👨‍💻

CRA読み解き(その5) - デジタル製品は不正なアクセスから保護されなければならない

2024/11/04に公開

はじめに

組込みシステムのシニアエンジニアをしているNoricです。本稿は、いよいよ適用が始まる 欧州サイバーレジリエンス法(Cyber Resilience Act, CRA) の要件を読み解き、IoTデバイス製品が備えるサイバーセキュリティとは何かを考えるシリーズです。

先ず、欧州サイバーレジリエンス法(Cyber Resilience Act, CRA)とは何か、そのイントロダクションは下記をご覧ください。

欧州理事会は2024年10月10日、欧州CRAを承認し、デジタル製品の安全性要件に関する新たな法律を採択しました。

Cyber resilience act: Council adopts new law on security requirements for digital products

今回は、次の欧州CRAのサイバーセキュリティ要件を読み解きします。



今回の読み解き - 不正アクセスからの保護

CRA要件(原文)

  • Security requirements relating to the properties of products with digital elements
    • (3) On the basis of the risk assessment referred to in Article 10(2) and where applicable, products with digital elements shall:
      • (3b) ensure protection from unauthorised access by appropriate control mechanisms, including but not limited to authentication, identity or access management systems;

CRA要件(訳)

  • デジタル要素を含む製品の特性に関するセキュリティ要件
    • (3) 第10条第2項に基づくリスク評価に基づき、適用可能な場合、デジタル要素を含む製品は:
      • (3b) 適切な制御メカニズム(認証、アイデンティティ管理、アクセス管理システムなどを含むがこれに限定されない)によって、不正アクセスから保護することを確保する。



このサイバーセキュリティ要件が求めること

1. 認証・認可システムの実装

  • 目的: 製品やシステムにアクセスするユーザーが正当な権限を持っていることを保証し、機密データや重要な機能への不正アクセスを防止する。
  • 手法: リスク分析を基にした「適切な認証・認可システム」の導入。ここでは、ユーザーの識別(ID)とアクセス権限の管理(IAM)を通じ、許可されたユーザーのみがアクセスできるように制限します。例えば、パスワード認証や二要素認証(2FA)、そしてユーザーごとにアクセスレベルを設定することで、安全性を強化します。

2. アクセス制限の強化

  • 目的: 認証・認可されたユーザーのみが製品やシステムの管理・設定機能、あるいは個人情報や保護されたデータにアクセスできるようにすることで、不正使用のリスクを最小化する。
  • 手法: 「アクセス制御」機能の実装で、物理的・論理的な保護を確保します。論理的アクセス制御では、システム設定や管理画面など特定の操作を行える権限を管理し、認証・認可を通過したユーザーのみが操作できるようにします。また、物理アクセス制御によって、認証されていないユーザーの端末や設備への直接的なアクセスを防ぎます。

3. 物理的な不正アクセスの禁止

  • 目的: 製品やシステムへの物理的な不正アクセスを防止し、機器やデータが直接的に改ざんされるリスクを回避する。
  • 手法: 物理的なアクセス管理を通じて、未許可のユーザーが製品やシステムへ物理的にアクセスできないようにします。例えば、機器のケースを開けるとアラームが鳴る改ざん検出機能や、鍵付きエンクロージャーの設置などが対策に挙げられます。

用語集

  1. Authentication(認証)
    ユーザーやデバイスが正当なものであることを確認するプロセス。例として、ユーザーIDとパスワード、指紋認証、顔認証などが挙げられ、アクセス権を持つ人物やデバイスを証明します。

  2. Authorisation(認可)
    認証後に、特定の操作やデータアクセスの権限を与えるプロセス。例えば、特定のデータや機能に対するアクセス権がユーザーにあるかどうかを判断し、許可された権限に基づきアクセスの範囲を決定します。

  3. Identity & Access Management (IAM)(アイデンティティおよびアクセス管理)
    組織内のユーザーやデバイスのIDを管理し、それぞれに適切なアクセス権を割り当てるシステム。IAMは、セキュリティ向上のため、ユーザー権限を細かく制御し、個人や役割に応じたアクセス制御を可能にします。

  4. Physical Access Control(物理的アクセス制御)
    建物やデバイス、特定の設備などへの物理的なアクセスを制限する手段。例えば、セキュリティカードや鍵付きドア、監視カメラを使用して未許可の人物による不正アクセスを防ぎます。

  5. Logical Access Control(論理的アクセス制御)
    ITシステムの中で、ユーザーがアクセスできるデータや操作の範囲を制限する手段。システム内の機能に対し、ユーザー認証やアクセス権限に基づき、認可されたユーザーのみが特定の機能やデータにアクセスできるよう制御します。

  6. Anti-tampering(改ざん防止)
    デバイスやデータが不正に改変されることを防ぐ手段。改ざんが試みられた場合、警告を発するセンサーや封印シール、機器の分解が検出される仕組みなどが含まれます。



関連するサイバーセキュリティ法規

関連するサイバーセキュリティのスタンダードでは、どのように定義されているのか、以下の公式文書の「マッピング分析」から読み解きます。

Cyber resilience act requirements standards mapping

この「マッピング」では、次の項目で評価されています。これをわかりやすく理解するために、分析した情報を加えます。

項目 項目の説明
Rationale このサイバーセキュリティ法規が制定された背景・目的など
Gap このサイバーセキュリティ法規の要件と、CRAの要件のギャップ
Life-cycle このサイバーセキュリティ法規の関連する製品ライフサイクル


ISO/IEC 9798 Parts 1 to 6

Information technology — Security techniques — Entity authentication

  • Part 1:2010 一般
  • Part 2:2019 認証付き暗号化を使用するメカニズム
  • Part 3:2019 デジタル署名技術を使用するメカニズム
  • Part 4:1999 暗号チェック関数を使用するメカニズム
  • Part 5:2009 ゼロ知識技術を使用するメカニズム
  • Part 6:2010 手動データ転送を使用するメカニズム

ISO/IEC 9798シリーズは、情報技術およびセキュリティ分野の認証技術において、特にエンティティ(ユーザーまたはデバイス)認証を行うための標準規格です。これは、エンティティ間で安全に認証を確立するためのプロトコルと要件を定義しており、ネットワークやシステムでの認証が必要とされる製品やシステムで利用されます。

  • Rationale: ISO/IEC 9798の「General」パートでは、エンティティ認証に必要な基本的なモデルや要件、制約について規定しています。この規格は、一対一の認証や第三者を介した認証など、多様な認証プロトコルを網羅しており、具体的な手法については各パートで詳述されています。

  • Gap: 本規格は認証のみを対象としており、他のセキュリティ要素には対応していません。

  • Life-cycle

    • 設計(Design)
    • 実装(Implementation)


ISO/IEC 24760 Parts 1 to 3

IT Security and Privacy — A framework for identity management

  • Part 1:2019 用語と概念
  • Part 2:2015 参照アーキテクチャと要件
  • Part 3:2016 実践

ISO/IEC 24760シリーズは、ITセキュリティおよびプライバシー分野で、情報システムにおけるアイデンティティ管理(ID管理)の発行、管理、運用に関する標準規格です。ID管理が必要な製品やシステム、特にユーザーやデバイスの識別と関連データの管理に関わるものに適用されます。

  • Rationale: ISO/IEC 24760シリーズは、アイデンティティデータの発行・管理・運用に関するフレームワークを規定し、情報システム全般に適用されます。Part 1は用語と基本概念を、Part 2はID管理フレームワークの実装ガイドラインと要件を、Part 3はID管理システムがPart 1と2に準拠するための指針を提供しています。

  • Gap: 本規格はアイデンティティ管理システムに特化しており、アクセス管理は対象外となっています。

  • Life-cycle

    • 設計(Design)
    • 実装(Implementation)
    • 検証(Validation)


ISO/IEC 29146: 2016

Information technology — Security techniques — A framework for access management

情報技術 ― セキュリティ技術 ― アクセス管理のためのフレームワーク

ISO/IEC 29146は、ITセキュリティ分野において、ICTリソースの安全かつ責任あるアクセス管理を行うための標準規格です。主にアクセス権管理のプロセスに焦点を当て、ID管理システムを前提としたアクセス管理を対象としています。

  • Rationale: ISO/IEC 29146は、アイデンティティ管理システムを基盤とし、安全かつ追跡可能な方法でICTリソースへのアクセスを管理するためのフレームワークを提供します。ただし、アイデンティティ管理自体は範囲外です。

  • Gap: 本規格はアクセス管理にのみ対応しており、アクセス管理の前提となるアイデンティティ管理は対象外です。

Life-cycle

  • 設計(Design)


ITU-T X.1253 (09/2011)

Security guidelines for identity management systems

アイデンティティ管理システムに関するセキュリティガイドライン

ISO/IEC 29146:2016は、アイデンティティ管理システムのセキュリティおよびプライバシー保護を考慮した運用方法を定義するための標準規格です。ID管理システムの安全な運用が求められる製品やシステムに適用されます。

  • Rationale: ISO/IEC 29146は、アイデンティティ管理システムのセキュアかつプライバシーを保護する形での導入・運用に関するガイドラインを提供しています。

  • Gap: 本規格は特定のID管理システムに特化しておらず、一般的な内容にとどまるため、技術的な詳細は高レベルの説明にとどまっています。

  • Life-cycle

    • 設計(Design)


ITU-T X.812 (11/1995)

Information technology – Open Systems Interconnection – Security frameworks for open systems: Access control framework

情報技術 ― 開放型システム間相互接続 ― 開放型システムのためのセキュリティフレームワーク: アクセス制御フレームワーク

ITU-T X.812は、情報技術分野でのアクセス制御の一般的なフレームワークを定義する標準規格です。開放型システム間相互接続(OSI)を対象としており、アクセス制御ポリシーやメカニズムの概要を示し、他の標準で特定のアクセス制御メカニズムやサービスを説明する際の参考として使用されます。

  • Rationale: ITU-T X.812は、アクセス制御に関するポリシーやメカニズムの概要を提供し、特定のアクセス制御メカニズムやサービスを記述するための基礎として利用できます。

  • Gap: 本規格は一般的な内容にとどまり、特定のアクセス制御メカニズムや手順についての詳細は含まれていません。

  • Life-cycle

    • 設計(Design)


ETSI EN 303 645 V2.1.1 (2020-06)

CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements

サイバー; 消費者向けIoTのサイバーセキュリティ: 基本要件

ETSI EN 303 645は、消費者向けインターネット・オブ・シングス(IoT)デバイスのサイバーセキュリティに関する標準規格です。この規格は、IoTデバイスにおいてセキュアな設計と運用を行うための基本的な要件を提供し、消費者のプライバシー保護やシステムの安全性確保を目的としています。

  • Rationale: ETSI EN 303 645の条項5.1および5.5は、IoTデバイスにおいて認証、ユニークなパスワード、および暗号技術の利用を求めています。これにより、消費者向けIoTデバイスの基本的なセキュリティ基盤を提供します。

  • Gap: この規格は主に認証と暗号化に重点を置いており、アクセス管理システムに関する具体的な記載は不足しています。

  • Life-cycle

    • 設計(Design)
    • 実装(Implementation)


EN IEC 62443-4-2:2019

Security for industial automation and control systems –

Part 4-2: Technical security requirements for IACS components

産業オートメーションおよび制御システムのセキュリティ ― 第4-2部: IACSコンポーネントの技術的セキュリティ要件

EN IEC 62443-4-2:2019は、産業オートメーションおよび制御システム(IACS)のコンポーネント向けに策定されたセキュリティ標準です。この規格は、IACSにおける認証や認可などのセキュリティ要件を定め、産業用制御システムの安全性と運用性を確保するために必要な指針を提供します。

  • Rationale: この標準はIACSコンポーネントに関する認証や認可の要件を網羅しており、Foundational Requirement 1(識別と認証の制御)における認証、およびComponent Requirement 2-1(認可の強制)など、セキュリティの基本要件を包括的に定義しています。

  • Gap: 本規格は産業オートメーションおよび制御システム(IACS)のみに適用され、他のシステムには対応していません。

  • Life-cycle

    • 設計(Design)
    • 実装(Implementation)


サイバーセキュリティ法規対応の状況

上記の標準規格は、認証、アイデンティティ管理およびアクセス管理、アクセス制御といった領域をカバーしています。これらの分野に関する基本的な要件は網羅されていますが、各標準の内容は主に一般的な指針に留まっており、具体的なメカニズムやサービスに関する詳細な説明は含まれていません。つまり、これらの標準は基礎的な概念や要件を提供する一方で、実際の実装に必要な詳細な方法や手順については、別途検討や補完が必要となります。


アクセス制御の運用ケース

デバイス単体でアクセス制御を実現するのは容易ではありませんが、スマートフォンと連携することで、その要件を簡単に達成できます。

セキュア・バイ・デフォルト の要件で紹介したMatter製品は、対応するスマートフォンアプリと連携してIoT機能を実現します。このアプリとMatter製品の組み合わせにより、アクセス制御の実装が容易になります。

認証・認可システムの実装

スマートフォンアプリを利用してMatter製品へのアクセスを認証します。ユーザーの識別(ID)とアクセス権限の管理(IAM)を通じて、許可されたユーザーのみがアクセスできるように制限します。例えば、パスワード認証や二要素認証(2FA)、ユーザーごとのアクセスレベル設定により、安全性を強化します。

アクセス制限の強化

認証されたアプリを利用してMatterデバイスとのアクセス制御機能を実装し、物理的・論理的な保護を確保します。論理的アクセス制御では、アプリを利用してシステム設定や管理画面など特定の操作を行える権限を管理し、認証・認可を通過したユーザーのみが操作できるようにします。また、Matterデバイスに備わる物理アクセス制御により、認証されていないユーザーの端末や設備への直接的なアクセスを防ぎます。

物理的な不正アクセスの禁止

Matterデバイス自体に備わる物理的なアクセス管理を通じて、未許可のユーザーが製品やシステムに物理的にアクセスできないようにします。例えば、デバイスの認証のためにインストールされた固有の資格情報は、簡単にアクセス可能なフラッシュメモリではなく、デバイスの秘匿メモリ領域に管理し、物理的なアクセスによる盗聴から保護します。これは、チップに備わるHSM機能やTrustZoneなどのセキュアメモリ分離アーキテクチャを利用し、安全ではないプログラムと分離します。そして、認証されたアプリとの正規なアクセスによってのみ、この資格情報へのアクセスを可能にします。物理的な方法としては、機器のケースを開けるとアラームが鳴る改ざん検出機能や、鍵付きエンクロージャーの設置なども対策の一つです。

Discussion