セキュリティ・バイ・デザイン入門 · セキュリティ設計の課題「セーフティ設計・セキュリティ設計に関する実態調査結果」 ipa/sec

© 2016 IPA Software Reliability Enhancement Center

ET/IoT2016 ブースプレゼン

2016年11月17・18日

独立行政法人情報処理推進機構（ＩＰＡ）

技術本部ソフトウェア高信頼化センター（ＳＥＣ）

金子朋子

セキュリティ・バイ・デザイン入門~看板倒れでない設計段階のセキュリティ対策とは~

2© 2016 IPA Software Reliability Enhancement Center

セキュリティ・バイ・デザインの定義(NISC)

「情報セキュリティを企画・設計段階から確保するための方策」

企画・要件定義

設計実装検証・評価保守・運用

”情報セキュリティ”でなく、”セキュリティ”とすればIoT製品やサービスにも適用できると考えられる。


安全なIoT システムのためのセキュリティに関する一般的枠組

平成28年8月26日内閣府サイバーセキュリティセンター

1.目的IoT(Internet of Things)システムについては、モノが接続されることから、IT と物理的システムが融合したシステムとして捉える必要があり、同システムが提供するサービスには、従来の情報セキュリティの確保に加え、新たに安全確保が重要となる。また、将来、個々のシステムが相互に接続されることを見据え、システム相互間の接続が新たな脆弱性となる懸念があることを踏まえ、セキュリティ・バイ・デザイン(Security by Design)の思想で設計、構築、運用されることが不可欠

3. 基本原則IoT システムの設計・構築・運用に際しては、セキュリティを事前に考慮するセキュリティ・バイ・デザインを基本原則とし、これが確保されていることが当該システムの稼働前に確認・検証できる仕組みが求められる。


設計開発テスト運用

16.5

15

100

設計時のセキュリティ対策コストを１とすると

運用時のセキュリティ

対策コストは100倍

セキュリティ・バイ・デザインのメリット

開発の早い段階から入れ込むので、①手戻りが少なく納期を守れる②コストも少なくできる③保守性の良いソフトウェアができる


なぜセキュリティ・バイ・デザインに取り組めない？

＜セキュリティ・バイ・デザインが難しい理由＞• セーフティ設計に比べ、セキュリティ設計の歴史が浅く、上流工程の開発プロセスが定まっていない。

• セキュリティが非機能要件なので、コンセプトを決める企画段階で考慮がされづらい。

そもそもセキュリティ設計をしていますか？


セキュリティ設計の課題

「セーフティ設計・セキュリティ設計に関する実態調査結果」IPA/SEC 平成27年9月１０日

N=56（←統計的な判断は不可）

セキュリティ設計の基本方針・設計ルールを明文化している組織は多くはない。


セキュリティ設計の位置づけ

企画・要件定義

設計実装検証・評価ライフサイクル

方策• 点検リスト• 政府機関の情報セキュリティ対策のための統一基準

• プロセスガイド

• セキュアコーディング

• 脆弱性診断

保守・運用

• 組織対応• 攻撃情報共有・対策

• セキュリティ人材の育成

この段階でのセキュリティ配慮

• ライフサイクルにわたるセキュリティ確保策の中で、企画・設計段階で何が必要か？• 従来の方策だけでは不十分

従来の方策

• セキュリティ設計


IoT機器等のセキュリティ・バイ・デザインのイメージ

• インターネット冷蔵庫の例で考えてみよう。

冷蔵庫（既存機能）

インターネット接続機能（追加設計）

セキュリティ実装（セキュアプログラミングなど）

セキュリティ評価（脆弱性検査など）

セーフティ設計

＋

ソフトウェア開発

検証・評価

従来の

セキュリティ対応

（セキュリティ上の問題が発見された

場合、対応コスト大）

製品開発プロセス

（イラスト出展）illpop.com


セーフティをまもれるセキュリティ

• セキュリティ・バイ・デザインの考え方はセキュリティだけのものではない。• セキュリティで脅かされるセーフティも守ることができる。

冷蔵庫（既存機能）

インターネット冷蔵庫機能の追加設計

セーフティ設計

＋

ソフトウェア開発

検証・評価

セキュリティ設計すり合わせ

セキュリティ・バイ・デザイン

（利用情報や通信方法の見直しも早期に可能）

セキュリティ実装（セキュアプログラミングなど）

セキュリティ評価（脆弱性検査など）

（イラスト出展）illpop.com


セーフティ設計とセキュリティ設計のすり合わせ

• 後付けや看板倒れではないセキュリティ設計をするには？• 早期の段階でセーフティ設計とセキュリティ設計のすり合わせすれば、手戻りが少ない。


セキュリティ設計プロセス

セキュリティコンセプト

システムセキュリティ要件定義

システム設計

ソフトウェアセキュリティ要件定義

ソフトウェア設計

プログラミング

システムテスト

ソフトウェアセキュリティ妥当性確認

ソフトウェアテスト

運用テスト

運用・評価

脅威分析（セキュリティ要求分析）


セキュリティ要求分析（脅威分析）プロセス

どのような脅威が想定されるかを洗い出し、各々の脅威に対して適切な対策方針を検討する。

1．分析範囲の決定

2．関係者の決定

3．保護すべき資産の抽出

4．前提条件の検討

5．脅威の洗い出し

6．対策方針の検討

端末管理者

外部利用者

端末

リポジトリ

CA


セーフティ設計プロセス

セーフティコンセプト

システムセーフティ要件定義

システム設計

ソフトウェアセーフティ要件定義

ソフトウェア設計

プログラミング

システムテスト

ソフトウェアセーフティ妥当性確認

ソフトウェアテスト

運用テスト

運用・評価

ハザード分析


セーフティとセキュリティの特徴の比較

相違点セーフティセキュリティ保護対象の違

い人命、財産（家屋等）など

情報の機密性、完全性、可用性など

原因の違い合理的に予見可能な誤使用、機器の機能不全

意図した攻撃

被害検知の違い

事故として表れるため、検知しやすい

盗聴や侵入など、検知しにくい被害も多い

発生頻度発生確率として扱うことができる

人の意図した攻撃のため確率的には扱えない

対策タイミング設計時のリスク分析・対策で対応

時間経過により新たな攻撃手法が開発されるので、継続的な分析・対策が必要


セーフティとセキュリティは両輪の輪!!

セーフティ

ハザード分析

セキュリティ

脅威分析

＆

脅威

ハザードセキュリティ

設計セーフティ

設計

「見える化」による設計品質評価

双方が”設計品質を見える化”して持ち寄ってすり合わせ


できてから突き合わせると…

セーフティ設計終わったから後はよろしく！

セーフティ設計担当セキュリティ設計担当

何で無線使ってるの？

このデータ本当に必要？

もっと前に相談してよ！

XXX設計書

YYYデータをZZZから入手し…

…に無線で送る


Ｔｈａｎｋｙｏｕ

Ｄａｎｋｅ

Documents

セキュリティ・バイ・デザイン入門 · セキュリティ設計の課題 「セーフティ設計・セキュリティ設計に関 する実態調査結果」 ipa/sec

セキュリティ・バイ・デザイン入門 · セキュリティ設計の課題「セーフティ設計・セキュリティ設計に関する実態調査結果」 ipa/sec