{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
WP29 CSMSに基づくセキュアな製品開発の実践―攻撃パス分析の実践とそのポイント
WP29 CSMS(※1)に対応する製品開発実践のポイントを紹介する連載「WP29 CSMSに基づくセキュアな製品開発実践」。前回は資産の識別に焦点を当て、その具体的な手順を解説しました。今回は次のステップとなる攻撃シナリオに注目し、具体的な攻撃パス分析の手順を解説します。
※1 CSMS(Cyber Security Management System):サイバーセキュリティに関連するリスクを処理し、自動車をサイバー攻撃から保護するための組織的なプロセス、責任及び管理を明確化したリスクベースアプローチの管理システム。
攻撃パス分析の手順
攻撃パス分析のプロセスは、以下の3つに大別できます。
- 脅威を実現する攻撃シナリオの定義:攻撃手法の組み合わせを検討する
- 攻撃シナリオを実現する攻撃パスの検討:攻撃ツリーとして説明可能なエビデンスを作成する
- セキュリティ要求の定義:攻撃によって発生する損害を低減させるための対策方法を検討する
攻撃パス分析は脅威シナリオを実現するための攻撃シナリオを定義し、攻撃ツリーとして説明可能なエビデンスを作成する
攻撃パス分析は、実際の攻撃事例や脆弱性を理解した上で実施する必要があります。以下に3つのプロセスについて詳しく説明します。
攻撃シナリオの定義
攻撃シナリオの定義は、「どのような手法の攻撃が発生しうるか」を分析者が想定することからスタートします。ただし、これをゼロベースから想定するのは難しいでしょう。攻撃シナリオ定義の網羅性を担保するために、フレームワークの利用を推奨します。例えば、「5W」や「STRIDE」などが挙げられます。
例えば、下の図を見てください。これは車載機に保存されたクレジットカード情報(情報資産)に対し、5Wで想定した攻撃シナリオの例です。
このようにフレームワークを利用することで、考えるべき要素を漏らすことなく、可能な攻撃シナリオを列挙することができます。しかし、ほとんどの場合は膨大なパターン数になるため、事前に分析対象を絞る、分類するといった工夫が必要になります。分析対象を絞る、分類するための工夫については、前回の記事をご参照ください。
攻撃パスの検討
次に、洗い出した攻撃シナリオを実現させるための攻撃段階を樹形図のように細分化する「攻撃ツリー」を作成し、それに対して攻撃を成立させる攻撃条件を整理します。つまり、「どのような攻撃条件を組み合わせることで攻撃シナリオを成功させるか」を分析者が想定する作業になります。そのためには、過去の攻撃事例や研究成果を集約し、そこで用いられている攻撃手法を知識として蓄積していく必要があります。
攻撃パス分析が属人化し、抜け漏れが発生するのを防ぐ方法の1つとして挙げられるのが、一般的なフレームワークを参照しながら検証する方法です。参考になるフレームワークは、ITの領域でもよく使われている「STRIDE」や「MITRE ATT&CK」などが考えられます。
分析・収集した情報を元に攻撃パス分析を行う。同時に検討の抜け漏れを防ぐために一般的なフレームワークと照らし合わせて検証も実施する。
もちろん、フレームワークのみで攻撃パスを導出するのは容易ではありません。しかし、分析した結果を当て込むことで、抜け漏れがないかチェックするには役立ちます。
セキュリティ要求の定義
攻撃パスの検討段階でリストアップした攻撃条件に対して、リスクを低減させるためのセキュリティ要求を検討します。
セキュリティ要求を検討した後に、業界で定めたセキュリティ要件や法規制の要求に適合しているか確認し、必要な対策が漏れていないかどうかを再度確認します。対策が漏れていた場合に重要なのは、その原因を分析することです。攻撃シナリオや攻撃条件などの想定に漏れがあったのかどうかを再度確認し、必要に応じて攻撃パスの分析プロセスを修正します。
効率的な攻撃シナリオ分析のポイント
抜け漏れのないセキュリティ対策を講じるためには、全ての保護資産に対して考えられる全ての脅威パターンを導出し、脅威パターンに対する攻撃パスを全て検討するという網羅的なアプローチが必要です。しかし、これを実現するために各ステップでの組み合わせを考えていくと、そのパターン数は指数関数的に膨らみ、全ての組み合わせを検証することは実質的に不可能です。そこで、効率的に分析を行うためのポイントについて解説します。
- 攻撃パスのカタログ化
こうした事態を回避するには脅威パターンや攻撃パスを類型化し、各ステップで現実的に攻撃が可能な組み合わせを絞り込むことが重要です。例えば、「理論上は攻撃できるが、現在の技術では攻撃が成立しない」「攻撃の前提条件が非常に厳しく、現実的ではない」というケースは省略します。また、攻撃パス分析の過程で同じような機能が詳らかになった場合には、攻撃車両をまとめるといった対策も考えられます - セキュリティ要求の整理と逆引き
網羅的なセキュリティ要求を導出するために全ての組み合わせを検証する必要があることから、攻撃パスの検証件数は非常に大きくなってしまう傾向があります。一方で1つのセキュリティ要求で多くの攻撃が防げることから、セキュリティ要求の数は攻撃パスの検証件数に比べてそこまで多くなく、定型的なセキュリティ対策に落ち着くことも多いのが実情です。そのため、よく使われるセキュリティ要求を整理しておき、抜け漏れがないかをセキュリティ要求から逆引きで確認するという手法も有効です。 - 知見を蓄積・共有する
分析担当部門は、攻撃シナリオに関する情報を継続的に収集して共有し、組織全体のスキルアップを図るように努める必要があります。知識の蓄積を分析者個人の技量に頼ってしまうと、全ての分析者が高度な知識を身に付ける必要に迫られる上、担当者の知識量によって攻撃シナリオの解読にも差が生じてしまうからです。
それを避けるため、カタログ化された攻撃手法を集約し、共有しながら会社全体で分析スキルを継続的にアップデートする必要があります。会社として製品のセキュリティレベルを担保するには、全社レベルでの知識の共通化が大きなポイントになります。
WP29対応への素朴な質問
【質問】
攻撃可能性の評価について教えてください。組み合わせの数の劇的な増加を防ぎ、効率的に評価するためには、攻撃パターンをどのように見分ければよいでしょうか。
【回答】
1つ挙げられるのが、共通脆弱性評価システム(Common Vulnerability Scoring System:以下、CVSS)の利用です。CVSSは「攻撃が実際に起こり得る/起こり得ない」を判断する基準として、ITの世界でもよく利用されています。
ただし、CVSSの中にもさまざまな項目があります。例えば、「実際に攻撃を実行するツールが存在しているか」「リモートで任意のコマンドを実行できるのか」といったような評価項目が含まれています。こうした項目が車載機に対する攻撃に適用できるかどうかは判断が分かれます。そのため、CVSSの中で必要な項目を選択し、評価軸としていく必要があります。いずれにしても、攻撃可能性を効率的に評価する指標も、会社組織として整備していくことが重要でしょう。
WP29 CSMS対応ツール活用メリットを2分で解説
自動車に関する国際法規であるWP29 UNR155に適合するため、車両OEMとサプライヤーは、適切なサイバーセキュリティ要件を導出し、それを満たす製品を開発することが求められています。PwCが提供する「WP29 Cyber Security Management System(CSMS)支援プラットフォーム」は、セキュアな製品開発において最も重要である脅威分析を効率的に実施するためのウェブツールであり、脅威や攻撃に関する最新の情報を提供します。
1:57
車両サイバーセキュリティの未来
車両のデジタル革命によって、次世代のモビリティ社会が形作られる一方で、各国の政策や規制により変化の速度が決定されている面があります。その要因の一つがサイバーセキュリティへの懸念です。
車両サイバーセキュリティに関する国際規格や製品ライフサイクルにおける重要論点の解説やクライアントとの対談を通じ、車両サイバーセキュリティの将来をひもときます。
執筆者
山田 素久
ディレクター, PwCコンサルティング合同会社
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
