Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
© 2016 IPA Software Reliability Enhancement Center
ET/IoT2016 ブースプレゼン
2016年11月17・18日
独立行政法人情報処理推進機構(IPA)
技術本部 ソフトウェア高信頼化センター(SEC)
金子 朋子
セキュリティ・バイ・デザイン入門~看板倒れでない設計段階のセキュリティ対策とは~
2© 2016 IPA Software Reliability Enhancement Center
セキュリティ・バイ・デザインの定義(NISC)
「情報セキュリティを企画・設計段階から確保するための方策」
企画・要件定義
設計 実装 検証・評価 保守・運用
”情報セキュリティ”でなく、”セキュリティ”とすればIoT製品やサービスにも適用できると考えられる。
3© 2016 IPA Software Reliability Enhancement Center
安全なIoT システムのためのセキュリティに関する一般的枠組
平成28年8月26日内閣府サイバーセキュリティセンター
1.目的IoT(Internet of Things)システムについては、モノが接続されることから、IT と物理的システムが融合したシステムとして捉える必要があり、同システムが提供するサービスには、従来の情報セキュリティの確保に加え、新たに安全確保が重要となる。また、将来、個々のシステムが相互に接続されることを見据え、システム相互間の接続が新たな脆弱性となる懸念があることを踏まえ、セキュリティ・バイ・デザイン(Security by Design)の思想で設計、構築、運用されることが不可欠
3. 基本原則IoT システムの設計・構築・運用に際しては、セキュリティを事前に考慮するセキュリティ・バイ・デザインを基本原則とし、これが確保されていることが当該システムの稼働前に確認・検証できる仕組みが求められる。
4© 2016 IPA Software Reliability Enhancement Center
設計 開発 テスト 運用
16.5
15
100
設計時のセキュリティ対策コストを1とすると
運用時のセキュリティ
対策コストは100倍
セキュリティ・バイ・デザインのメリット
開発の早い段階から入れ込むので、①手戻りが少なく納期を守れる②コストも少なくできる③保守性の良いソフトウェアができる
5© 2016 IPA Software Reliability Enhancement Center
なぜセキュリティ・バイ・デザインに取り組めない?
<セキュリティ・バイ・デザインが難しい理由>• セーフティ設計に比べ、セキュリティ設計の歴史が浅く、上流工程の開発プロセスが定まっていない。
• セキュリティが非機能要件なので、コンセプトを決める企画段階で考慮がされづらい。
そもそもセキュリティ設計をしていますか?
6© 2016 IPA Software Reliability Enhancement Center
セキュリティ設計の課題
「セーフティ設計・セキュリティ設計に関する実態調査結果」IPA/SEC 平成27年9月10日
N=56(←統計的な判断は不可)
セキュリティ設計の基本方針・設計ルールを明文化している組織は多くはない。
7© 2016 IPA Software Reliability Enhancement Center
セキュリティ設計の位置づけ
企画・要件定義
設計 実装 検証・評価ライフサイクル
方策• 点検リスト• 政府機関の情報セキュリティ対策のための統一基準
• プロセスガイド
• セキュアコーディング
• 脆弱性診断
保守・運用
• 組織対応• 攻撃情報共有・対策
• セキュリティ人材の育成
この段階でのセキュリティ配慮
• ライフサイクルにわたるセキュリティ確保策の中で、企画・設計段階で何が必要か?• 従来の方策だけでは不十分
従来の方策
• セキュリティ設計
8© 2016 IPA Software Reliability Enhancement Center
IoT機器等のセキュリティ・バイ・デザインのイメージ
• インターネット冷蔵庫の例で考えてみよう。
冷蔵庫(既存機能)
インターネット接続機能(追加設計)
セキュリティ実装(セキュアプログラミングなど)
セキュリティ評価(脆弱性検査など)
セーフティ設計
+
ソフトウェア開発
検証・評価
従来の
セキュリティ対応
(セキュリティ上の問題が発見された
場合、対応コスト大)
製品開発プロセス
(イラスト出展)illpop.com
9© 2016 IPA Software Reliability Enhancement Center
セーフティをまもれるセキュリティ
• セキュリティ・バイ・デザインの考え方はセキュリティだけのものではない。• セキュリティで脅かされるセーフティも守ることができる。
冷蔵庫(既存機能)
インターネット冷蔵庫機能の追加設計
セーフティ設計
+
ソフトウェア開発
検証・評価
セキュリティ設計すり合わせ
セキュリティ・バイ・デザイン
(利用情報や通信方法の見直しも早期に可能)
セキュリティ実装(セキュアプログラミングなど)
セキュリティ評価(脆弱性検査など)
(イラスト出展)illpop.com
10© 2016 IPA Software Reliability Enhancement Center
セーフティ設計とセキュリティ設計のすり合わせ
• 後付けや看板倒れではないセキュリティ設計をするには?• 早期の段階でセーフティ設計とセキュリティ設計のすり合わせすれば、手戻りが少ない。
11© 2016 IPA Software Reliability Enhancement Center
セキュリティ設計プロセス
セキュリティコンセプト
システムセキュリティ要件定義
システム設計
ソフトウェアセキュリティ要件定義
ソフトウェア設計
プログラミング
システムテスト
ソフトウェアセキュリティ妥当性確認
ソフトウェアテスト
運用テスト
運用・評価
脅威分析(セキュリティ要求分析)
12© 2016 IPA Software Reliability Enhancement Center
セキュリティ要求分析(脅威分析)プロセス
どのような脅威が想定されるかを洗い出し、各々の脅威に対して適切な対策方針を検討する。
1.分析範囲の決定
2.関係者の決定
3.保護すべき資産の抽出
4.前提条件の検討
5.脅威の洗い出し
6.対策方針の検討
端末管理者
外部利用者
端末
リポジトリ
CA
13© 2016 IPA Software Reliability Enhancement Center
セーフティ設計プロセス
セーフティコンセプト
システムセーフティ要件定義
システム設計
ソフトウェアセーフティ要件定義
ソフトウェア設計
プログラミング
システムテスト
ソフトウェアセーフティ妥当性確認
ソフトウェアテスト
運用テスト
運用・評価
ハザード分析
14© 2016 IPA Software Reliability Enhancement Center
セーフティとセキュリティの特徴の比較
相違点 セーフティ セキュリティ保護対象の違
い人命、財産(家屋等)など
情報の機密性、完全性、可用性など
原因の違い 合理的に予見可能な誤使用、機器の機能不全
意図した攻撃
被害検知の違い
事故として表れるため、検知しやすい
盗聴や侵入など、検知しにくい被害も多い
発生頻度 発生確率として扱うことができる
人の意図した攻撃のため確率的には扱えない
対策タイミング 設計時のリスク分析・対策で対応
時間経過により新たな攻撃手法が開発されるので、継続的な分析・対策が必要
15© 2016 IPA Software Reliability Enhancement Center
セーフティとセキュリティは両輪の輪!!
セーフティ
ハザード分析
セキュリティ
脅威分析
&
脅威
ハザード セキュリティ
設計セーフティ
設計
「見える化」による設計品質評価
双方が”設計品質を見える化”して持ち寄ってすり合わせ
16© 2016 IPA Software Reliability Enhancement Center
できてから突き合わせると…
セーフティ設計終わったから後はよろしく!
セーフティ設計担当 セキュリティ設計担当
何で無線使ってるの?
このデータ本当に必要?
もっと前に相談してよ!
XXX設計書
YYYデータをZZZから入手し…
…に無線で送る
17© 2016 IPA Software Reliability Enhancement Center
Thankyou
Danke