セキュリティ・安全分析のGSN活用によ る改善

セキュリティ・安全分析のGSN活用によ
る改善
(株)ヴィッツ 先進基盤技術部 札幌事業所
櫻庭 孝弘
和田 学
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
1
目次
•
•
•
•
•
はじめに
セキュリティ分析における適用例
安全分析での適用例
実際の改善効果
まとめ
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
2
はじめに
• セキュリティ、安全分析の中でGSNを一部に適用することで、
従来手法よりも工数削減、網羅性改善が可能である。
• 本発表では、どのようにGSNを活用した結果、これらの効果
が得られたのかをご紹介する。
Who
ExternalEntity
What
When
Where
How
Why
第三者
第三者
ドアホン本体
ドアホン本体
ドアホン本体
ドアホン本体
ドアホン本体
無線通信
いつでも
いつでも
設置時
メンテナンス時
不在時
いつでも
設置場所
設置場所
設置場所
設置場所
設置場所
無線圏内
不正なドアホンに交換
?
不正なドアホンに交換
?
不正なドアホンに交換
?
不正なドアホンに交換
?
不正なドアホンに交換
?
他の機器がドアホンとして通信
第三者
無線通信
いつでも
無線圏内
データ傍受
音声・画像情報を取得
第三者
無線通信
いつでも
無線圏内
ドアホン本体
いつでも
設置場所
家の中
第三者
第三者
ドアホン本体
ドアホン本体
いつでも
いつでも
設置場所
設置場所
妨害電波を発信
ドアホンに対してメッセージを送
り続ける
電波の圏外にする
いたずら、過負荷によりブレー
カーが落ちてしまう
ドアホンを破壊する
電力の供給を止める
使用不能にする
使用不能にする
家の人
第三者
第三者
玄関錠本体
玄関錠本体
玄関錠本体
玄関錠本体
玄関錠本体
無線通信
いつでも
いつでも
設置時
メンテナンス時
不在時
いつでも
設置場所
設置場所
設置場所
設置場所
設置場所
無線圏内
不正な玄関錠に交換
不正な玄関錠に交換
不正な玄関錠に交換
不正な玄関錠に交換
不正な玄関錠に交換
他の機器が玄関錠として通信
交換したほうがよいと騙される
自分の好みの玄関錠に交換してしまう
容易に家に侵入できるようにする
容易に家に侵入できるようにする
容易に家に侵入できるようにする
解錠要求コマンドを盗み取る
第三者
玄関錠本体
いつでも
設置場所
なりすましによって、不正な施錠 不正な施錠状態情報によって否認を可能にする
状態情報を送信する
家の人
第三者
第三者
玄関錠本体
玄関錠本体
玄関錠本体
いつでも
いつでも
いつでも
ブレーカー
設置場所
設置場所
ブレーカーが落ちてしまう
玄関錠を破壊・細工する
電力の供給を止める
①損害度合い ②攻撃の容易
(1~5)
性
(1~5)
③発生確率 ④対策の難しさ 脅威度
(1~5)
(1~5)
①×②×⑤
対策 要/不要
判断基準?
SR
E:特権昇格
ドアホン
S:なりすまし
家の人
所有者
所有者以外
設置業者
1
1
5
5
1
1
5
5
5
5
T:改ざん
R:否認
I:情報漏えい
D:サービス拒否
(不能)
使用不能にする
意図せず使用不能にする
使用不能にする
使用不能にする
E:特権昇格
玄関錠
S:なりすまし
家の人
所有者
所有者以外
設置業者
T:改ざん
R:否認
I:情報漏えい
D:サービス拒否
意図せず使用不能にする
使用不能にする
使用不能にする
E:特権昇格
GSNを分析の一部
に適用すると・・・
13th WOCS2
1/20/2016
可視性向上
工数削減
分析容易性向上
網羅性改善
Copyright © 2016 WITZ Corporation All Rights Reserved.
3
セキュリティ脅威分析の流れ
• 分析対象システムの定義
– 製品ライフサイクル毎にユース
ケースやデータフローを整理
• 上流セキュリティ脅威分析
– 攻撃者や攻撃インタフェース、
上位対策方針を設定
• 下流セキュリティ脅威分析
– GSNを用いて対策が必要な攻
撃手法を列挙
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
4
セキュリティ分析対象システム
• 利用者が携帯端末から自宅の家電を操作
13th WOCS2
1/20/2016
Copyright © 2016 著作権保有者名 All Rights Reserved.
5
機能および資産の定義
機能名
機能概要
資産
アカウント登録機能
サービスの利用には、事前にア
カウント登録が必要である。
認証機能
サービスの利用時に、アカウント ・アカウント情報
情報を使った認証が必要である。 ・機能そのもの
家電操作機能
利用者は、インターネットを介し
て制御情報を送ることで家電が
制御可能である。
・機器制御情報
・機能そのもの
家電情報表示機能
利用者は、インターネットを介し
て、家電からの情報を得ること
ができる。
・機器状態情報
・機能そのもの
13th WOCS2
1/20/2016
・アカウント情報
・個人情報
・支払情報
・機能そのもの
Copyright © 2016 著作権保有者名 All Rights Reserved.
6
上流脅威分析結果
• 分析対象となる脅威
これらの脅威について
Attack Treeで脅威を引き起
こす要因、攻撃手段の導
出を試みた。
脅威
・利用情報の漏洩
・サービスコンテンツの不正利用
・データの不正利用
・プログラム資産の流出
…
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
7
Attack Treeでの課題
• 脅威「利用情報の漏洩」の攻撃手段を分析
何の観点から展開されているのかが
不明。また、観点漏れがありそうだが、
わかりにくい。
ライフサイクルが考慮されているように
見えるが、「廃棄時」以外は考慮してい
ないのか?また、考慮されているなら
ば、除外されている理由が不明。
観点が不明
検討漏れ
根拠が不明
項目が適切に網羅されているのか、根
拠が明示されていないためわからない。
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
8
GSN攻撃手法分析手順例
• 分析対象に合わせた分
析手順を検討する。
組み込み機器における分析例
• 右図は組み込み機器に
おける分析手順の例であ
る。
• 分析対象に合わせた分
析観点、および順番の検
討が必要である。
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
9
組み込み機器における分析例
① 分析対象の脅威をトップに置く
② 戦略「製品のライフサイクル」
ライフサイクルのフェーズで分けることで、
攻撃場所・I/F・機会を限定することができ
る。
③ 戦略「製品が用いられる場所」
マネジメント
④ 戦略「攻撃者」
企画
開発
運用
廃棄
組み込み機器製品のライフサイクル
⑤ 戦略「攻撃I/F」
・・・
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
10
組み込み機器における分析例
① 分析対象の脅威をトップに置く
② 戦略「製品のライフサイクル」
場所によって、ユースケースや管理状態、
通信経路を特定できる。
③ 戦略「製品が用いられる場所」
④ 戦略「攻撃者」
外出先
会社
家庭
⑤ 戦略「攻撃I/F」
・・・
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
11
組み込み機器における分析例
① 分析対象の脅威をトップに置く
② 戦略「製品のライフサイクル」
そのフェーズ、場所における攻撃者を検
討して列挙する。
③ 戦略「製品が用いられる場所」
・・・
④ 戦略「攻撃者」
外出先
第三者 利用者 メーカ
自身 従業員
⑤ 戦略「攻撃I/F」
・・・
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
12
組み込み機器における分析例
① 分析対象の脅威をトップに置く
② 戦略「製品のライフサイクル」
そのフェーズ、場所、攻撃者から攻撃I/F
を検討して列挙する。
③ 戦略「製品が用いられる場所」
情報資産の
Free Wi-Fi
通信
盗聴
④ 戦略「攻撃者」
外出先
⑤ 戦略「攻撃I/F」
利用者
第三者
・・・
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
13
GSNによる分析手法の適用効果
戦略から展開されたサブゴールの根拠を明示する。
脆弱性データベースや研究論文、過去の実績等の
信頼性のある情報を根拠として展開を進める。
⇒網羅性向上、論拠の明確化
それ以上の展開がない場合、Contextで
根拠を示し、”未達成”とする。
⇒分析工数削減、 論拠の明確化
13th WOCS2
1/20/2016
分析手順に従って戦略を置いていく。
⇒分析容易性、網羅性向上
ツリーは肥大化しやすいので、大きくなり
そうだったり、再利用できそうなサブツ
リーはモジュール化する。
⇒分析工数削減、可視性向上
Copyright © 2016 WITZ Corporation All Rights Reserved.
14
GSNによる分析手法の適用効果
戦略を置いた正当性の根拠を明示する。
⇒網羅性向上、論拠の明確化
該当文書の章をContextで明示する。
⇒網羅性向上、論拠の明確化
攻撃手法は、既知の脆弱性データベースを参照し、対応付けする。
⇒分析容易性向上、網羅性向上、論拠の明確化
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
15
分析対象システム
• 農作業機の1つであるブームスプレーヤ
• 農業機械の機能安全規格 ISO 25119 に適合
させたい
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
16
分析対象システムが有する機能
機能名
機能概要
ブーム操作機能
運転者は、トラクタ上でのブームの展開および格納操作ができ
る。
走行機能
運転者は、ブームスプレイヤを走行運転することができる。
噴霧機能
・手動噴霧:
運転者は、噴霧量を設定し、噴霧の開始/停止を制御できる。
・自動噴霧:
また、事前に立てた噴霧計画をベースとして、それに基づい
て走行・噴霧が可能である。
薬液残量通知機能
利用者は、インターネットを介して、家電からの情報を得ること
ができる。
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
17
FTA+HAZOPでの分析の課題
• 下記は、ブーム操作機能の分析の一部
●工数
数千項目あり、膨大でレビューが容
易ではない。
省略箇所もあるが、条件の項目の
全パターンについて省略理由が書い
てあるため、レビュー・検討の工数が
膨大になる。
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
18
GSNを用いた攻撃手法分析手順
• セキュリティ分析と同
様、安全分析手順を考
案した。
13th WOCS2
1/20/2016
安全分析の分析手順例
Copyright © 2016 WITZ Corporation All Rights Reserved.
19
安全分析での適用例
① 分析対象の機能をトップに置く
② 戦略「どこで利用されるか」
そのシステム・機能が利用される場所に
よって、使われ方や関係者、利用者が異
なる。
③ 戦略「危害の対象は何か?」
圃場
④ 戦略「分析対象の状態」
⑤ HAZOPのガイドワードを当ては
めてハザードを抽出する。
13th WOCS2
1/20/2016
公道
車庫
Copyright © 2016 WITZ Corporation All Rights Reserved.
20
安全分析での適用例
① 分析対象の機能をトップに置く
利用される場所で、ハザードの対象ある
いはそれにつながるものを検討する。
② 戦略「どこで利用されるか」
車
③ 戦略「危害の対象は何か?」
④ 戦略「分析対象の状態」
標識
公道
歩行者
⑤ HAZOPのガイドワードを当ては
めてハザードを抽出する。
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
21
安全分析での適用例
① 分析対象の機能をトップに置く
② 戦略「どこで利用されるか」
分析対象がどんな状態でその機能が利
用されるか、という観点で展開する。
例えば、以下は、ブームの状態である。展
開状態、動作中状態での公道での走行は
危険であることが想像できる。
③ 戦略「危害の対象は何か?」
④ 戦略「分析対象の状態」
⑤ HAZOPのガイドワードを当ては
めてハザードを抽出する。
13th WOCS2
1/20/2016
展開状態
動作中状態
Copyright © 2016 WITZ Corporation All Rights Reserved.
格納状態
22
安全分析での適用例
① 分析対象の機能をトップに置く
② 戦略「どこで利用されるか」
③ 戦略「危害の対象は何か?」
④ 戦略「分析対象の状態」
⑤ HAZOPのガイドワードを当ては
めてハザードを抽出する。
13th WOCS2
1/20/2016
②~④の条件の組み合わせに対して、
HAZOPのガイドワードを検討し、当てはめ
る。例えば、
・Omission →意図する動作が起きない
・Commission→意図しない動作が起きる
・Early → 期待よりもタイミングが早い
・Late → 期待よりもタイミングが遅い
…etc
より適したものがある場合、例えば通信
に関してはSTAMPのガイドワードが良い場
合はそれを用いて分析すると、より効果的
である。
Copyright © 2016 WITZ Corporation All Rights Reserved.
23
GSNによる分析手法の適用効果
分析手順に従って戦略を置いていく。
⇒分析容易性、網羅性向上
戦略から展開されたサブゴールの根拠・
論拠を明示する。
⇒網羅性向上、論拠の明確化
QMと判断される場合はContextで根拠を示し、”
未達成”とする。
⇒分析工数削減、 論拠の明確化
13th WOCS2
1/20/2016
ツリーは肥大化しやすいので、大きくなり
そうだったり、再利用できそうなサブツ
リーはモジュール化する。
⇒分析工数削減、可視性向上
Copyright © 2016 WITZ Corporation All Rights Reserved.
24
GSNによる分析手法の適用効果
利用するHAZOPのガイドワー
ドを明示する。
⇒網羅性向上、論拠の明確
化
ガイドワードの適用し、事象を
網羅。ハザードとなりうる要因
を抽出する。
⇒網羅性向上
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
25
改善効果
• ブームスプレイヤを対象とした安全分析での実
施効果
抽出ハザード数
従来手法
7
GSNを用いた分析
12
所要時間
360hr
100hr
– 抽出ハザード数:約1.7倍抽出
• 従来手法で抽出できなかった項目を抽出できた
→ 網羅性の改善
– 所要時間:1/3以下に削減
→ 工数削減
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
26
改善効果
• 安全分析の実施条件
– 従来手法(FTA+HAZOP的な表形式での分析)
• 実施者: 機能安全経験 4年 1名
中堅ソフトウェア技術者 3名
条件
ドライバ
走行状態
傍の人
圃場
圃場
乗車
乗車
停止
停止
居る
居る
展開済み
展開済み
散布停止
散布停止
ドライバがアクセルを 踏み込んでスタートし
ていないため、トラク
タは停止している。
Omission
Omission
圃場
乗車
停止
居る
展開済み
散布停止
【前提条件】
・二点式シートベルト
着用
Commission
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
圃場
13th WOCS2
1/20/2016
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
乗車
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
停止
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
居る
ブーム
展開済み
展開済み
展開済み
展開済み
展開済み
展開済み
展開済み
展開済み
展開済み
格納動作中
格納動作中
格納動作中
格納動作中
格納動作中
格納動作中
格納動作中
格納動作中
格納動作中
格納動作中
格納済み
格納済み
格納済み
格納済み
格納済み
格納済み
格納済み
格納済み
格納済み
格納済み
薬剤
散布停止
散布停止
散布停止
散布中
システム挙動
備考
ガイドワード
走行モード
ドライバがアクセルを 踏み込んでスタートし
ていないため、トラク
タは停止している。
散布中
散布中
散布中
散布中
散布中
散布停止
散布停止
散布停止
散布停止
散布停止
散布中
散布中
散布中
散布中
散布中
散布停止
散布停止
散布停止
散布停止
散布停止
散布中
散布中
散布中
散布中
散布中
Early
Late
Value
Omission
Omission
【前提条件】
・ドライバが、アクセル
を踏み込んでいない
・二点式シートベルト
着用
Commission
Early
Late
Value
Omission
Commission
Early
Late
Value
Omission
Commission
Early
Late
Value
圃場で傍に Omission
人がいるの Commission
はあり得ない Early
Late
Value
ブーム未展 Omission
開で散布中 Commission
はあり得ない Early
Late
Value
ブーム格納
済み、展開
動作中、格
納動作中
は、薬剤散
ブーム未展
開で散布中
はあり得ない
No.
機能不全
原因
61 トラクタが後
62 トラクタが前
進する
ブームスプレ
ブームスプレ
イヤが誤って
速度指示を
行う
63 トラクタが意 ブームスプレ
図しないタイ イヤが意図し
ミングで停止 ないタイミン
する
グで速度指
示(0km/h)を
行う
64
65
66
67
トラクタが後
退する
ブームスプレ
イヤが誤って
速度指示を
行う
68 トラクタが前 ブームスプレ
進する
イヤが誤って
速度指示を
行う
69 トラクタが意 ブームスプレ
図しないタイ イヤが意図し
ミングで停止 ないタイミン
する
グで速度指
示(0km/h)を
行う
70 71 72 73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
-
影響
備考
トラクタが後
トラクタが前
進する
-
もともと停止
しているた
め、ブームス
プレイヤから
速度指示
(0km/h)が来
ても影響は
ない
トラクタが
ブームを展
開した状態
で後退する
トラクタが
ブームを展
開した状態
で前進する
もともと停止
しているた
め、ブームス
プレイヤから
速度指示
(0km/h)が来
ても影響は
ない
-
-
S
理由
(01 ドライバ:トラクタ/ブームスプレイヤが障害物に衝
ドライバ:トラクタ/ブームスプレイヤが障害物に衝
突、破片等でかすり傷を負うが、二点式シートベ
1
ルトを着用しているため、車外には飛び出さない
-
-
-
3
ドライバ:危害は発生しない
0
-
リスク指標
E
理由
(03 作業の準備中
作業の準備中
1
1
0
-
ドライバ:トラクタ/ブームスプレイヤが障害物に衝
突、破片等でかすり傷を負うが、二点式シートベ
ルトを着用しているため、車外には飛び出さない
ドライバ:トラクタ/ブームスプレイヤが障害物に衝
突、破片等でかすり傷を負うが、二点式シートベ
ルトを着用しているため、車外には飛び出さない
作業の準備中
0
- - - 作業中
-
3
2
作業中
3
AgPL
a
2
作業中
0
- - - -
-
Copyright © 2016 WITZ Corporation All Rights Reserved.
No.
備考
-
-
-
正しい速度指示
-
1
QM
ドライバ:回避することができな
い
ドライバ:回避することができな
い
-
2
a
正しい速度指示
a
危害が発生することはないた
め、回避不要
3
具体例
速度指示ロジックの二重化
速度指示ロジックの二重化
a
危害が発生することはないた
め、回避不要
3
ドライバ:危害は発生しない
-
対策
C
理由
(02 ドライバ:ブレーキを踏むことは
ドライバ:ブレーキを踏むことは
可能
2
-
QM
-
-
-
3
4
5
6
27
改善効果
• 安全分析の実施条件
– GSNによる分析手法
• 実施者: 機能安全経験 1年 1名
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
28
まとめ
• セキュリティ・安全分析の改善のポイント
– 要因を列挙するための分析観点を抽出・整理
– 観点毎に分析対象に合わせた項目列挙の指針・
留意点等の明文化
– 手戻りを最小化するため、分析フローを最適化
– GSN表記の採用によるレビュー性改善・合意促進
• 今後の課題
– 分析ガイドラインのブラッシュアップ
– 他プロダクト用のガイドラインのテーラリング
13th WOCS2
1/20/2016
Copyright © 2016 WITZ Corporation All Rights Reserved.
29