体 ドアホン本体 無線通信 いつでも いつでも 設置時 メンテナンス時 不在時 いつでも 設置場所 設置場所 設置場所 設置場所 設置場所 無線圏内 不正なドアホンに交換 ? 不正なドアホンに交換 ? 不正なドアホンに交換 ? 不正なドアホンに交換 ? 不正なドアホンに交換 ? 他の機器がドアホンとして通信 Why 第三者 無線通信 いつでも 無線圏内 データ傍受 音声・画像情報を取得 第三者 無線通信 いつでも 無線圏内 ドアホン本体 いつでも 設置場所 家の中 第三者 第三者 ドアホン本体 ドアホン本体 いつでも いつでも 設置場所 設置場所 妨害電波を発信 ドアホンに対してメッセージを送 り続ける 電波の圏外にする いたずら、過負荷によりブレー カーが落ちてしまう ドアホンを破壊する 電力の供給を止める 使用不能にする 使用不能にする 家の人 第三者 第三者 玄関錠本体 玄関錠本体 玄関錠本体 玄関錠本体 玄関錠本体 無線通信 いつでも いつでも 設置時 メンテナンス時 不在時 いつでも 設置場所 設置場所 設置場所 設置場所 設置場所 無線圏内 不正な玄関錠に交換 不正な玄関錠に交換 不正な玄関錠に交換 不正な玄関錠に交換 不正な玄関錠に交換 他の機器が玄関錠として通信 交換したほうがよいと騙される 自分の好みの玄関錠に交換してしまう 容易に家に侵入できるようにする 容易に家に侵入できるようにする 容易に家に侵入できるようにする 解錠要求コマンドを盗み取る 第三者 玄関錠本体 いつでも 設置場所 なりすましによって、不正な施錠 不正な施錠状態情報によって否認を可能にする 状態情報を送信する 家の人 第三者 第三者 玄関錠本体 玄関錠本体 玄関錠本体 いつでも いつでも いつでも ブレーカー 設置場所 設置場所 ブレーカーが落ちてしまう 玄関錠を破壊・細工する 電力の供給を止める ①損害度合い (1~5) ②攻撃の容易 性 (1~5) ③発生確率 ④対策の難しさ 脅威度 (1~5) (1~5) ①×②×⑤ 対策 要/不要 判断基準? SR E:特権昇格 ドアホン S:なりすまし 家の人 所有者 所有者以外 設置業者 両立は難しく、適切な脅威・ハザードを網羅的に抽出す 1 1 5 5 1 1 5 5 5 5 T:改ざん R:否認 I:情報漏えい D:サービス拒否 (不能) るためには、経験豊かな有識者が時間を掛けてレビュ ーをする必要があった。 使用不能にする 意図せず使用不能にする 使用不能にする 使用不能にする E:特権昇格 玄関錠 S:なりすまし 家の人 設置業者 所有者 所有者以外 T:改ざん R:否認 3.課題 I:情報漏えい D:サービス拒否 意図せず使用不能にする 使用不能にする 使用不能にする E:特権昇格 図 1、図 2 は無線通信をサポートする組込み機器の脅 威分析を実施した例である。 図 2 表形式での条件組み合わせによる脅威抽出例 Fig2. Threat analysis with tabular form 図1では、アタックツリーを用い、トップダウンでセ また安全分析においても同様である。図 3 は農業機 キュリティ脅威毎に可能性のある攻撃手法を網羅的に 械向けのハザード抽出例である。FTA で条件漏れがで 洗い出すことを試みたものである。作業者によって挙 ないよう、機能と場所・状態・危害の対象等の組み合わ げる項目やその順序が全く異なるツリーができ、網羅 せを表形式で列挙し、さらに各項目に HAZOP のガイ 性も不十分、妥当性の判断もしづらいという問題が出 ドワードを組み合わせて機能不全を洗い出すよう工夫 た。 したが、9 千件近い条件とガイドワードの組合せがあり、 1 非常に多くの工数を要した。 条件 ドライバ 走行状態 傍の人 圃場 圃場 乗車 乗車 停止 停止 居る 居る 展開済み 展開済み 散布停止 散布停止 ドライバがアクセルを 踏み込んでスタートし ていないため、トラク タは停止している。 Omission Omission 圃場 乗車 停止 居る 展開済み 散布停止 【前提条件】 ・二点式シートベルト 着用 Commission 圃場 圃場 圃場 圃場 乗車 乗車 乗車 乗車 停止 停止 停止 停止 居る 居る 居る 居る 展開済み 展開済み 展開済み 展開済み 散布停止 散布停止 散布停止 散布中 圃場 乗車 停止 居る ブーム 展開済み 薬剤 システム挙動 備考 ガイドワード 走行モード ドライバがアクセルを 踏み込んでスタートし ていないため、トラク タは停止している。 散布中 圃場 乗車 停止 居る 展開済み 散布中 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 圃場 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 乗車 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 停止 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 居る 展開済み 展開済み 展開済み 格納動作中 格納動作中 格納動作中 格納動作中 格納動作中 格納動作中 格納動作中 格納動作中 格納動作中 格納動作中 格納済み 格納済み 格納済み 格納済み 格納済み 格納済み 格納済み 格納済み 格納済み 格納済み 散布中 散布中 散布中 散布停止 散布停止 散布停止 散布停止 散布停止 散布中 散布中 散布中 散布中 散布中 散布停止 散布停止 散布停止 散布停止 散布停止 散布中 散布中 散布中 散布中 散布中 Early Late Value Omission Omission 【前提条件】 ・ドライバが、アクセル を踏み込んでいない ・二点式シートベルト 着用 Commission Early Late Value ブーム格納 Omission 済み、展開 Commission 動作中、格 Early 納動作中 Late は、薬剤散 Value ブーム未展 Omission 開で散布中 Commission はあり得ない Early Late Value 圃場で傍に Omission 人がいるの Commission はあり得ない Early Late Value ブーム未展 Omission 開で散布中 Commission はあり得ない Early Late Value No. 機能不全 原因 61 トラクタが後 62 トラクタが前 進する 影響 ブームスプレ トラクタが後 ブームスプレ トラクタが前 イヤが誤って 進する 速度指示を 行う 63 トラクタが意 ブームスプレ もともと停止 図しないタイ イヤが意図し しているた ミングで停止 ないタイミン め、ブームス する グで速度指 プレイヤから 示(0km/h)を 速度指示 行う (0km/h)が来 ても影響は ない 64 65 66 67 トラクタが後 ブームスプレ トラクタが 退する イヤが誤って ブームを展 速度指示を 開した状態 行う で後退する 68 トラクタが前 ブームスプレ トラクタが 進する イヤが誤って ブームを展 速度指示を 開した状態 行う で前進する 69 トラクタが意 ブームスプレ もともと停止 図しないタイ イヤが意図し しているた ミングで停止 ないタイミン め、ブームス する グで速度指 プレイヤから 示(0km/h)を 速度指示 行う (0km/h)が来 ても影響は ない 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 備考 - リスク指標 S E 理由 理由 (0(01 ドライバ:トラクタ/ブームスプレイヤが障害物に衝 3 作業の準備中 ドライバ:トラクタ/ブームスプレイヤが障害物に衝 作業の準備中 突、破片等でかすり傷を負うが、二点式シートベ 1 3 ルトを着用しているため、車外には飛び出さない - ドライバ:危害は発生しない 0 - - 1 1 3 ドライバ:トラクタ/ブームスプレイヤが障害物に衝 突、破片等でかすり傷を負うが、二点式シートベ ルトを着用しているため、車外には飛び出さない ドライバ:トラクタ/ブームスプレイヤが障害物に衝 突、破片等でかすり傷を負うが、二点式シートベ ルトを着用しているため、車外には飛び出さない - 0 ドライバ:危害は発生しない - - - 対策 C 理由 (02 ドライバ:ブレーキを踏むことは ドライバ:ブレーキを踏むことは 可能 2 作業の準備中 0 - - - 作業中 3 AgPL a 作業中 2 作業中 No. 備考 - - - 正しい速度指示 - 1 QM - - - ドライバ:回避することができな い - 2 3 具体例 速度指示ロジックの二重化 速度指示ロジックの二重化 a 危害が発生することはないた め、回避不要 正しい速度指示 a 危害が発生することはないた め、回避不要 3 0 - - - - - - - - 2 a ドライバ:回避することができな い - QM - - 3 4 5 6 図 3 表形式でのハザード抽出例 図 4 Attack Tree と GSN の比較 Fig4. Comparison of Attack Tree and GSN Fig3. Hazard analysis with tabular form Attack Tree や FTA は、列挙項目の妥当性や網羅性が 判断しづらいことが問題である。一方、網羅性をあげよ うとして単純に条件の組合せを表形式で列挙すると、 組合せの数が膨大になってしまう。これにより、単純に 検討項目数が増え多大な工数が必要になること、観点 毎の列挙項目の妥当性を確認するための一覧性が損な われることが課題である。 4.提案・実験 図 5 組み込み機器の GSN を使った分析例 Fig5. Example of analysis of embedded system using GSN 上記課題を解決するために、GSN を用いて項目列挙 の観点や前提条件などを明らかにしつつトップダウン で条件の組合せを検討する手法を提案する。 GSN はトップに提示されたゴールについて、それを 達成する条件や思考を可視化するための記法である。 前提条件を明記しつつサブゴールを展開する観点の 5.効果 GSN を用いることで、ツリーの展開の段階毎にその 観点や前提・証拠を明示することができ、レビューや結 果の合意の形成が効率的に行えるようになった。 順序を分析対象に合わせて適切に設定することで、検 また、列挙観点とその順序および前提の置き方は分 討すべき条件組合せを必要最低限に絞り込むことがで 析ノウハウそのものであると考えるが、GSN はこのノ き、レビュー性も向上する。 ウハウを可視化でき、それによりノウハウ自体の検討・ 例えば、セキュリティ分析の例では組み込み機器が 改善に役立った。 対象であれば、製品ライフサイクル毎にユースケース 表 1 に農業機械の1つであるブームスプレーヤに対 や攻撃サーフェース、攻撃機会などが異なる。これを考 しての安全分析に従来手法を用いた場合と GSN を用い 慮し最初に製品ライフサイクルを列挙し、ライフサイ た場合の実施結果の比較を示す。”従来手法”として載 クル毎に攻撃条件を検討することで考慮すべき条件の せているのは機能安全経験 4 年の 1 名、初学者 3 名の 組合せを絞り込むことができる。 チームで、図 3 に示す FTA 的な表形式での分析を行っ また、安全分析の例では、分析対象のシステムが利用 た結果である。一方、”GSN を用いた分析”は、機能安 される場所によって、考慮すべき危害を受ける対象を 全経験 1 年 1 名が本書の分析手順によって分析をした 限定することができる。 結果である。 図 4 の左が従来手法を用いた分析、右が提案手法を 従来手法では抽出できなかったハザードが 5 つ抽出 用いた分析の例であるが、従来手法では分析の観点や でき、網羅性が約 1.7 倍向上した。また、所要時間は 1/3 根拠が不明確であったものが、提案手法では GSN の、 以下に削減できた。 表 1 安全分析結果の比較表 Strategy や Context として明示されている。 図 5 は組み込み機器のセキュリティ脅威分析で用い たツリーノード展開の観点の適用順の例である。 † Table 1. Comparison of safety analysis results 従来手法 GSN を用いた分析 抽出ハザード数 7 12 所要時間 360 hr 100 hr 株式会社ヴィッツ WITZ Corporation, NAGOYA PARK PLACE BLDG. 13-1, SAKAE2-CHOME, NAKA-KU, NAGOYA, 460-0008, JAPAN E-mail: [email protected], [email protected] 2 6.まとめ(今後の課題・謝辞等) FMEA : Failure Mode and Effects Analysis セキュリティ分析および安全分析において、下記の ような分析手法の改善を行うことで、網羅性・生産性を 共に改善することができた。 ① 分析対象に合わせた分析観点の検討の実施 分析対象において検討するべき観点、検討不要な観 点を整理する。これにより、不要な分析作業を省略でき る。 ② 分析観点の適用順番の工夫 例えば、図 5 に示した組み込み機器の場合、製品の ライフサイクルを最初の分析観点としてあげている。 組み込み機器においては、その機器の攻撃タイミン グや関わる人物等が製品のライフサイクルによって変 わってくる。そのため、先にライフサイクルで分けるこ とで、分析の重複を避けることができる。 このように、どのような順番で観点を適用すればよ いか工夫することで、不要な分析作業を省略できる。 ③ 分析ガイドラインの利用 ①、②が整理された分析ガイドラインに従って分析 を進める。これにより、作業の効率化、抜け漏れを防止 できる。 ④ GSN の表記の利用 GSN の表記法を用いることで、分析における前提や 根拠などの議論が明確化できる。これにより、レビュー 者が妥当性を確認しやすくなり、工数の削減につなが る。 今後は、セキュリティ分析・安全分析対策の網羅性・ 生産性をより上げるために、分析ガイドラインの改善、 他プロダクトのガイドラインの整備に取り組んでいき たい。 7. 用語・文献 文 [1] 献 GSN COMMUNITY STANDARD VERSION 1, http://www.goalstructuringnotation.info/documents/GSN_Standard.pdf [2] Microsoft Developer Network, Threats and Countermeasures, Chapter 3 Threat Modeling https://msdn.microsoft.com/en-us/library/ff648644.aspx [3] ISO 26262 におけるソフトウェア安全解析の検討, 株式会社 OTSL http://www.ipa.go.jp/files/000004108.pdf 略 号 一 覧 GSN : Goal Structuring Notation HAZOP : Hazard and Operability Study FTA : Fault Tree Analysis 3
© Copyright 2024 ExpyDoc
