需要家サイドから見たスマートグリッドのセキュリティ動向 …制御システムを狙った攻撃や制御ソフトの脆弱性の顕在化 1．Stuxnet（スタックスネット）攻撃：制御システムだけの問題か？？制御システムは、独自の作りこみやネットワーク的な遮断によって、サイバー攻撃によ

IPA重要インフラとスマートグリッドの情報セキュリティシンポジウム２０１１情報キリティシンポジウ

需要家サイドから見た需要家見スマートグリッドのセキュリティ動向

～「2010年度制御システムの情報セキュリティ動向に関する調査事業」の中間報告～

独立行政法人情報処理推進機構（IPA)セキュリティセンター

情報セキュリティ技術ラボラトリー長小林偉昭２０１１２ 25２０１１．２．25

Copyright © 2011, IPA all right reserved. 1

本日の内容

はじめに IPAの取り組みと米国の取り組み状況はじめに IPAの取り組みと米国の取り組み状況

電力事業者向けのセキュリティ電力事業者向けのセキュリティ制御システムを狙った攻撃や脆弱性の顕在化ソフトウエアの脆弱性対策について（CWE)ソフトウエアの脆弱性対策について（CWE)

サビス事業者向けのセキュリティサービス事業者向けのセキュリティ

需要家(家庭)向けのセキュリティ需要家(家庭)向けのセキュリティIPAの取組み(各種公開ツール等)


IPAのスマートグリッドセキュリティへの取組み

IPAは、スマートグリッド環境の進展の中で、新しい環境への対応を

要求される国民や家庭を主体に電気事業者・新たなサビス事要求される国民や家庭を主体に、電気事業者・新たなサービス事業者や製品開発者へのセキュリティ対策の普及・啓発を推進。

スマートグリッド「知らない」６割日経産業２０１０１２２０

米国のアプローチEnergy Independence and S it A t f 2007 (EISA)のもと

IPAの普及・啓発の主対象

7つのドメイン

スマトグリッド「知らない」６割日経産業２０１０.１２．２０

Security Act of 2007 (EISA)のもと、NISTがスマートグリッドに対する体系的な標準の策定を実施。

①相互運用性(Interoperability)ベダ機器が相接続マルチベンダ機器が相互に接続し、

運用できることNIST Framework and Roadmap for Smart Grid Interoperability St d d R l 1 0Standards, Release 1.0②セキュリティ（Cyber Security)安全な電力サービスの継続(サイバー攻撃も意識)

3Copyright © 2011, IPA all right reserved.

NISTIR7628 セキュアな情報と電気の流れに関するスマートグリッドドメインでの相互連携モデル

NISTIR 7628 Guidelines for Smart Grid Cyber Security

7つのドメインの整理（１/２）

サビス事業者

日本の電気事業環境を考慮して整理

電力事業者サービス事業者(新事業分野）

需要家(家庭)


7つのドメインの整理（２/２）

日本の電気事業環境を考慮して整理

電力事業者サービス系消費電力管理

サービス等

サービス事業者

料金等基本データベース

電力情報系指令コントロール

SCADAシステム

制御用DB

双方向の

スマートハウス発電・送電・配電発電・送電・配電発電・送電・配電

双方向の情報の流れ

発電送電配電

電力制御系発電送電配電


電力制御系

双方向の

電力の流れ


発電所変電所配電所

需要家SCADA :Supervisory Control And Data Acquisition

本日の内容






１．電力事業者向けのセキュリティ

サビス事業者電力事業者

料金等基本電力情報系

サービス系消費電力管理サービス等


指令 SCADA制御用データベースコントロールシステムDB


スマートハウス発電・送電・配電

電力制御系発電・送電・配電


電力制御系

情報の流れ

双方向の

電力制御系電力制御系電力制御系

双方向の

電力の流れ



制御システムを狙った攻撃や制御ソフトの脆弱性の顕在化

１．Stuxnet（スタックスネット）攻撃：制御システムだけの問題か？？

や制御ソフトの脆弱性の顕在化

制御システムは、独自の作りこみやネットワーク的な遮断によって、サイバー攻撃による脅威が顕在化することは少なかった。

しかし、2010年7月に発見されたマルウェア（Stuxnet）はWindowsのゼロデイの脆弱

性やシメ制御シム特性等詳細を熟知すると考えられる攻撃者による性や、シーメンスの制御システムの特性等の詳細を熟知すると考えられる攻撃者による、極めて高度な作りこみがなされており、それによって制御システムが攻撃の対象となっている事が明らかとなった。

特にこの攻撃ではオプンな情報系技術を利用したシステムをまず攻撃しそこから特にこの攻撃では、オープンな情報系技術を利用したシステムをまず攻撃し、そこからシーメンスのクローズドな制御機器に攻撃を行う事が特徴的である。

２制御ソフトの脆弱性顕在化：体系的な脆弱性対策を２．制御ソフトの脆弱性顕在化：体系的な脆弱性対策を2010年9月に中国で広く使われている制御システム（SCADA等）ソフトに脆弱性が発

見された。今後もセキュリティ研究家等によって新しい脆弱性が発見されていく事も考えられるの事例では脆弱性の通報から対応までに遅れが出るなど脆弱性関連情報のられる。この事例では脆弱性の通報から対応までに遅れが出るなど、脆弱性関連情報の適切な流通に関しても、未だ問題が残る事が明らかとなった。

JVNiP di で2008年分として8件 2009年分は9件 2010年分は6件 2011年分(2月21日現在)


JVNiPediaで2008年分として8件、2009年分は9件、2010年分は6件、2011年分(2月21日現在)は9件、合計32件のSCADAに関する脆弱性対策情報を公開(予定を含む）

インフラ事業者の制御システムの現状

【2008年度調査結果より】

「オープン化」：汎用製品＋標準プロトコル

インフラ事業者の制御シテの現状

オープン化ファイアウォール

情報ネットワーク

WindowsPC 汎用

制御情報ネットワーク

生産管理サーバ

WindowsPC、汎用アプリケーション

標準プロトコル

コントロールネットワーク

HMI EWS WindowsPC、汎用アプリケーション

プDCS PLC PLC 独自/標準プロトコル

独自ハードウェア、フィールドネットワーク

センサバスリモートI/O

独自ドウア、独自OS

センサ、アクチュエータ


M

センサ・アクチュエータなど

エータ

現実となった制御システムへの攻撃

オープン環境で侵入・増大化し、クローズドなターゲットを攻撃

標準

汎用製品を採用

ファイアウォール

生産管理

標準プロトコル

Stuxnetウイルス

制御情報ネットワーク

（イーサネット）

生産管理サーバ

HMI EWSUSB? 汎用ネット

ワーク汎用PC･専

プ

攻撃

コントロールネットワーク

DCS PLC PLC 汎用ネットワークの場合もあり

用アプリケーション

攻撃

フィールドネットワーク

リモート専用製品

（独自ハード

合もあり

M

センサバスI/O

センサ・アクチュエータなど

（独自ハド、独自OS）

専用


センサアクチュエタなど

DCS：Distributed Control System PLC：Programmable Logic ControllerHMI:Human Machine Interface EWS:Engineering Workstation

専用プロトコル

新しいサイバー攻撃手法の出現「新しいタイプの攻撃」と呼ぶことにした新しいタイプの攻撃」と呼ぶことにした

新しいサイバー攻撃手法の出現

脆弱性を悪用し政府や社会インフラ脆弱性を悪用し、

複数の既存攻撃を組み合わせ、

ソシルンジアリングにより特定企業や個人をねらい

政府や社会インフラのシステムへの攻撃

ソーシャルエンジニアリングにより特定企業や個人をねらい、

対応が難しく執拗(Persistent)な攻撃が出現

海外と呼ん海外ではAPT(Advanced Persistent Threat)と呼んでいる

「

日本語でどう表現するか

「新しいタイプの攻撃」：IPAではこのように呼ぶことにした

システムへの潜入等の「共通攻撃手法」と情報窃取等の

目標に応じた「個別攻撃手法」から構成される攻撃

近の事例としては世界的に話題となったStuxnet（スタッ

ネ）呼ばピに攻撃


クスネット）と呼ばれるコンピュータウイルスによる攻撃

従来対策が有効だった攻撃との違い？

「従来の攻撃」と「新しいタイプの攻撃」とは従来対策が有効だった攻撃との違い？

従来の攻撃脆弱性スキャン

FTP PW攻撃

不正侵入改竄

感

従来の攻撃脆弱性スキャン

FTP PW攻撃

不正侵入改竄

感

SV,Ntw

PCウイスル感染

DDoS（HP閲覧停止）...etcFW/IDS システムデザインポリシ：

・セキュリティ製品配置による境界防護

・基準等に基づく全周防護SV,Ntw

PCウイスル感染

DDoS（HP閲覧停止）...etcFW/IDS システムデザインポリシ：

・セキュリティ製品配置による境界防護

・基準等に基づく全周防護

最新AVパターン＆脆弱性パッチ金銭目的：

ゲームアカウント、キーロガー等

不特定多数を対象とした攻撃

最新AVパターン＆脆弱性パッチ金銭目的：

ゲームアカウント、キーロガー等


新らしいタイプの攻撃（APT）...従来から一部進行していた攻撃手法


システム設計思想変更の必要性

バックドア通信を有効に用い、リモート更新等を用いて目的に応じて全体設計された攻撃

新らしいタイプの攻撃（APT）...従来から一部進行していた攻撃手法


システム設計思想変更の必要性

バックドア通信を有効に用い、リモート更新等を用いて目的に応じて全体設計された攻撃

SV,Ntw

FW/IDS複合型DDoS（情報破壊）

システムデザインポリシ：

・最終攻撃目的阻止の為のシステム全体設計

・各分野連携によるシステムデザイン

- 攻撃解析+事案分析+システム設計

・コストに見合う期待効果内容を重点設計

じて全体設計された攻撃

SV,Ntw

FW/IDS複合型DDoS（情報破壊）

システムデザインポリシ：

・最終攻撃目的阻止の為のシステム全体設計

・各分野連携によるシステムデザイン

- 攻撃解析+事案分析+システム設計


じて全体設計された攻撃

最新AVパターン＆脆弱性パッチ秘

注意喚起、情報共有


悪性サイトフィルタ（ブラックリスト）

特定目的：共通仕様であるhttpバックドアの

デ

全体が良く設計された一連の攻撃シーケンス

ウイルスを使って空けたバックドアを用いたハッキング！

最新AVパターン＆脆弱性パッチ秘

注意喚起、情報共有


悪性サイトフィルタ（ブラックリスト）

特定目的：共通仕様であるhttpバックドアの

デ

全体が良く設計された一連の攻撃シーケンス

ウイルスを使って空けたバックドアを用いたハッキング！

組織情報搾取、システム破壊等全体が高度に設計された攻撃手段組織を対象とした攻撃

使用が特徴の攻撃モデルに着目

閉塞不能な使用サービス通信を使ったバックドア（裏口）の設置に成功：80port(webアクセス)

組織情報搾取、システム破壊等全体が高度に設計された攻撃手段組織を対象とした攻撃

使用が特徴の攻撃モデルに着目

閉塞不能な使用サービス通信を使ったバックドア（裏口）の設置に成功：80port(webアクセス)

12Copyright © 2011, IPA all right reserved.千石社中資料

「新しいタイプの攻撃」の流れ

＜「新しいタイプの攻撃」イメージ＞『新しいタイプの攻撃』をロケットの例で考えてみると、下記の図のように特定のシステムへの攻撃に特化した（個別攻撃手法）ペイロード部と特定のシステムに侵入する為の共通仕様部分(共通攻撃手法)のランチャー部に分けることができる。一連の攻撃の流れで考えると、ペイロード部とランチャー部

からなるロケットがシステムに侵入しペイロード部で特定のシステムに攻撃を加える即ち実際に

ペイド部個別攻撃部

からなるロケットが、システムに侵入し、ペイロード部で特定のシステムに攻撃を加える。即ち、実際に目的を達成するためのペイロード部を積んだロケットが目的地に向けて、発射される形となる。

ペイロード部(個別攻撃)

ランチャー部(共通攻撃)

個別攻撃部(特定のシステムを標的とする)

共通攻撃部(システムの侵入等が目的)

対策困難

(システムへの侵入等が目的)ランチャー部は共通の攻撃手法で作成されている。

ランチャー部の対策に視点を！

外部との通信遮断

対策に視点を！

状況に応じた脅威の判断が必要


ロケットを例にした『新しいタイプの攻撃』のイメージ

「新しいタイプの攻撃」の攻撃手法の相関図

個別攻撃手法：各攻撃目的に特化した攻撃仕様攻撃目的に特化した攻撃仕様の使用

共通攻撃手法：各攻撃に共通的な攻撃仕様

新しいタイプの攻撃：

従来の対策が効かない（システマチックな）攻撃で組織情報や破壊を目的にする侵害活動共通攻撃手法：各攻撃に共通的な攻撃仕様

システム内部調査や攻撃者のサーバとの通信（マルウェアのアップデート、窃取情報の送信等）に使用される攻撃

で、組織情報や破壊を目的にする侵害活動

攻撃に応じてシステマチックに組み合わせて攻撃

共通攻撃手法個別攻撃手法侵入手法（入口部）

組織情

従来の対策が効かない共通攻撃仕様：

標的型攻撃

情報の窃取や

新たな発想の対策を考える必要がある。特定組織向ソーシャル技術

○○○○

○○○○○○○○

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

や破壊を目的

新たな対策発想が必要特定機器向け攻撃仕様部

特定PLC..

○○○○

○○○○○○○○

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

定番ソフトウェアの脆弱性を狙った攻撃

情報漏えい（窃取）例：米石油会社不審メール

ウェブサイトを経由した攻撃的にする侵害

追跡回避に一般Webサイト利用

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■


情報漏えい（窃取）例：米石油会社、不審メール

システム破壊例：StuxnetUSB感染マルウエア

Stuxnet

害活動

新しいタイプの攻撃

『新しいタイプの攻撃』の流れ図（1/5）










社会インフラ事業者の情報システムへの攻撃シナリオ社会インフラ事業者の情報システムへの攻撃シナリオ情報システムへの攻撃シナリオ情報システムへの攻撃シナリオ

情報システムへの攻撃にも応用される「新しいタイプの攻撃(APT)｣

APT Ad d P i t t Th t

ランチャー部は、様々な手法が使われるが、設計思想は同じである。すなわち、「スタックスネット」固有の話でも、

APT : Advanced Persistent Threat

同じである。すなわち、スタックスネット」固有の話でも、「制御システムへの攻撃」に限った話でもない。目標に合わせてペイロードを入れ替えれば良く、汎用的な仕掛けのため情報システムにとっても脅威となる

情報システム攻撃用

けのため、情報システムにとっても脅威となる...

組織の情報搾取を目的とした標的型メール攻撃、USBウイルス等による情報システムへの攻撃においても同様手法が

これが、「新しいタイプの攻撃(APT)」であり、今後、ランチャー部対策特に日本の環境に応じた日本での分

様手法が用いられる。

基地作成、ロケット組立用

チャ部対策、特に、日本の環境に応じた、日本での分析を実施する事が重要となる。

2月10日にマカフィー社がエネルギ分野を狙った情報搾取攻撃のレ


ロケット組立用設計図

ポート公開。これを受けてDHSのICS-CERTからも（制御システムを使用している）重要インフラ事業者向けに同日レポートを公開。

『新しいタイプの攻撃』共通攻撃手法の対策ポイント共通攻撃手法の対策ポイント

外部の指令サーバ(C&Cサーバ)と通信を遮断

攻撃者が用意したサーバ


システム設計からの対策

IPAテクニカルウォッチ「新しいタイプの攻撃」に関するレポート「共通攻撃手法」への対策6項目（「脅威と対策研究会」でまとめた）

N 機能要件項目機能要件内容要件理由及び背景設計事例

「共通攻撃手法」への対策6項目（「脅威と対策研究会」でまとめた）

No 機能要件項目機能要件内容要件理由及び背景設計事例

1 プロキシの認証情報のチェック一般PCの外部Webアクセス時、認証プロキシによる認証アクセスを設計。

ウイルスが、独自の通信メソッドを用いて搾取した情報を悪性サイトに送信する場合、認証情報を使用しない場合が多いことが確認されている。※ウイルスが既認証状態を使用した攻撃仕様となった場合は、防止出来ない。

・認証プロキシ

2 HTTP,SSL通信のヘッダーチェック外部通信（GET,POSTコマンドのヘッダー等通信内容）の検出・遮断。

ウイルスが窃取した情報を外部の悪性サイトに送付する場合、新たな攻撃コードをダウンロードする場合、C&Cサーバからの指示を受信する場合に多くは80/tcp,443/tcpが用いられる。

・NOC/SOC監視

3 未知のウイルスを検出可能なソフトウェアの導入

ゼロデイ脆弱性含む、ウイルスが脆弱性を使用した時の挙動検知。

PC上のウイルスの脆弱性利用等の挙動などから攻撃動作を検出することにより、未知ウイルスや、未知の脆弱性を突く「ゼロデイ攻撃」を検出し防御することが可能な製品

・振舞い検知タイプのウイルス対策ソフトの導入

が複数の企業から発表されてきている。・ただし、従来のウイルス対策ソフトを補完するものとして、防御機能、管理工数等十分な評価の上で設計利用検討の可能性がある。

4 スイッチ等でのVLANネットワーク分離設計

ルータ、スイッチによる必要なアクセス範囲に限定した、VLAN及びルーティング設定。特に管理系端末LANの分離設計

システムへの影響を最小化するため、攻撃時の影響範囲をネットワーク設計上分離できるようにする。・Conficker、Stuxnet事案等対処事例

・ネットワーク設計・ルータ、スイッチのVLAN特に、管理系端末LANの分離設計。、設定

5 最重要部のインターネット直接接続の分離設計

最重要部の通常サービス（http,ssl）に関する

インターネット直接接続を分離設計し、外部からの制御シーケンスの影響を回避する。

外部からの制御シーケンスは、http,ssl等の通常通信を多用する。USB等を介し、最重要部にウイルスが侵入した場合でも、インターネットを介した環境等攻撃分析情報の搾取、攻撃ウイルス更新、攻撃指示の影響を回避する。

・ネットワーク設計


6 システム内P2P通信の遮断と検知 VLAN設定において、P2P通信の到達範囲を限定する。

外部のダウンロードサーバからアップデートされるウイルスは、外部接続可能なP2P用に仕立てた内部PCを経由して、内部システムに存在するウイルスの一斉バージョンアップやリモートコントロールを行う。

・ネットワーク設計

「脅威と対策研究会」の紹介


「脅威と対策研究会」関連の活動予定

2011.2月25日(本日）

2011.3月末予定

IPA重要インフラとスマートグリッドの情報セキュリティシンポジウム２０１１

IPA「2011年版１０大脅威」公開予定～「新しいタイプの攻撃」に関しての記載を含む

2011.5月予定

「IPAテクニカルウオッチ」と「SI等向けシステム設計対策ガイドテクカウオッチ」と S 等向けシテ設計対策ガド(仮称)」公開予定～「新しいタイプの攻撃」に関する第２弾を予定

・組織への影響（ミッションインパクト）を軸足にした、日本環境向けの日本流の分析・サイバー攻撃手法変化の追跡と脅威の再定義・新しいタイプの攻撃に対応可能なシステム設計管理対策の検討新しいタイプの攻撃に対応可能なシステム設計管理対策の検討

（対策技術の検証による実効策の検討）


本日の内容






スマートグリッド関連ソフトウエアの脆弱性対策１－２

トグリッド関連ソフトウアの脆弱性対策脆弱性を作りこまないことが重要。ポテンシャル脆弱性(脆弱性となる可能性）タイプ一覧CWEの活用を提案。共通脆弱性タイプ一覧CWE（Common Weakness Enumeration）

NISTIR 7628Guidelines for Smart Grid Cyber Security:Vol.3, Supportive Analyses and ReferencesCHAPTER Six Vulnerability Classes

NISTIR 7628ではCWEとの紐づけが進んでいる。NISTIR 7628がカバーしているCWE件数： 212件（ 2010.12.13 CWE v1.11の総数は835件）

CHAPTER SIX VULNERABILITY CLASSES6.1 INTRODUCTION6.2 PEOPLE, POLICY & PROCEDURE6.3 PLATFORM SOFTWARE/FIRMWARE VULNERABILITIES6.3.1 Software Development6 3 1 1 Code Quality Vulnerability (CWE-398)

CHAPTER Six Vulnerability Classes

6.3.1.1 Code Quality Vulnerability (CWE 398)6.3.1.2 Authentication Vulnerability (CWE-287)6.3.1.3 Authorization Vulnerability (CWE-284)6.3.1.4 Cryptographic Vulnerability (CWE-310)6.3.1.5 Environmental Vulnerability (CWE-2)6.3.1.6 Error Handling Vulnerability (CWE-703)6.3.1.7 General Logic Error (CWE-691)6 3 1 8 Business logic Vulnerability

人、ポリシーや手順に加え、ソフトウエアやファームウエアのポテンシャル脆弱性(脆弱性となる 6.3.1.8 Business logic Vulnerability

6.3.1.9 Input and Output Validation (CWE-20 AND CWE-116)6.3.1.10 Logging and Auditing Vulnerability (CWE-778 and CWE-779)6.3.1.11 Password Management Vulnerability (CWE-255)6.3.1.12 Path Vulnerability (CWE-21)6.3.1.13 Protocol Errors (CWE-254, CWE-573, CWE-668)6.3.1.14 Range and Type Error Vulnerability (CWE-118, CWE-136)6.3.1.15 Sensitive Data Protection Vulnerability (CWE-199)

ポテンシャル脆弱性(脆弱性となる可能性）、ハードウエアプラットフォームやネットワクの脆弱性 6.3.1.15 Sensitive Data Protection Vulnerability (CWE 199)

6.3.1.16 Session Management Vulnerability (CWE-718)6.3.1.17 Concurrency, Synchronization and Timing Vulnerability (CWE-361)6.3.1.18 Insufficient Safeguards for Mobile Code (CWE-490)6.3.1.19 Buffer Overflow (CWE-119, CWE-120)6.3.1.20 Mishandling of Undefined, Poorly Defined, or “Illegal” Conditions (CWE-388, CWE-20)6.3.1.21 Use of Insecure Protocols (CWE-720)6.3.1.22 Weaknesses that Affect Files and Directories CWE-632)

トワークの脆弱性についての考慮項目が列記されている。


6.3.1.22 Weaknesses that Affect Files and Directories CWE 632)6.3.1.24 Use of Dangerous API (CWE-242, CWE-676)6.4 PLATFORM VULNERABILITIES6.5 NETWORK

CWEとはみんなで使う脆弱性の分類

• 英名:Common Weakness Enumeration

• 和名:共通脆弱性タイプ一覧

• CWEは「みんなで使う脆弱性の分類」CWEは「みんなで使う脆弱性の分類」– ツリー構造により、脆弱性毎の関連が分かるようになっている

– 脆弱性の分類にIDを付けて一意に識別している• 「クロスサイト・スクリプティング」と言われるものの分類

どれが一緒で、どう対策が違う？– reflected型

– non-persistent型p

– persistent型

– stored型

– DOM Based

– UTF-7型

文字コード型– 文字コード型

– 脆弱性の原因や対策等が書かれている

– 米国の非営利組織であるMITRE社が中心となり仕様策定が行われている


・2/14-18 に San Francisco で開かれた RSA Conference 2011 では、NSAブースでMITRE が CWE/Making Security Measurable ブースを出展。

CWEとは CWEの概要（１）

• CWEの構造構造

– ビューでは、脆弱性の関連が分かるよう、IDをツリー構造にしている(一部はツリー構造とせず、リストのみを提供しているビューもある)


ツリー構造例（JVN iPediaが使用する脆弱性タイプに関連するツリー）

ツリー構造例（一部）http://cwe.mitre.org/data/graphs/699.html

CWEとは CWEの概要（2）

• CWEの構造

– それぞれのIDに書かれていること解説被害の緩和策

脆弱なコード例

脆弱性の発生時期


※全てのIDで、これら全部書かれているわけではない

CWEの活用方法開発者の場合

• 脆弱性対策の指標(チェックリスト)に

開発者の場合

• 脆弱性対策の指標(チェックリスト)に

– 自分のプロジェクトにおいて、コーディングする際に、知っている必要があるものを体系立てるための判断材料にすている必要があるものを体系立てるための判断材料にすることができる。

• 脆弱性の教育・理解に脆弱性の教育理解に

– 脆弱性の教育や理解の際、CWEという体系に基づいた勉強ができる。強ができる。

• セキュリティ要件の明確化(受発注時の要件)

セキュリティ要件としてのサポト範囲の明確化– セキュリティ要件としてのサポート範囲の明確化• 契約のポイントとなる！

参考共通脆弱性タイプ覧CWE概説


参考：共通脆弱性タイプ一覧CWE概説http://www.ipa.go.jp/security/vuln/CWE.html

本日の内容






２．サービス事業者向けのセキュリティ米国ではGoogle、IBM、SAP等が参入

電力事業者サービス系消費電力管理

サービス等



電力情報系指令コントロール

SCADAシステム

制御用DB

双方向の

スマートハウス発電・送電・配電発電・送電・配電発電・送電・配電


発電送電配電



電力制御系

双方向の

電力の流れ



課題とIPAの取組み

①競争によるイノベーション（技術革新）と新しいサビス事業の創出新しいサービス事業の創出

電力等使用情報や機器利用情報

カーメーカ等のバッテリー管理

電力使用情報や家庭内情報

②IPAのクラウドコンピューティング

電力等使用情報機器利用情報の活用に対して考慮要。

スマートメータ②IPAのクラウドコンピュティングやASP等への取り組み「クラウド・コンピューティング社会の基盤に関する研究会」報告書

本報告書の主な内容は以下のとおりです

http://www.ipa.go.jp/about/research/2009cloud/pdf/100924_cloud.pdf

本報告書の主な内容は、以下のとおりです。1．クラウドとは何か（クラウドの定義、本質など）2．クラウドの成り立ちと現状について（欧米各国と日本における展開、技術の解説）3．クラウドの利用形態や産業・社会への浸透の具体的なイメージ（クラウド導入に関するユザ別のメリットデメリットなど）るユーザ別のメリット・デメリットなど）4．クラウドの導入事例とユーザ側の意識・懸念材料（日本における具体的なクラウド導入事例、アンケート調査や中小企業の聞取り調査からみたクラウドの優位性と懸念材料など）5 ユザなどの各主体が重視すべきポイント（クラウドユザクラウドベンダ公的


5．ユーザなどの各主体が重視すべきポイント（クラウドユーザ、クラウドベンダー、公的機関別の整理）6．今後のクラウドの進展に伴う検討課題（環境整備、セキュリティ、OSS、人材育成）

本日の内容






３．需用家（家庭）向けのセキュリティ

事サービス事業者

電力事業者


電力情報系


サビス事業者

指令コントロール

SCADAシステム

制御用DB データベースコントロールシステムDB


スマートハウス発電・送電・配電



電力制御系

情報流れ

基本は家庭

双方向の

電力制御系電力制御系電力制御系基本は家庭

双方向の

電力の流れ


オフスビル


オフィス、ビル、工場、コミュニティへ

スマートハウスは複雑、多様な構成

太陽光発電

スマートハウス３つに分類①ネットワーク接続機器太陽光発電

（PV）

情報家電蓄電池

①ネットワク接続機器②管理・制御システム③スマート機器

情報家電（HE）

サービスゲートウェイ

蓄電池

白物家電

ルータ等




ゲーム機

白物家電スマート家電


電力情報系料金等基本データベース


電力情報系

電気自動車家庭用PC発電・送電・配電




電力制御系

家庭における制御システム

電気自動車（EV）

家庭エネルギー管理シム

スマートメータ

接続の有無は事業

電力制御系電力制御系電力制御系電力制御系


管理システム（HEMS）

接続の有無は事業形態により異なる

安全なスマートハウス実現に向けての課題「スマートメーター制度検討会」の体制と検討課題スマトメタ制度検討会」の体制と検討課題平成22年5月17日経済産業省資源エネルギー庁公表「次世代送配電システム制度検討会」及び「スマートメーター制度検討会」の設置についてからの抜粋

htt // ti j / itt / t i l 2/d l dfil / 100526 07j df

検討体制次世代エネルギー・社会システム協議会の下に、「次世代送配電システム制度検討

http://www.meti.go.jp/committee/materials2/downloadfiles/g100526a07j.pdf

会（座長：金本良嗣東京大学大学院経済学研究科教授）」を設置するとともに、新たに「スマートメーター制度検討会（座長：林泰弘早稲田大学大学院先進理工学研究科教授）」を設置。

「スマートメーター制度検討会」については、「次世代送配電システム制度検討会」と密接に連携しつつ、トタ制度検討会」ては、次世代送配電シテ制度検討会」と密接連携し、

ガス事業者や電子・電機業界、通信事業者等も参加する形でスマートメーターに関する幅広い論点について検討します。

検討課題：スマートメーターに関する制度的課題等の検討①スマートメーター及びこれと連携したエネルギー・マネジメント・システムの果たす機能の整理②①の機能の実現に向けた制度的・技術的課題の整理（データの提供の在り方等）

ストメタ制度検討会 htt // ti j / itt /k k k i/k 9 ht l

②①の機能の実現向けた制度的技術的課題の整理（デタの提供の在り方等）③スマートメーターの普及に向けたステップ等


スマートメーター制度検討会 http://www.meti.go.jp/committee/kenkyukai/k_9.html平成22年5月26日第1回から平成23年2月3日第9回が実施済。

安全なスマートハウス実現に向けての課題「スマートメーター制度検討会」のまとめ(一部)スマトメタ制度検討会」のまとめ( 部)

38Copyright © 2011, IPA all right reserved.http://www.meti.go.jp/committee/summary/0004668/009_s01_00.pdf

安全なスマートハウス実現に向けての課題スマートメーターとエネルギーマネジメントシステムの連携

「期待される機能

スマトメタとエネルギマネジメントシステムの連携

「スマートメーター制度検討会」より

「期待される機能」①業務効率化のための遠隔検針開閉・監視②需要家による省エネ・省CO2のためのデータ活用(見える化、経済的インセンティブ）③系統安定化のための需要家側の機器の制御(太陽光発電、電気自動車）

「その際の検討課題」検」課題１：計量の正確性を確保しつつ、計量器のイノベーションを推進し、コストを低減課題２：需要家へのデータ提供と、その際のセキュリティ、プライバシーの確保

(そのためのルール策定等）課題３：メーターとHEMS(BEMS)を連携させるための標準化課題４：経済的インセンティブによるデマンド・サイド・マネジメントを通じた

省エネ、負荷平準化の推進ギ給情活様産業創課題５：エネルギー需給情報を活用した様々なサービスを新産業として創出

(そのための標準化等）＊スマートコミュニティ・アライアンスで検討課題６：太陽光発電や電気自動車等の需給制御

＊次世代送配電システム制度検討会と連携


＊次世代送配電システム制度検討会と連携課題７：各機能の基盤として備えるべき性能とコストのバランスを踏まえた上での普及

安全なスマートハウス実現に向けての課題IPAの調査から

１．スマートハウス内の各組込機器の相互運用性と信頼性の確保に加え、双方向のネットワーク接続拡大とソフトウエア化によりセキュリティへの

IPAの調査から

双方向のネットワク接続拡大とソフトウエア化により、セキュリティへの対応が必須となってきている。２．電力事業者やサービス提供者との接続に使用され、信頼できる課金

（ )情報等の取り扱い（AMI： Advanced Metering Infrastructure)を実現するスマートメータ/スマートゲートウエイや停止が許されないHEMSコントローラは、セキュリティ対策が必須となっている。ロラは、セキュリティ対策が必須となっている。３．組込機器開発者は、セキュリティ対策に対する意識が遅れている。４．ハード不良やソフトバグに加え、人命・財産に影響を及ぼす組込機器に対しては攻撃者によるセキリテのリスクも考慮が必要となてきたに対しては、攻撃者によるセキュリティのリスクも考慮が必要となってきた。５．スマートグリッドのインフラをアジアやアフリカ等に展開時、セキュリティを組み込んだシステム提供が必要になりつつある。NIST 7628のスマートを組み込んだシステム提供が必要になりつつある。NIST 7628のスマトグリッドサイバーセキュリティへの先行した取組み検討要。（６．スマートグリッドと関係する電気自動車のセキュリティ課題の整理。）


JVNiPediaで200７年まで49件、2008年分は51件、2009年分は52件、2010年分は21件、合計１７３件の組込みシステムに関する脆弱性対策情報を公開(2011分は含まず)

安全なスマートハウス実現に向けての課題需要家の視点からIPAで整理

需要家による省エネ・省CO2のための多様なデータ活用(見える化、経済的インセンティブ）の実現

需要家の視点からIPAで整理

(見化、経済）実現

課題２拡大：需要家、電力事業者、サービス事業者間での多様なデータ取り扱

いと、その際のセキュリティ、プライバシーの確保(そのためのルール策定等）


サービス系消費電力管理サービス等サービス

ゲートウェイ

太陽光発電（PV）家庭にお

ける制御家庭における制御



電力情報系

情報家電（HE）

蓄電池蓄電池

白物家電スマート家電

ルータ等

ける制御システム

家庭エネルギーコントロール

システム

ける制御システム

家庭エネルギーコントロール

システム

発電・送電・配電



電力制御系スマートメータスマートメータ

電気自動車家庭用PC

ゲーム機

システム（HEMS）システム（HEMS）

電気自動車（EV）

課題４拡大：経済的インセンティブによる省エネ

課題３拡大： HEMS、メーター、家庭内各種機器を連携させるための標準化

課題４拡大：経済的インセンティブによる省エネ、負荷平準化の推進

スマートハウスのセキュリティ確保に向けた取組みIPAの取り組み

太陽光発電

スマートハウスIPAの取組み

（公開ツル等）①

取り組み

太陽光発電（PV）

情報家電サービス

①組込みシステムのセキュリテの取組みガイド

（公開ツール等）①

②④⑥

（HE）サービス

ゲートウェイ

白物家電

ルータ等

ティへの取組みガイド②デジタルテレビにおけるセキュリティ対策検討ガイド

②白物家電

スマート家電（2011.2公開）③ HAN（Home Area Network)のIP（IPv6）の検証ツール ⑤③

電気自動車（EV）家庭用PC

スマートメータ

（）検証④脆弱性を作り込まない開発の教育強化学習ツールAppGoat(2011 1公開） HAN

⑤③

家庭における制御システム家庭エネルギー

コントロールシステム

AppGoat(2011.1公開）⑤自動車セキュリティ報告書（2011上期予定）⑥グローバルな展開への対応


（HEMS）⑥グローバルな展開への対応（ガイド等の英文化提供）

バランスが大切な世界へ

サビス事業者サビス事業者

クローズド仕様の世界オープン仕様の世界


電力情報系

サービス系消費電力管理サビス等

サービス事業者サービス系消費電力管理

サービス等









サービス等

信頼性・可用性電力制御系

スマートコミュニティ

信頼性・可用性の違い

スピードの違い







電力情報系









電力制御系


①⑥組込みシステムのセキュリティへの取組みガイドhttp://www.ipa.go.jp/security/fy22/reports/emb_app2010/

16の具体的なチェック項目と4つのレベル「マネジメント」、「企画」、「開発」、「運用」、「廃棄」の全てのフェーズを網羅各フェーズからセキュリティのために重要な計16項目を選定し、項目ごとに4つのレベルを策定。

本書の活用法

• 自組織の把握

項目ごとのレベルが覧できる付録チク表

組織把握

• 上位を目指す

• よりセキュアな製品

項目ごとのレベルが一覧できる付録チェック表（「マネジメント」「企画」フェーズのみ抜粋）


②(⑥)情報家電におけるセキュリティ対策検討報告書http://www.ipa.go.jp/security/fy22/reports/electronic/index.htmlg j y y

商品化が先行しているデジタルテレビを対象に、「セキュリティ基準」策定

デジタルテレビに対するセキュリティ対策検討ガイド： 2011年2月1日公開

商品化が先行しているデジタルテレビを対象に、セキリティ基準」策定のベースとなる対策検討ガイドを提示。デジタルテレビにおけるネットワーク接続を含む情報利用機能（7機能）、それらの機能の利用で想定されるセキュリティ上の脅威（16脅威）、脅威群に対するセキュリティ対策（15対策）を明確化し、脅威群に対するキリティ対策（対策）を明確化し、全体の相関関係（マトリックス）の一覧と解説をまとめている。＜活用方法＞デジタルテレビ製品の企画・設計時において、家電メーカーがどのようなセキュリティ対策機能を実装する必要があるかを検討するテンプレートとキリティ対策機能を実装する必要あるを検討するテンして、また、既存製品において、どのようなセキュリティ対策が実装されているかのチェックリストとして、利用することが可能です。


③TCP/IPに係る既知の脆弱性検証ツールhttp://www.ipa.go.jp/security/vuln/vuln_TCPIP_Check.html

TCP/IPに係る脆弱性を検証C / に係る脆弱性を検証TCP/IPに係る既知の脆弱性に関する調査報告書を公開

TCP/IP利用機器に対して自動的に検証TCP/IP利用機器に対して自動的に検証を実行し、脆弱性の有無について簡易判定が可能

調査報告書に記載されている30項目のうち、IPv4で19項目、IPv6環境で14項目の脆弱性をツールにて検証可能目の脆弱性をツルにて検証可能

調査報告書を参照することにより、脆弱性の有無をより正確に判断可能

貸出数貸出開始からの累計で、約120件の貸出実績

IPA 人気ツール

次のメールアドレスに、メールで申し込み

詳く次ウブを確認くださ IPA 人気ツール

46

詳しくは、次のウェブサイトを確認してくださいhttp://www.ipa.go.jp/security/vuln/vuln_TCPIP_Check.html

Copyright © 2011, IPA all right reserved.


利用イメージ「TCP/IPに係る既知の脆弱性検証ツール」を用いて、脆弱性の有無について簡易判定する

利用ジ

製品開発者 TCP/IPスタックを実装した製品

「TCP/IP に係る既知の脆弱性に関する「TCP/IP に係る既知の脆弱性に関する調査報告書」を確認することで、脆弱性の有無をより正確に判断する



新 v5.0 の目玉機能IPv6に関する脆弱性検証機能を強化

IPv6に対応した製品は増加る日々増加している

(参考) IPv6普及度調査について(Ready Logo Phase2の国別登録機器数)財団法人インターネット協会財団法人インターネット協会

http://www.soumu.go.jp/main_content/000011904.pdf


③SIPに係る既知の脆弱性検証ツールhttp://www.ipa.go.jp/security/vuln/vuln_SIP_Check.html

SIPに係る脆弱性を検査。S に係る脆弱性を検査。SIPに係る既知の脆弱性に関する調査報告書を公開

SIPを実装したソフトウアに対して検証SIPを実装したソフトウェアに対して検証を実行し、脆弱性の有無について簡易判定が可能

調査報告書に記載されている22項目のうち、11項目（265シナリオ）の脆弱性検査が可能査が可能

調査報告書を参照することで、脆弱性の内容と対策方法

貸出数貸出開始からの累計で、約30件の貸出実績

専門家に好評なツール

次のメールアドレスに、メールで申し込み

詳しくは、次のウェブサイトを確認してくださいhttp://www ipa go jp/security/vuln/vuln SIP Check html 専門家に好評なツル

49

http://www.ipa.go.jp/security/vuln/vuln_SIP_Check.html


④『脆弱性体験学習ツール AppGoat』http://www.ipa.go.jp/security/vuln/appgoat/index.htmlhttp://www.ipa.go.jp/security/vuln/appgoat/index.html

■概要

ウェブサイト運営者やソフトウェア製品の開発者が脆弱性対策の必要性及び対策手法ウェブサイト運営者やソフトウェア製品の開発者が脆弱性対策の必要性及び対策手法等を演習環境で体験的かつ実践的に学ぶツール「脆弱性体験学習ツール」を2011年1月27日に公開しました。

■ツルの概要

利用者はウェブ画面上で演習と学習教材を通して学習を進める。

■ツールの概要

脆弱性学習

ダウンロード

①脆弱性の解説学習教材

②脆弱性の発見演習環境

AppGoat

ウェブサイト運営者IPA ウェブサイト

脆弱性学習

ウェブアプリケーション演習環境 ③対策方法解説

④プログラム修正

学習教材

演習環境

ソフトウェア製品開発者

脆弱性学習

ソフトウェア製品用演習環境

提供機能

④プログラム修正

⑤検証手法確認

演習環境

演習環境

ウェブアプリケーション演習環境– 演習用に準備された故意に脆弱性を持たせた擬似的なウェブサイト

ソフトウェア製品用演習環境– 演習用に準備された故意に脆弱性を持たせた、擬似的なサーバ及びデスクトップアプリケーション等の集合

学教 50学習教材– 利用者の演習の補助や理解・知識を深めるための教材


④『脆弱性体験学習ツール AppGoat』http://www.ipa.go.jp/security/vuln/appgoat/index.html

■開発の背景

近年、ウェブサイトや国産のソフトウェア製品の脆弱性を突いた攻撃や被害が多数報告されている。

http://www.ipa.go.jp/security/vuln/appgoat/index.html

近年、ウェブサイトや国産のソフトウェア製品の脆弱性を突いた攻撃や被害が多数報告されている。しかし、既に公表されている脆弱性（既知の脆弱性）の対策が実装されていないケースや、脆弱性が「再発」するケースが少なくない。脆弱性対策の習得には、学習者自らが演習しながら学ぶのが効果的であるが、国内では演習環境が整備されていないこともあり、脆弱性対策・検証技術を習得する場が少ない。されていないこともあり、脆弱性対策検証技術を習得する場が少ない。海外ではウェブアプリケーション環境に限り、演習形式で学習できるツールが整備・提供されているが、英語表示である為、学習のハードルが高くなってしまう。

セキア開発の促進

セキュアな「設計」「実装」「検証手法」を一連の演習を通して学習できるツールの開発・提供

■期待する効果セキュア開発の促進

– ソフトウェア開発者が本ツールを通して「設計」「実装」「検証手法」を学習できることで、セキュア開発の促進を期待。

セキュリティ検査の周知・促進ダ– 本ツールで脆弱性検証手法を学習できることで、製品ベンダーが出荷前のセキュリティ検査の

促進を期待。

ウェブサイト運営者への啓発– セキュリティ意識の低いウェブサイト運営者が本ツールで学習することで、脆弱性により引き起

される被害を実体験き対策促進を期待 51

51

こされる被害を実体験でき、対策促進を期待。



ステップ１：学習したいテーマを選択しますステップ2：脆弱性の原理について学習します


学習テーマ一覧学習テマ覧

28の学習テマを用意脆弱性原理図分かりやすく解説

特徴特徴特徴特徴

52

52

28の学習テーマを用意。利用者が学習したいテーマを任意に選択できます。

脆弱性の原理について図で分かりやすく解説。



ステップ3：実際に脆弱性を発見してみます


課題の提示課題の提示

課題の出題

ヒントを参考にしながら進めます。ます。

特徴特徴

53

ナビゲーションに従い、演習環境に埋め込まれた脆弱性を発見してみましょう初級者はヒントを参照しながら、演習することで理解を深めることができます



ステップ4：脆弱性による影響を実機確認してみましょう


マシン上で脆弱性を突いた攻撃が実行される様子を目視確認できます。解説と併せて確認することで脆弱性の

特徴特徴

解説と併せて確認することで、脆弱性の原理をより具体的に理解できます。

マシン上で脆弱性が発生する内容を確認します内容を確認します。



ステップ5：対策方法を学習しますステップ6：脆弱性を修正してみましょう


対策方法の解説

対策例を紹介対策例を紹介(一部テーマ)

一般的な対策方法を図示して解説。演習用のソースコードを利用者が修正することで、特徴特徴特徴特徴

55

ソースコードレベルでの対策例を示すことで、より具体的な対策に結びつけられる。

脆弱性対策方法を実機上で学習できる。


まとめ

・「新しいタイプの脅威」には、制御系と情報系の両輪での脅威の認識とシステム・ネットワーク設計からの対策が必要ム・ネットワーク設計からの対策が必要。・脆弱性対策検討に、共通脆弱性一覧CWEを考慮して体系的な対応が参考。・スマートメーターやHEMS等、課金情報・家庭情報等重要データを取り扱う機器のセキリテ対策に企画設計時から取り組むのセキュリティ対策に企画・設計時から取り組む。・スマートホーム関連でのマルチベンダ環境での家庭内機器の相互運用性確保とセキュリティ確保に企画・設計時から取り組む。グ・グローバル展開を意識したセキュリティ対応の推進が必要。

安全安心できる生活や社会インフラの実現を推進するため、IPAはガイドやツール等を提供していきます。活用をよろしくお願いします。ガイドやツル等を提供していきます。活用をよろしくお願いします。

「2010年度制御システムの情報セキュリティ動向に関する調査事業」報告書公開2011年上期中頃目標


2011年上期中頃目標

Documents