👨‍💻

CRA読み解き(その3) - デジタル製品は既知の脆弱性がない状態で出荷しなければいけない

2024/11/03に公開

はじめに

組込みシステムのシニアエンジニアをしているNoricです。本稿は、いよいよ適用が始まる 欧州サイバーレジリエンス法(Cyber Resilience Act, CRA) の要件を読み解き、IoTデバイス製品が備えるサイバーセキュリティとは何かを考えるシリーズです。

先ず、欧州サイバーレジリエンス法(Cyber Resilience Act, CRA)とは何か、そのイントロダクションは下記をご覧ください。

欧州理事会は2024年10月10日、欧州CRAを承認し、デジタル製品の安全性要件に関する新たな法律を採択しました。

Cyber resilience act: Council adopts new law on security requirements for digital products

今回は、次の欧州CRAのサイバーセキュリティ要件を読み解きします。



今回の読み解き - 脆弱性の排除

CRA要件(原文)

  • Security requirements relating to the properties of products with digital elements
    • (2) Products with digital elements shall be delivered without any known exploitable vulnerabilities;

CRA要件(訳)

  • デジタル要素を含む製品の特性に関するセキュリティ要件
    • (2) デジタル要素を含む製品は、既知の悪用可能な脆弱性がない状態で提供されなければならない。



このサイバーセキュリティ要件が求めること

脆弱性評価の実施

  • 目的: 製品のデジタル部分が外部からの攻撃に対してどの程度安全であるかを確認するため。
  • 手法: 専門的なツールや手法(例:脆弱性スキャン、セキュリティテスト)を使い、製品に潜む脆弱性が存在しないかをチェックします。この評価によって、サイバー攻撃者が悪用できる弱点を事前に発見できる可能性が高まります。

既知の脆弱性の修正

  • 目的: 脆弱性が既知の場合、そのまま製品をリリースするとサイバー攻撃のリスクがあるため、対策を行うこと。
  • 手法: 脆弱性評価で発見された「既知の悪用可能な脆弱性」を修正すること。これには、ソフトウェアのアップデートやパッチ(問題を修正する小さなプログラム)を適用するなどの対策が含まれます。

用語集

脆弱性(Vulnerability)
デジタル製品の設計やコードに含まれる弱点や欠陥を指し、攻撃者が不正アクセスや情報漏洩を引き起こすために悪用する可能性があります。脆弱性が存在することで製品のセキュリティが低下します。

悪用可能な脆弱性(Exploitable Vulnerability)
特定の脆弱性が悪意のある第三者によって実際に攻撃に利用される可能性がある場合、それを「悪用可能な脆弱性」と呼びます。例えば、簡単にアクセス可能な認証の欠如や、不正なコードを挿入できる脆弱性などが該当します。

脆弱性評価(Vulnerability Assessment)
製品に潜む脆弱性を特定するための調査・評価手法のこと。脆弱性スキャンやペネトレーションテスト(侵入テスト)などの技術を使用し、外部からの攻撃に対する耐性を調べます。

パッチ(Patch)
ソフトウェアに発見された問題を修正するための小さなプログラム更新のこと。パッチを適用することで、脆弱性を修正し、セキュリティリスクを軽減します。



関連するサイバーセキュリティ法規

関連するサイバーセキュリティのスタンダードでは、どのように定義されているのか、以下の公式文書の「マッピング分析」から読み解きます。

Cyber resilience act requirements standards mapping

この「マッピング」では、次の項目で評価されています。これをわかりやすく理解するために、分析した情報を加えます。

項目 項目の説明
Rationale このサイバーセキュリティ法規が制定された背景・目的など
Gap このサイバーセキュリティ法規の要件と、CRAの要件のギャップ
Life-cycle このサイバーセキュリティ法規の関連する製品ライフサイクル


ISO/IEC 18045:2022

Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Methodology for IT security evaluation

情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — ITセキュリティの評価基準 — ITセキュリティ評価の方法論

※これは共通評価方法論 (CEM) に使用される標準です

  • 分野: は、情報セキュリティ、サイバーセキュリティ、およびプライバシー保護の分野における標準です。

  • 製品: 主にIT製品のセキュリティ評価方法に関する基準で、共通評価方法(Common Evaluation Methodology, CEM)として使用されます。これは、IT製品のセキュリティ機能が期待通りに機能するかどうかを評価するための指針です。

  • Rationale : ISO/IEC 18045:2022は、ITセキュリティ評価を行う際に必要な最低限のアクションを説明し、特に脆弱性評価に関するセクションを設けています。このセクションでは、脆弱性評価に必要な主要な要素を含み、侵入テスト(ペネトレーションテスト)などの特定のステップとアクティビティを詳しく説明しています。この標準は、Common Criteria(ISO/IEC 15408シリーズ)と組み合わせて使用することが想定されています。

  • Gap : この標準は、脆弱性の発見には対応しているものの、発見後の脆弱性の修正に関する手順はカバーしていません。また、脆弱性の発見手法として、ペネトレーションテストのみが記載されています。

  • Life-cycle

    • Validation


ITU-T X.1214 (03/2018)

Security assessment techniques in telecommunication/information and communication technology networks

電気通信/情報通信技術ネットワークにおけるセキュリティ評価技術」

  • 分野: ITU-T X.1214は、電気通信および情報通信技術(ICT)ネットワークのセキュリティに関する標準です。

  • 製品: 特にICTネットワーク内のソフトウェアベースのネットワーク要素における脆弱性評価手法について規定しており、ネットワークのセキュリティ状態を評価するための指針を提供します。

  • Rationale : ITU-T X.1214は、ICTネットワーク内の既知および未知の脆弱性(ゼロデイ脆弱性)の検出に対応しています。脆弱性検出に使用される多様な技術(スキャン、ファジング、コードレビュー、バイナリ解析、ペネトレーションテストなど)をカバーし、さらに補助的な技術も含まれています。

  • Gap : 本標準は、ソフトウェアベースのICTネットワーク要素における脆弱性の検出のみを対象としており、脆弱性の修正についてはカバーしていません。また、手順を詳細に示したものではなく、採用可能な技術の一覧とその一般的な説明を提供しています。

  • Life-cycle

    • Validation
    • Surveillance
    • Maintenance


EN IEC 62443-4-1:2018

Security for industial automation and control systems – Part 4-1: Secure product development lifecycle requirements
産業用オートメーションおよび制御システムのセキュリティ – パート4-1:安全な製品開発ライフサイクル要件

  • 分野: EN IEC 62443-4-1:2018は、産業オートメーションおよび制御システム(IACS)の分野におけるセキュリティ標準です。

  • 製品: IACS向けの製品開発において、セキュリティを組み込んだライフサイクル要件を規定しており、安全な製品開発プロセスを確立するための指針を提供します。

  • Rationale : EN IEC 62443-4-1:2018は、IACS専用の標準ですが、脆弱性テストやペネトレーションテストといったセキュリティテストに関する規定を含んでいます。これらのテストが何を対象とするべきか、誰が実施すべきか、および検出されたサイバーセキュリティの問題をどのように管理するかについても記述されています。

  • Gap : 本標準は産業オートメーションおよび制御システム(IACS)にのみ適用される点に限界があります。

  • Life-cycle

    • Validation
    • Surveillance
    • Maintenance


ETSI EN 303 645 V2.1.1 (2020-06)

CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements

消費者向けIoTのサイバーセキュリティ:基礎要件

  • 分野: ETSI EN 303 645は、消費者向けIoT製品のサイバーセキュリティに関する標準です。

  • 製品: 主に家庭用のIoTデバイス(例:スマート家電やネットワーク機器)に適用され、これらの製品のセキュリティ基準を提供しています。

  • Rationale : ETSI EN 303 645の規定5.2-3では、セキュアな開発ライフサイクルと脆弱性管理に関する指針が示されています。メーカーは製品のサポート期間中、販売・製造している製品やサービスに対して継続的に脆弱性を監視し、特定されたセキュリティ脆弱性を修正することが求められます。

  • Gap : この標準には、具体的に脆弱性評価を実施する要件が記載されておらず、また、製品リリース前に既知の悪用可能な脆弱性を修正する明確な義務も含まれていません。

  • Life-cycle

    • Validation


サイバーセキュリティ法規のそれぞれの対応

この分析から、各標準がサイバーセキュリティにおける脆弱性評価にどのように対応しているかが明らかになりました。ISO/IEC 18045:2022とITU-T X.1214は、製品のライフサイクルの初期とリリース後にわたる脆弱性評価手法を含んでおり、既知およびゼロデイ脆弱性への対応も含め、複数の手法で脆弱性を発見するアプローチを採用しています。しかし、脆弱性の「発見」に重点が置かれており、発見された脆弱性の「修正」に関する具体的な手順や要件は記載されていません。

IEC 62443-4-1は産業用オートメーションと制御システム(IACS)向けに限定されており、製品のセキュリティテストに関する詳細な要件を規定しています。一方、ETSI EN 303 645は消費者向けIoTデバイス向けで、脆弱性のない状態で製品を提供する要件を提示していますが、具体的な実施手順やリリース時の詳細については触れられていません。

全体として、これらの標準は脆弱性の「検出」に関する基準を提供していますが、脆弱性を「修正」するプロセスについてはカバーが不足していることが主な課題です。このため、製品のライフサイクル全体でセキュリティを確保するには、脆弱性の修正プロセスを組み込んだ追加のガイドラインやプロトコルが必要であると考えられます。


まとめ

IoTデバイス製品の開発において、この要件では、以下の対応を求めています:

  1. 脆弱性評価の実施
    製品のデジタル部分に対して脆弱性評価を定期的に実施し、外部からの攻撃に対する安全性を確認することが重要です。これには、脆弱性スキャンやペネトレーションテストといったセキュリティテストの活用が含まれ、サイバー攻撃者が悪用しうる弱点をリリース前に発見するための対策となります。

  2. 既知の脆弱性の修正
    脆弱性評価で発見された既知の脆弱性がある場合には、リリース前に確実に修正を行います。これにより、脆弱性を残したまま製品を提供するリスクを回避します。修正手法には、ソフトウェアのアップデートやパッチ適用があり、製品の安全性を確保します。

具体的な対応は、CRAの Vulnerability handling requirements にある (1)~(8)の要件に述べられています。

Discussion