2021年12月に実施された(ISC)2 Secure Japan 2021での講演「自動車のサイバーセキュリティアプローチ」に利用したスライドです

1. 0
⾃動⾞の
サイバーセキュリティアプローチ

2. 1
講演者紹介
寺村 亮⼀
株式会社イエラエセキュリティ
執⾏役員
⾼度解析部 部⻑
CISSP, GXPN, 博⼠（⼯学）
主な業務
・IoTセキュリティ
・クラウド / スマートフォン
ゲーム / 暗号 など
主な研究発表
・”Realistic trends in vulnerability based on hacking
into vehicle.”
Car Hacking Village, DEFCON 28, 2020
委員会活動
・CRYPTREC 暗号活⽤委員会委員（2015〜)
Twitter
@trmr105

3. 2
⾃動⾞業界の取組み
⾃動⾞のコネクテッド化
・サイバー攻撃の標的としての⾃動⾞
・新しいアタックサーフェイス
昔の⾃動⾞セキュリティ
・ポート全開のPCを3G網でインターネットにつないだ状態
・3G/Wi-Fi/Bluetoothのレイヤー2セキュリティ頼み
・Blackhat USA 2015
⾃動⾞業界の取組み
・2つの認証制度の導⼊
・CSMS（サイバーセキュリティマネジメントシステム）プロセス認証
・⾞両型式認証
・国連法規で制定
・各国（EU/⽇本等の1958年協定）の国内法へ反映
・道路運送⾞両法に関連する法令の⼀部を改正（⽇本）
分野 名称 発⾏年
⾃動⾞ ISO / SAE 21434 Road vehicles — Cybersecurity engineering 2021
⾃動⾞ UN-R 155 - Uniform provisions concerning the approval of vehicles with regards to cyber
security and cyber security management system
2021
⾃動⾞ UN-R 156 - Uniform provisions concerning the approval of vehicles with regards to software
update and software updates management system
2021

4. 3
2つの認証制度
CSMSプロセス認証
・⾞両OEMに対する認証制度
・継続的に脅威を管理できるプロセスを持っているかを評価し認証
・⾞両型式認証審査を⾏うためにはCSMSプロセス認証の取得が必要
・実装すべきプロセス例
・⾞両型式のリスクを特定するプロセス
・特定したリスクを評価するプロセス
・特定したリスクを管理するプロセス
・セキュリティのテストをするプロセス
・リスク評価を最新に保つプロセス
・⾞両型式に対する攻撃を検知するプロセス
・攻撃の分析を⽀援するプロセス
⾞両型式認証
・⾞両型式に対する認証
・基本的には上記プロセスを⾞両型式に対して適⽤したことを⽰す
・リスク評価をサプライチェーンを通じ実施し対策した⽂書
・テストの実施内容とその結果の⽂書

5. 4
⾞両サイバーセキュリティ概観
要件策定
設計
実装
単体
テスト
システム
テスト
廃棄
設計開発
運⽤管理
リスクを特定・評価し、セキュリ
ティコンセプト（要件）を策定
・TARA
様々なアプリ・OS・ミド
ル・HWサプライヤにセキュ
リティ対策要件を提⽰
・セキュリティ設計
・セキュアコーディング
・HWセキュリティ
セキュリティのテストを実施し、
その結果を要求
・脆弱性テスト
・ECUペネトレーションテスト
⾞両に対する攻撃を検知し、
対応を実施
・フィールド監視（V-SOC）
・インシデント対応
・脆弱性管理
・OTAアップデート
要件策定
設計
実装
単体
テスト
システム
テスト
エビデンス検証・セキュリティ
テストを実施し、リスクが⼗分
に対策できていることを確認
・エビデンス検証
・⾞両ペネトレーションテスト
⼯場のセキュリティ対策を実施
廃⾞時まで、⾞両のライフ
タイム中のサイバーセキュ
リティを提供
脆弱性が発⾒された場合、
その評価および管理を実施
PSIRT
TARA ペネトレーションテスト

6. 5
⾃動⾞のサイバーセキュリティアプローチ
認証制度の導⼊
法的強制⼒を伴った認証制度の導⼊
内容は技術的な対策だけでなく、プロセスの実装や説明責任まで踏み込む
必要なセキュリティ対策
TARA
・脅威分析・リスク評価を実施し、リスク対策のコンセプトを策定
ペネトレーションテスト
・⾞両・ECUに対し、セキュリティテストを実施
PSIRT
・運⽤されている⾞両に対するインシデント検知・対応
サプライチェーン管理
・サプライヤも含めて対応できていることを⽰す必要あり
その他
・さまざまなセキュリティ技術の開発など

7. 6
TARA

8. 7
TARAの実施イメージ
アイテム
個⼈情報
機密情報
資産
定義
ファームウェ
ア抽出
通信路盗聴
脅威
特定
デバッグ
ポートロック
TLSの利⽤
リスク
評価
守るべき資産 想定すべき脅威 セキュリティ対策案
TARA: Threat Analysis and Risk Assessment (脅威分析およびリスク評価）
想定すべき脅威を洗い出し、リスクを評価し、セキュリティ要件を策定
TARAの進め⽅（⼀例）
1. 資産定義︓損失した際にダメージが発⽣するアイテムを資産として定義
2. 脅威シナリオ特定︓ダメージが発⽣するような脅威シナリオの洗い出し
3. 影響評価︓SFOP（Safety, Financial, Operational, Privacy)の観点から点数づけ
4. アタックパス分析︓脅威シナリオを実現するアタックパスを分析
5. 攻撃容易性評価︓アタックパスの容易性をもとに点数付け
6. リスク値の決定︓ダメージシナリオの影響とアタックパスの容易性からリスク値を決定
7. リスク対応の決定︓リスクの緩和・受容・回避・転嫁を決定
8. セキュリティコンセプト︓リスク対応に基づくセキュリティ対策を決定
中
⾼
リスクレベル
※ CALの場合も
対策
策定
OEM サプライヤ
脅威モデリング
対策要件
想定脅威
I got it!
ISO / SAE 21434
15章およびAnnex

9. 8
TARAの⼀例
⾊々な進め⽅があるため、本⼿法が必ずしも正しいわけではありません。
組織として、どのような脅威を想定し、どう考え、どう対応したか、証拠を残す
ことが重要です。
ECU
ECU
ECU
ECU
対象 資産 脅威シナリオ 影響値 アタックパス 攻撃容易性 リスク値 リスク対応
Targeted
ECU
○ CANメッセージ
の改ざんによる
誤動作
High CAN通信路にお
ける改ざん
Low CAL2 緩和
ECUなりすまし
による改ざん
どこを境界とするか
アタックサーフェイスはどう定義するか
脅威シナリオはどこまでを想定すべきか
→ UN-R 155は最低限参考に
影響値の基準はどう考えるべきか
→ ISO / SAE 21434 Annexは最低限参考に
アタックパスはどこまで想定すべきか
攻撃容易性の基準はどう考えるべきか
→ ISO / SAE 21434 Annexは最低限参考に
リスク値の基準はどう考えるべきか
→ CALを使っても良い
リスク対応の基準はどう考えるべきか
Cybersecurity goal
&
Cybersecurity
concept

10. 9
TARAを実施するメリット
対応する or しない（できない）リスクの明確化
・（セキュリティに限らず）すべてのリスクに対応することはできない
・対応すべきと判断したリスクに適切に対応することが必要
・対応しないと判断したリスクを把握することが望ましい
実施すべきセキュリティ対策の明確化（理由化）
・セキュリティリスクに対応した対策や技術を導⼊
セキュリティ事故発⽣時の原因の明確化
・セキュリティ事故が発⽣した際の責任所在
・セキュリティ事故の原因により対策は異なる
・脅威として想定していなかった
・脅威として想定したがリスク低と判断し受容した
・⾼リスクと判断し対応しているはずが対応できていなかった

11. 10
ECUペネトレーション
テスト

12. 11
⾃動⾞に対するセキュリティテスト
ISO/SEA 21434の記述
- Functional testing
- セキュリティ機能が適切に実装されていることを検証
- Vulnerability scanning
- 脆弱性スキャン
- Fuzz testing
- ファジング
- Penetration testing
- サイバーセキュリティゴールを侵害する⽅法を特定するための模擬現実環境
でのテスト
CALに応じてその内容を変更してもよい
JASPARのガイドラインも参考資料として有⽤
- ECU脆弱性テスト要件書
- ECUペネトレーションテストガイド

13. 12
対象とする脅
威選定
• 選定脅威をも
とにテストプ
ランを策定
ペネトレー
ションテスト
• 実機に対する
テストを⾏い、
セキュリティ
上の問題を探
索
リスク評価＆
レポート
• 発⾒した問題
のリスクを評
価しレポート
対策の実施
• 緩和すべきと
判断した指摘
事項の対策を
実施
ECUペネトレーションテスト
セキュリティゴールを脅かすような脅威を選定し、それらを実現でき
る脆弱性が存在するか評価します。
0100101010
0110010101
弊社・貴社間で決定 弊社実施事項 弊社ご⽀援事項
既に脅威分析済みであれば、それを⼊⼒とし
て開始。未実施の場合は、対象のECUの特性
や、弊社知⾒等から脅威を想定

14. 13
ペネトレーションテストのアプローチ
ブラックボックスアプローチ
・対象の情報などを持たない攻撃者が攻撃できるか評価
- ⼊⼒︓実機のみ
- インタフェーステスト、ハードウェアテストなど
グレーボックスアプローチ
・対象の情報を⼀部知る攻撃者が攻撃できるか評価
- ⼊⼒︓実機、ファームウェア、⼀部仕様など
- ファームウェア、セキュリティ機能の仕様 など
- ファームウェア解析、ハードウェアテスト、動的解析など
ホワイトボックスアプローチ
・対象の情報をしる攻撃者が攻撃できるか評価
- ⼊⼒︓実機、ソースコード、仕様
- ソースコード解析、ハードウェアテスト、動的解析など
実施期間・攻撃者能⼒・対象の情報には相関
実際の攻撃者と異なり、
限られたテスト期間で実施するためには、
ある程度の対象の情報をテスターに提供することが望ましい

15. 14
ECUのハードウェアテスト
ハードウェアを分解し、重要なデータの漏洩をはじめとした、
セキュリティ上の問題を評価します
ハードウェア解析
主な評価観点
・デバッグインタフェースの評価
・ハードコードされた重要情報
・公知の脆弱性（フォルトインジェクション） など
ハードウェア解析
イメージ
関連する外部ガイドライン
OWASP IoT Top10 2018
- Lack of Physical Hardening
- Weak, Guessable, Hardcoded Password など
評価対象
・ハードウェア

16. 15
ECUのファームウェア解析
ファームウェア（ソフトウェア）を解析し、認証認可やセキュア
ブートの実装不備をはじめとした、セキュリティ上の問題を評価
します
主な評価観点
・認証認可サービスの評価
・アップデートサービスの評価
・セキュアブートの評価 など
関連する外部ガイドライン
OWASP IoT Top10 2018
- Lack of Secure Update Mechanism
- Insecure Default Setting など
評価対象
・アプリケーション / ファームウェア
ファームウェア解析
イメージ
0100101010
0110010101
ファームウェア解析
フロー等解析し、
攻撃シナリオ導出

17. 16
ECUに対する評価観点例
評価観点 分類 評価⽅法
コミュニケーションに対する脅威 TLS ソフトウェア解析を通じ、TLSの実装などを評価します
Wi-Fi / Bluetooth / BLE ソフトウェア解析を通じ、利⽤されるライブラリや設定値およ
びパスワード設定などを評価します。
サービス / アプリケーションに対す
る脅威
API ソフトウェア解析を通じ、処理フローの解析、認証認可処理、
⼊出⼒、仕様上の問題などを評価します。
Webアプリケーション ソフトウェア解析を通じ、処理フローの解析、認証認可処理、
⼊出⼒、仕様上の問題などを評価します。
アップデートサービス ソフトウェア解析を通じ、処理フローの解析、認証認可処理、
⼊出⼒、署名検証の不備、仕様上の問題などを評価します。
プラットフォーム に対する脅威 ライブラリ 悪⽤可能な公知脆弱性の存在を評価します。
OS OS堅牢化およびカーネルなどを評価します。
ブートローダに対する脅威 セキュアブート ソフトウェア解析を通じ、署名検証の不備、不適切なセキュア
ブート実装などを評価します。
ハードウェアに対する脅威 デバッグインタフェース ハードウェア解析を通じ、JTAG / UART / SPIなどをはじめソフ
トウェアが抽出できるか評価します。
プライバシーに対する脅威 プライバシー情報の漏えい 診断を通じ、プライバシー情報の漏えいを評価します。
ハードウェア
ブートローダ
プラットフォーム
アプリケーション
コミュニケーション
多様な観点からECUを評価
対象デバイスが、現実にどのような運⽤をされて、
現実にどのような脅威が想定されるのか
ということは把握すること

18. 17
⾃動⾞業界の様々なセキュリティ対策
その他セキュリティの取り組み
・PSIRT
・サプライチェーン管理
・セキュリティ技術の開発
・製造時のセキュリティ対策
・OTAアップデート など

19. 18
その他業界の動向

20. 19
IoT・医療業界のサイバーセキュリティ動向
IoTサイバーセキュリティ動向
IoT全体的にサイバーセキュリティに関するルール化の動きあり
脅威分析 → リスク評価 → セキュリティコントロールという⼀連の流れは共通
IoT全体
・EN: ETSI EN 303 645 / ETSI TS 103 701 etc.
・US: NIST SP800–213 / 213A, NIST IR 8259 / 8259A etc.
・JP: CCDS-GR01 etc.
医療業界
・IMDRF: Principles and Practices for Medical Device Cybersecurity
・厚⽣労働省医薬⾷品局: 国際医療機器規制当局フォーラム(IMDRF)による
医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表につ
いて(周知依頼)

21. 20
まとめ
⾃動⾞をとりまくサイバーセキュリティアプローチはこの10年で⼤きく変化
・２つの認証制度の導⼊（改正）
・CSMSプロセス認証、⾞両型式認証
・⾞両のライフタイムを通じ様々なプロセスを⾞両OEMは実施
・リスク評価
・リスク管理
・リスク検査
・攻撃検知
・攻撃対応 など
・下記のような取り組みを実施
・TARA（脅威分析・リスク評価）
・ペネトレーションテスト
・PSIRT
・サプライチェーン管理
・OTAアップデート など
これら取組みは今後のIoTセキュリティの
モデルケースになっていく可能性が⾼い