計測フロンティア研究部門

1

大崎人士

産業技術総合研究所

IoT時代の組込みセキュリティ

計測フロンティア研究部門

2

社会を支える産業

生活を豊かにする産業

情報・電気・ガス 旅客サービスエアコン・家電

電子部品 自動車情報機器

組込みシステム産業

計測フロンティア研究部門

3

IoT時代のセキュリティ問題

動画

計測フロンティア研究部門

4

新旧混合系システム

照明 エアコン ドア

設備メーカー ビル管理者

•２０年以上前のプロトコル

•異常、即リセットの設計

•新旧混合のシステム構成

管理システム

カメラ

ゲート

計測フロンティア研究部門

5

社会インフラのセキュリティ•２０年以上前のプロトコル

→ アプリケーションサービスのトランザクションの保護 （JIS Q 27002 – 14.1.3）

アプリケーションサービスのトランザクションに含まれる情報は，次の事項を未然に防止する

ために，保護することが望ましい。

不完全な通信

誤った通信経路設定

認可されていないメッセージの変更

認可されていない開示

認可されていないメッセージの複製又は再生

•異常、即リセットの設計

→ イベントログ取得 （JIS Q 27002 – 12.4.1）

•新旧混合のシステム構成

→ 情報セキュリティ要求事項の分析及び仕様化 （JIS Q 27002 – 14.1.1）

情報セキュリティに関連する要求事項は，新しい情報システム又は既存の情報システムの

改善に関する要求事項に含めることが望ましい

計測フロンティア研究部門

6

新旧混合系システム

管理システム設備メーカー ビル管理者

•単一障害点

Single Point of Failure

単一箇所が機能しないと、システム

全体が機能しない所。 隘（あい）路。

計測フロンティア研究部門

7

新旧混合系システム

設備メーカー ビル管理者

•セーフティとセキュリティの

バランス

セーフティから見た セキュリティ

セキュリティから見た セーフティ

管理システム ゲート

計測フロンティア研究部門

8

セーフティの防護対象は 人の命

• セーフティとは、人を 危険から遠ざけること

• 安全リスクを下げるには、

人への被害を小さくする

人が危険に遭遇しないようにする

立体交差 踏切

セーフティについて

計測フロンティア研究部門

9

適切性の評価

第一者適合宣言

第二者当事者検証

第三者適合性評価

組織

(人)

システム

機器

SIP事業

計測フロンティア研究部門

10

製造業とセキュリティ

計測フロンティア研究部門

11

組込み特有の問題①

マイコン

ノイズは様々な経路を通じて侵入してくる

おもなノイズ源 電源系商用電源からのサージ商用電源への誘導雷他の機器からの電源ノイズ

周辺回路系モーター、リレー、コイル機器への静電気の放電機器への電波の侵入

周辺機器系電気熔接機からのノイズ放電加工機からのノイズ

マイコンは暴走する、暴走原因は不明であることが大半

計測フロンティア研究部門

12

湘南モノレール、オーバーラン2台あるVVVFインバータのうちの1台が、誤動作により異常加速し、車両が#46分岐器に衝突したものと考えられる。1台のVVVFインバータが誤動作したことについては、低圧車体接地線等のノイズ対策が不十分であったことからノイズの影響を受けやすい状態となっていたこと、及び加減速を制御するプログラムに不備があったため、ウォッチドッグタイマによる保護動作が働かなかったことが重なったことによるものと考えられる。

(鉄道事故調査報告書「江の島線西鎌倉駅構内鉄道物損事故」より引用)

左側車両が事故車、右側の車両は対向車。対向車両緊急ブレーキにて衝突前１９ｍで停止。

2012年10月31日14:55にアパホテル金沢駅前で、仕事を終えたパート従業員の女性がエレベーターを待っていたところ扉が開き、乗り込もうとしたら上昇したかごと床のすき間に足をひっかけ転倒。その際にエレベーターが突然上昇し挟まれ死亡する事件が発生。事故と同形機は、以前より目的階で停止しない、箱が来ていないのに扉が開く等の問題が発生していた。

2006年6月3日夜、東京都港区の23階建て公共住宅の12階で、 この階に住む都立高校2年の 男子生徒(当時16)が自転車に またがってエレベーターから降りようとしたと こ ろ 、 突 然 上 昇 を始めたエレベーターの床と12階の天井に挟まれ、窒息死した。

シティハイツ竹芝での死亡事故 アパホテル金沢駅前で清掃作業員が挟まれ死亡した事故

マイコンの暴走が原因とされる事故例

計測フロンティア研究部門

13

マイコンを異常停止しにくくする技術

– 外乱（電磁的ノイズ）によるCPU誤動作対策

– 屋外自然観測機器等への適用

マイコンの異常は、CPUの暴走が主原因

– CPUはノイズに弱く、誤動作し暴走するもの

– 周期的リセットの巻き戻しにより正常動作を継続

機能をソフトウェアにより実現

– 特定のデバイスや保護機構に依らない汎用性を目指す

– 各種のマイコンで評価中

ノイズ耐性評価装置の適用

– プログラム制御された大量の物理的ノイズを印加し、

結果を定量評価 マイコン評価ボード

想定する「マイコン」の世界• CPU: 数十MHz• RAM: 数Kバイト• ROM: 数十Kバイト• 消費電力: 数mA• バッテリー駆動• 屋外設置

屋外自然観測機器

MIRK - 超小型OSの開発

計測フロンティア研究部門

14

異常発生→リセット(巻き戻し)

ソフトウェア実験

•ノイズ源：プログラムカウンタPCのランダムジャンプ

•生成方法：タイマー割込からPCへのランダム値書込み

•ノイズ発生回数：１実験あたり1万回（0.25秒毎）

結果

•異常(暴走)状態からの回復：95％■ノイズ耐性評価装置によるハードウェア実験

計測フロンティア研究部門

15

• 海底、山、高所等、人が関与できない場所の装置

• 風向風速計

• 斜度計

• 異常、でも即電源リセットできない装置

• ロボット

• 自動運転車

• 数が多すぎて、人手をかける限界のある装置

• 野外センサー

• 監視カメラ

• たくさんの人が直接さわる装置

• タッチパネル

• リモコン

IoT時代を支えるマイクロリセットマイコン

計測フロンティア研究部門

16

組込み特有の問題②

工数が増えても、価格に転嫁できない

組込み関連事業の利益率経済産業省2011年度中小企業システム基盤開発環境整備事業

（組込みシステム産業の施策立案に向けた実態把握のための調査研究）

計測フロンティア研究部門

17

安全分析

• ハザード分析

• 安全リスク評価

セキュリティ分析

• 脅威分析

• セキュリティリスク評価

安全性テスト

• 異常注入テスト

• 耐故障テスト

セキュリティテスト

• ファジングテスト

• 耐タンパーテスト

分析 と テスト

計測フロンティア研究部門

18

セキュリティ要求分析のツール支援

分析の対象（入力）

要件1 ×

×

要件2 ×

要件3 ×

××

×

特徴ベクトル

ルート

グループ1

要件1

要件2

グループ2要件3

グループ3 要件□□

グループ△ 要件□□

分析結果のファイル出力例

分析の結果（出力）

正規化 構造化要件1 □ □ □ □要件2 □ □ □ □要件3 □ □ □ □

……

トレースの管理例 （他ツールとの連携）

大量の要件の分析にかかる手間を自動化し、結果を可視化し、他ツールと連携する

計測フロンティア研究部門

19

ソフトウェアツールTACT

要件一覧の階層化

グラフィカル表示

グループ数の調整自由

ツールの適用事例：

セキュリティガイドラインの

詳細分析に適用。

ツールにより2人×5日の分析

作業が1人日に短縮（2015.7）

詳細は開示しない

計測フロンティア研究部門

20

要求分析支援ツールのユースケース(1)要求分析初期

セキュリティ脅威分析によるセキュリティ対策の要件一覧

データは、数百～千件

類似の要件があちこち

抽象度は、バラバラ

手元にあるもの

計測フロンティア研究部門

21

要求分析初期でツールに期待できること要件一覧 → 粒度の揃った、構造化された要件

計測フロンティア研究部門

22

要求分析支援ツールのユースケース(2)要求分析後期

体系化された要件

抽象度が階層ごと揃った

要件一覧

どこに何があるかを、覚

えきるには多すぎる量

手元にあるもの

詳細は開示しない

計測フロンティア研究部門

23

要求分析後期でツールに期待できることレビューにかかる手間を減らせる

異なる場所に、同じような要件がある

階層が違うのに、同じような要件がある

同じような要件を、まとめきれてなかった

詳細は開示しない