ハードウェア設計における脅威モデリングとの類似的手法

ハードウェア設計における 脅威モデリングとの類似的手法 2025-01-19 TMC Tokyo Local Meetup 脅威モデリングナイト #14 はせがわようすけ

長谷川陽介(はせがわようすけ) @hasegawayosuke @hasegawa.bsky.social  (株)セキュアスカイ・テクノロジー 取締役CTO  セキュリティ・キャンプ協議会代表理事  千葉大学 非常勤講師 WebブラウザーやWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ ※本内容は個人のものであり所属する組織の見解ではありません #脅威モデリング

• https://utf-8.jp/

ちょっと自分語り

過去の経歴 - 年齢を重ねるにつれどんどん上位レイヤーに 神戸市立高専 電子工学科卒 産業用計測機器の電子回路設計 Windowsアプリの開発 Webアプリのセキュリティ 取締役として経営に参画 心理学への興味関心 哲学・倫理学への興味関心 #脅威モデリング

過去の経歴 - 年齢を重ねるにつれどんどん上位レイヤーに 神戸市立高専 電子工学科卒 産業用計測機器の電子回路設計 Windowsアプリの開発 Webアプリのセキュリティ 取締役として経営に参画 心理学への興味関心 哲学・倫理学への興味関心 #脅威モデリング

過去の経歴 - 年齢を重ねるにつれどんどん上位レイヤーに 神戸市立高専 電子工学科卒 産業用計測機器の電子回路設計 Windowsアプリの開発 Webアプリのセキュリティ 取締役として経営に参画 心理学への興味関心 哲学・倫理学への興味関心  「脅威モデリング」とは脅威をモデル化 すること  モデル化とは一般化・抽象化すること  哲学・倫理学 - 現実を抽象化し普遍的 な原則を見出す学問 哲学的な考え方ができることは 脅威モデリングにも寄与する #脅威モデリング

過去の経歴 - 年齢を重ねるにつれどんどん上位レイヤーに 神戸市立高専 電子工学科卒 産業用計測機器の電子回路設計 Windowsアプリの開発 Webアプリのセキュリティ 取締役として経営に参画 心理学への興味関心 哲学・倫理学への興味関心 産業用計測機器の回路設計においても、 脅威モデリングに通じる技法があるので、 今日はそれの紹介です ※ 15年以上前の経験に基づく話なので 間違いも含まれてるかもです  「脅威モデリング」とは脅威をモデル化 すること  モデル化とは一般化・抽象化すること  哲学・倫理学 - 現実を抽象化し普遍的 な原則を見出す学問 哲学的な考え方ができることは 脅威モデリングにも寄与する #脅威モデリング

回路設計とセキュリティの関係性  産業用制御機器では外乱に対する堅牢性や故障しにくさが強く求 められる  簡単には交換できない - 設備の一部であり常時稼働している、代替機は 存在しない  使用環境が劣悪 - 半屋外で温度や湿度の変化が大きい、電源や電波その 他のノイズも多い  対策がコストに直結する  過剰な品質はコストに直結するが、問題が発生してからの事後対応では さらにコストがかかる  起こり得る問題を事前に想定し、適切な対策をあらかじめ採り入れたい  故障や外乱を想定し、予防的な対策を検討するプロセスがある  まさに脅威モデリングに近い #脅威モデリング

ハードウェア設計における 故障の事前対策手法

FMEAとFTA - 設計時点での故障の予測と対策  FMEA  Failure Mode and Effect Analysis / 故障モード影響解析  個別要素ごとに「短絡」「断線」「摩耗」などが発生したときに、製品(あるいはシス テム)にどのような影響発生するかを分析する手法  設計だけでなく製造工程などに対するFMEAもある※  JIS C5750やISO 16949などで標準化※  FTA  Fault Tree Analysis / フォルトツリー解析  製品(あるいはシステム)に発生し得る故障や事故を想定し、それを引き起こす要 因をツリー状に分析する手法  FMEAがボトムアップ的なアプローチであるのに対しFTAはトップダウ ン的なアプローチ ※今回のために改めて調べていて初めて知りました #脅威モデリング

FMEAの例 ※FTAは経験したことがないのでFMEAだけ説明

たとえばミニ四駆で考えてみる 電池 配線 スイッチ モーター ギヤ シャフト  乾電池２本でモーターを駆動する玩具  底面にスイッチがある 写真は https://www.tamiya.com/japan/products/18662/index.html より引用 タイヤ #脅威モデリング

「故障モード影響解析」の故障モードとは  故障 システムを構成する個別要素の「端子の短絡」「コネクタ脱落」「ケーブル断 線」「ギヤの摩耗」などの不具合。さまざまなものがある  故障モード 発生し得る典型的な不具合を抽象化・分類して整理したもの  故障モードの例  電気回路： 短絡、断線、(コンデンサの)容量低下  機械部品： 摩耗、欠損、強度低下  外的環境： 異物混入、腐食、錆び STRIDEでの脅威分類に似ているが、 STRIDEのようなプリセットのリストは存在しない #脅威モデリング

1. 製品・システムを構成する要素を列挙する  入念に検証したい要素ほど細かく分割して列挙する  実績のある部品などはある程度機能単位でまとめる（サブシステムとして扱 う）  外部から購入する部品など分解の難しいものもそのまま扱う（この例では モーターなど) 部品・要素 電池 配線 スイッチ モーター … #脅威モデリング

2. 要素ごとに発生し得る故障モードを検討  その要素にどういった故障モードが発生し得るかを列挙する 部品・要素 故障モード 電池 発熱 破裂 電圧低下 配線 断線 短絡 … … #脅威モデリング

3. 故障モードを引き起こす原因を検討  故障モードを引き起こす原因を列挙する 部品・要素 電池 配線 … 故障モード 原因 発熱 粗悪な電池の使用 破裂 粗悪な電池の使用 電圧低下 電池容量の不足 電池電圧の不足 断線 ケーブルの断線 短絡 断線ケーブルの接触 … … #脅威モデリング

4. 故障モードを引き起こす原因を検討  故障モードが発生したときの製品・システムへの影響を検討する 部品・要素 電池 配線 … 故障モード 原因 影響 発熱 粗悪な電池の使用 人体・家財へ損害 破裂 粗悪な電池の使用 人体・家財へ損害 電圧低下 電池容量の不足 電池電圧の不足 車体停止 断線 ケーブルの断線 車体停止 短絡 断線ケーブルの接触 発熱により人体・家財へ損害 … … … #脅威モデリング

5. 重要度の検討 (1/2)  故障モードの重要度を「影響の大きさ」「発生度」「検出度」３軸で検討する  影響の大きさ - 「影響」欄がどれくらい重大か  発生度 - 問題が発生する可能性  検出度 - 問題発生前に検出できる可能性(受け入れ検査で判別など)。省略される こともある。今回は省略  文章で検討するやり方と点数付けするやり方がある  今回は3段階で点数付けしてみる  「影響の大きさ」「発生度」「検出度」から重要度を評価する  今回は「影響の大きさ」「発生度」それぞれ1-３を掛け算して算出 部品・ 要素 電池 故障 モード 発熱 原因 影響 影響の 大きさ 発生 度 検出 度 評価 粗悪な電池 の使用 人体・家財へ損害 3 1 - 3 #脅威モデリング

5. 重要度の検討 (2/2) 部品・ 要素 故障 モード 原因 影響 影響の 大きさ 発生 度 検出 度 評価 発熱 粗悪な電池 の使用 人体・家財へ損害 3 1 - 3 破裂 粗悪な電池 の使用 人体・家財へ損害 3 1 - 3 電圧低下 電池容量の 不足 電池電圧の 不足 一時的な 車体停止 1 2 - 2 断線 ケーブルの 断線 恒久的な 車体停止 2 3 - 6 短絡 断線ケーブ ルの接触 発熱により人体・ 家財へ損害 3 3 - 6 … … … … … … 電池 配線 … … #脅威モデリング

6. 対策の検討  重要度の評価結果に応じて対策を検討する 部品・ 要素 電池 故障 モード 原因 影響 影響の 大きさ 発生 度 検出 度 評価 発熱 粗悪な電池の使 用 人体・家財へ損害 3 1 - 3 規格化された電池を使用 取説に注意事項を記載 破裂 粗悪な電池の使 用 人体・家財へ損害 3 1 - 3 規格化された電池を使用 取説に注意事項を記載 電圧 低下 電池容量の不足 電池電圧の不足 一時的な 車体停止 1 2 - 2 対策不要 断線 ケーブルの断線 恒久的な 車体停止 2 3 - 6 ケーブルではなく金属板による配線 シャーシに固定し可動させない 短絡 断線ケーブルの 接触 発熱により人体・ 家財へ損害 ケーブルではなく金属板による配線 シャーシに固定し可動させない 配線露出部分を最小化 … … … 配線 … 3 … 3 - 6 … … … 対策 #脅威モデリング

FMEAと脅威モデリングの比較

FMEAと脅威モデリングの比較 FMEA 脅威モデリング 要素に分解 DFDで要素に分解 要素ごとに故障モードを列挙 要素ごとに脅威を列挙 故障モードの原因を検討 脆弱性の検討 システムへの影響を検討 重要度の評価 リスクの評価 対策の検討 対策の検討 #脅威モデリング

FMEAと脅威モデリングの比較 FMEA 脅威モデリング 要素に分解 DFDで要素に分解 要素ごとに故障モードを列挙 要素ごとに脅威を列挙 故障モードの原因を検討 脆弱性の検討 システムへの影響を検討 重要度の評価 リスクの評価 対策の検討 対策の検討 脅威モデリングではシス テムへの影響を検討する プロセスがない。 ここの差異の意味を考え てみる #脅威モデリング

脅威モデリングではシステムに与える影響の検討がない  脅威モデリングでは、個別要素ごとに脅威と脆弱性を検討し、それ をもとにリスク評価する  例：  要素「データベース」に脅威「情報漏えい」、脆弱性「SQLインジェクション」 と仮定する  「発生する可能性」と「発生したときの影響」からリスクを評価する 脅威： 情報漏えい 脆弱性：SQLインジェクション DB 利用者 処理 発生可能性: 中 発生時の影響: 高 #脅威モデリング

脅威モデリングではシステムに与える影響の検討がない  脅威モデリングでは、個別要素ごとに脅威と脆弱性を検討し、それ をもとにリスク評価する  例：  要素「データベース」に脅威「情報漏えい」、脆弱性「SQLインジェクション」 と仮定する  「発生する可能性」と「発生したときの影響」からリスクを評価する 脅威： 情報漏えい 脆弱性：SQLインジェクション DB 利用者 処理 発生可能性: 中 発生時の影響: 高 個別要素に着目したミクロな視 点から「発生時の影響」を推定 することが難しいのでは？ #脅威モデリング

個別要素の脅威からシステム全体の影響を検討  脅威モデリングでは個別要素に着目して脅威を検討し、そこから 一足飛びにシステム全体への影響の大きさを導こうとしている  セキュリティに慣れている人であれば暗黙的にそれができる  「SQLインジェクションが１か所でも存在すれば全体として致命的」など  脅威モデリングを行う際に、脅威・脆弱性からいきなり影響を検討 するのではなく、明示的に「この脅威と脆弱性から、システム全体 にどういう影響が起こりそうか」を検討してもいいのかもしれない  （今度やってみます…いつか…そのうち…） #脅威モデリング

質問＆ご意見ください！  15年以上ぶりにFMEAのことを思い出しながら調べたので間違 いも結構ありそう  類似しているが異なる分野の手法を応用することで、脅威モデリ ングをもっと発展させることもできそう  なにか気づいた点などあればお気軽にご意見ください！ @hasegawayosuke @hasegawa.bsky.social #脅威モデリング