JP2023047569A - 脅威分析方法および脅威分析システム - Google Patents

脅威分析方法および脅威分析システム Download PDF

Info

Publication number
JP2023047569A
JP2023047569A JP2021156545A JP2021156545A JP2023047569A JP 2023047569 A JP2023047569 A JP 2023047569A JP 2021156545 A JP2021156545 A JP 2021156545A JP 2021156545 A JP2021156545 A JP 2021156545A JP 2023047569 A JP2023047569 A JP 2023047569A
Authority
JP
Japan
Prior art keywords
asset
analysis
threat
attack
assets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021156545A
Other languages
English (en)
Inventor
紘幸 和田
Hiroyuki Wada
祐輔 根本
Yusuke Nemoto
峰久 永田
Minehisa Nagata
初帆 青島
Hatsuho Aoshima
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2021156545A priority Critical patent/JP2023047569A/ja
Priority to PCT/JP2022/018573 priority patent/WO2023047689A1/ja
Publication of JP2023047569A publication Critical patent/JP2023047569A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】セキュリティリスクの分析を精度よく行うことができる脅威分析方法を提供する。【解決手段】脅威分析方法は、脅威分析対象となるシステムのハードウェア構成要素を示すシステム構成情報と、ハードウェア構成要素に割り当てられる機能を示す機能割当情報と、機能に用いられる資産を示す資産情報と、資産の入出力元および入出力先のハードウェア構成要素を示す資産入出力情報とを取得する取得ステップ(ステップS11)と、取得した情報に基づいて、ハードウェア構成要素に対する資産の流れを示す物理データフローおよび機能に対する資産の流れを示す論理データフローを導出し、物理データフローおよび論理データフローに基づいて、ハードウェア構成要素毎および機能毎に、資産への攻撃の可能性および資産への攻撃による影響の分析を行う分析ステップ(ステップS12、S13)と、分析の結果を出力する出力ステップ(ステップS14)と、を含む。【選択図】図7

Description

本開示は、脅威分析対象となるシステムへの脅威を分析するための脅威分析方法および脅威分析システムに関する。
車両のCASE(Connected、Autonomous、Shared & Services、Electric)による進展にともない、車両内のネットワークであるCAN(Controller Area Network)またはEthernet(登録商標)などが、車両の外部のネットワークであるWi-Fi(登録商標)、Bluetooth(登録商標)、Cellular、V2X(Vehicle toX)などを通じてスマートフォンや外部サーバへ接続され、車両に対する外部からの脅威に対する対策が必要となっている。特に、車両の開発ライフサイクルの初期段階に脅威分析によるセキュリティリスクの分析が重要となっている。
例えば、特許文献1には、脅威分析対象となるシステムの構成要素および通信路の構成リストと想定される脅威とに基づいて、システムの構成要素へのアクセス元(脅威の発信元)を抽出する技術が開示されている。
特許第6384465号公報
しかしながら、不正な3rdpartyアプリのダウンロードおよび実行に起因する悪意のある攻撃を想定した場合、従来の物理的なハードウェア構成要素およびその通信路とは異なり、外部接続機器と車両間でソフトウェアによって確立された論理セッション上からの侵入が発生し得るため、上記特許文献1に開示された技術では、セキュリティリスクの分析を精度よく行うことができないおそれがある。
そこで、本開示は、セキュリティリスクの分析を精度よく行うことができる脅威分析方法などを提供する。
本開示の一態様に係る脅威分析方法は、脅威分析対象となるシステムのハードウェア構成要素を示すシステム構成情報と、前記ハードウェア構成要素に割り当てられる機能を示す機能割当情報と、前記機能に用いられる資産を示す資産情報と、前記資産の入出力元および入出力先の前記ハードウェア構成要素を示す資産入出力情報とを取得する取得ステップと、前記システム構成情報、前記機能割当情報、前記資産情報および前記資産入出力情報に基づいて、前記ハードウェア構成要素に対する前記資産の流れを示す物理データフローおよび前記機能に対する前記資産の流れを示す論理データフローを導出し、前記物理データフローおよび前記論理データフローに基づいて、前記ハードウェア構成要素毎および前記機能毎に、前記資産への攻撃の可能性および前記資産への攻撃による影響の分析を行う分析ステップと、前記分析の結果を出力する出力ステップと、を含む。
本開示の一態様に係る脅威分析システムは、脅威分析対象となるシステムのハードウェア構成要素を示すシステム構成情報と、前記ハードウェア構成要素に割り当てられる機能を示す機能割当情報と、前記機能に用いられる資産を示す資産情報と、前記資産の入出力元および入出力先の前記ハードウェア構成要素を示す資産入出力情報とを取得する取得部と、前記システム構成情報、前記機能割当情報、前記資産情報および前記資産入出力情報に基づいて、前記ハードウェア構成要素に対する前記資産の流れを示す物理データフローおよび前記機能に対する前記資産の流れを示す論理データフローを導出し、前記物理データフローおよび前記論理データフローに基づいて、前記ハードウェア構成要素毎および前記機能毎に、前記資産への攻撃の可能性および前記資産への攻撃による影響の分析を行う分析部と、前記分析の結果を出力する出力部と、を備える。
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。また、記録媒体は、非一時的な記録媒体であってもよい。
本開示の一態様に係る脅威分析方法などによれば、セキュリティリスクの分析を精度よく行うことができる。
図1は、実施の形態に係る脅威分析システムの構成の一例を示すブロック図である。 図2は、システム構成情報が示すハードウェア構成要素の一例を示すブロック図である。 図3は、機能割当情報の一例を示す図である。 図4は、資産情報の一例を示す図である。 図5は、資産入出力情報の一例を示す図である。 図6Aは、攻撃可能性評価基準の一例を示す図である。 図6Bは、攻撃可能性評価基準の一例を示す図である。 図7は、実施の形態に係る脅威分析方法の一例を示すフローチャートである。 図8は、物理データフローの一例を示す図である。 図9は、論理データフローの一例を示す図である。 図10は、CIA(Confidentiality Integrity Availability)分類に基づいて生成されるダメージシナリオの一例を示す図である。 図11は、DFD(Data Flow Diagram)分類の一例を示す図である。 図12は、CIA分類およびDFD分類に基づいて生成される脅威シナリオの一例を示す図である。 図13は、物理データフローおよび論理データフローにおけるハードウェア構成要素または機能への侵入経路の一例を示す図である。 図14は、物理データフローおよび論理データフローにおける目的地情報への攻撃経路の一例を示す図である。 図15は、攻撃経路から具体化される脅威事例の一例を示す図である。 図16は、分析結果の一例を示す図である。 図17Aは、リスク値の算出方法を説明するための図である。 図17Bは、リスク値の算出方法を説明するための図である。 図17Cは、リスク値の算出方法を説明するための図である。 図17Dは、リスク値の算出方法を説明するための図である。
本開示の一態様に係る脅威分析方法は、脅威分析対象となるシステムのハードウェア構成要素を示すシステム構成情報と、前記ハードウェア構成要素に割り当てられる機能を示す機能割当情報と、前記機能に用いられる資産を示す資産情報と、前記資産の入出力元および入出力先の前記ハードウェア構成要素を示す資産入出力情報とを取得する取得ステップと、前記システム構成情報、前記機能割当情報、前記資産情報および前記資産入出力情報に基づいて、前記ハードウェア構成要素に対する前記資産の流れを示す物理データフローおよび前記機能に対する前記資産の流れを示す論理データフローを導出し、前記物理データフローおよび前記論理データフローに基づいて、前記ハードウェア構成要素毎および前記機能毎に、前記資産への攻撃の可能性および前記資産への攻撃による影響の分析を行う分析ステップと、前記分析の結果を出力する出力ステップと、を含む。
これによれば、ハードウェア構成要素に対する資産の物理データフローに加えて、ハードウェア構成要素に割り当てられる機能に対する資産の論理データフローも用いて、資産への攻撃の分析、言い換えると、セキュリティリスクの分析が行われる。このため、不正な3rdpartyアプリのダウンロードに起因する攻撃を想定した場合であっても、論理セッション上からの侵入による脅威を把握することができ、セキュリティリスクの分析を精度よく行うことができる。例えば、製品の機能レベルでの脅威の抽出を網羅的に行うことができる。また、論理データフローから機能毎の資産の移動経路を特定することで、不要な経路の分析を削減できる。
例えば、前記分析ステップでは、さらに、前記ハードウェア構成要素毎および前記機能毎に定められた、前記資産への攻撃の可能性を評価するための攻撃可能性評価基準に基づいて、前記分析を行ってもよい。資産への攻撃の可能性を評価するための攻撃可能性評価基準を用いることで、資産への攻撃の可能性の分析をより精度よく行うことができる。
例えば、前記攻撃可能性評価基準は、前記ハードウェア構成要素毎および前記機能毎に適用されている対策を示す設計対策情報に基づいて定められてもよい。
例えば、攻撃に対する対策が適用されているハードウェア構成要素および機能については攻撃の可能性が低いと分析することができ、攻撃に対する対策が十分ではないハードウェア構成要素および機能については攻撃の可能性が高いと分析することができる。
例えば、前記分析ステップでは、さらに、前記ハードウェア構成要素毎および前記機能毎に定められた、前記資産への攻撃による影響を評価するための影響評価基準に基づいて、前記分析を行ってもよい。
資産への攻撃による影響を評価するための影響評価基準を用いることで、資産への攻撃による影響の分析をより精度よく行うことができる。
例えば、前記分析ステップでは、さらに、所定のデータベースおよび前記資産の特性に基づいて、前記ハードウェア構成要素毎および前記機能毎にダメージシナリオまたは脅威シナリオを生成し、前記分析の結果は、前記ハードウェア構成要素毎および前記機能毎の前記ダメージシナリオまたは前記脅威シナリオを含んでいてもよい。
例えば、資産の特性として資産のCIA分類またはDFD分類などを、所定のデータベースとしてSTRIDEの脅威分析モデルなどに照合することで、安全、財産、操作性能またはプライバシーなどに対するダメージシナリオまたは脅威シナリオを生成することができる。
例えば、前記分析ステップでは、前記物理データフローおよび前記論理データフローに基づいて、前記物理データフローおよび前記論理データフローにおける前記資産への攻撃経路を特定し、前記攻撃経路に基づいて、前記分析を行ってもよい。
攻撃経路を特定することで、セキュリティリスクの分析をより精度よく行うことができる。例えば、脅威事例を具体化することができる。
例えば、前記分析の結果は、前記資産への攻撃に対するリスクを示すリスク値を含んでいてもよい。
このように、分析の結果がリスク値(数値)で表されてもよく、リスク値からセキュリティリスクを判断しやすくなる。
本開示の一態様に係る脅威分析システムは、脅威分析対象となるシステムのハードウェア構成要素を示すシステム構成情報と、前記ハードウェア構成要素に割り当てられる機能を示す機能割当情報と、前記機能に用いられる資産を示す資産情報と、前記資産の入出力元および入出力先の前記ハードウェア構成要素を示す資産入出力情報とを取得する取得部と、前記システム構成情報、前記機能割当情報、前記資産情報および前記資産入出力情報に基づいて、前記ハードウェア構成要素に対する前記資産の流れを示す物理データフローおよび前記機能に対する前記資産の流れを示す論理データフローを導出し、前記物理データフローおよび前記論理データフローに基づいて、前記ハードウェア構成要素毎および前記機能毎に、前記資産への攻撃の可能性および前記資産への攻撃による影響の分析を行う分析部と、前記分析の結果を出力する出力部と、を備える。
これによれば、セキュリティリスクの分析を精度よく行うことができる脅威分析システムを提供できる。
以下、実施の形態について、図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。
(実施の形態)
実施の形態に係る脅威分析方法および脅威分析システムについて図1から図17Dを用いて説明する。
図1は、実施の形態に係る脅威分析システム10の構成の一例を示すブロック図である。
脅威分析システム10は、脅威分析対象となるシステムへの脅威を分析するためのシステムである。脅威分析対象となるシステムは、例えば、車載ネットワークなどに関連するシステムであり、ECU(Electronic Control Unit)およびECUに接続される機器などからなるシステムである。
脅威分析システム10は、取得部11、分析部12および出力部13を備える。また、脅威分析システム10のメモリには、攻撃可能性評価基準26および影響評価基準27が記憶される。脅威分析システム10は、プロセッサ(CPU:Central Processing Unit)およびメモリなどを含むコンピュータである。メモリは、ROM(Read Only Memory)およびRAM(Random Access Memory)などであり、プロセッサにより実行されるプログラムを記憶することができる。取得部11、分析部12および出力部13は、メモリに格納されたプログラムを実行するプロセッサなどによって実現される。なお、プログラムが記憶されたメモリと、攻撃可能性評価基準26および影響評価基準27が記憶されたメモリとは別のメモリであってもよい。脅威分析システム10を構成する構成要素は、1つの筐体に配置されてもよく、脅威分析システム10は、装置であってもよい。また、脅威分析システム10を構成する構成要素は、複数の筐体(装置)に分散して配置されてもよい。例えば、脅威分析システム10は、サーバであってもよい。
取得部11は、システム構成情報21、機能割当情報22、資産情報23、資産入出力情報24および設計対策情報25を取得する。例えば、脅威分析システム10は、入力I/F(インタフェース)を有していてもよく、入力I/Fを介してシステム構成情報21、機能割当情報22、資産情報23、資産入出力情報24および設計対策情報25が入力されることで、取得部11は、これらの情報を取得してもよい。また、脅威分析システム10は、通信I/Fを有していてもよく、取得部11は、通信I/Fを介してシステム構成情報21、機能割当情報22、資産情報23、資産入出力情報24および設計対策情報25を取得してもよい。また、脅威分析システム10のメモリに、システム構成情報21、機能割当情報22、資産情報23、資産入出力情報24および設計対策情報25が記憶されていてもよく、取得部11は、当該メモリからシステム構成情報21、機能割当情報22、資産情報23、資産入出力情報24および設計対策情報25を取得してもよい。
システム構成情報21は、脅威分析対象となるシステムのハードウェア構成要素を示す情報である。システム構成情報21について図2を用いて説明する。
図2は、システム構成情報21が示すハードウェア構成要素の一例を示すブロック図である。
例えば、図2には、ECU100に関連するシステム構成情報21が示されている。例えば、システム構成情報21には、ハードウェア構成要素として、ECU100と、ECU100と通信可能に接続されるOEM(Original Equipment Manufacturer)サーバ200、スマートフォン300(例えばECU100を搭載した車両のユーザのスマートフォン)、デバッグPC/診断機器400、車両制御ECU500およびセンサーECU600と、ECU100とOEMサーバ200との通信を行う通信ECU700と、ECU100とセンサーECU600との通信を行うGW(GateWay)800とが含まれる。また、ECU100には、ハードウェア構成要素として、EthernetのI/F101、BluetoothのI/F102、USB(Universal Serial Bus)のI/F103、CANのI/F104、MainCPU105、SubCPU106、eMMC(embedded Multi Media Card)107、NOR Flash108、JTAG(Joint Test Action Group)109が含まれる。
また、システム構成情報21には、ハードウェア構成要素同士の接続関係を示す情報が含まれる。ECU100において、MainCPU105は、I/F101、102および103、SubCPU106、eMMC107ならびにJTAG109と接続され、SubCPU106は、I/F104、MainCPU105、eMMC107、NOR Flash108およびJTAG109と接続される。I/F101は、通信ECU700を介してOEMサーバ200などと遠隔無線により接続され、また、OEMサーバ200を介してさらにスマートフォン300などと遠隔無線により接続される。I/F102は、スマートフォン300などと近接無線により接続される。I/F103は、スマートフォン300およびデバッグPC/診断機器400などと直接接続により接続される。I/F104は、GW800を介してデバッグPC/診断機器400および車両制御ECU500などと接続され、また、センサーECU600と接続される。
システム構成情報21に基づいて、攻撃の侵入経路を特定することができる。例えば、OEMサーバ200、通信ECU700およびI/F101を介する侵入経路、GW800およびI/F104を介する侵入経路、センサーECU600およびI/F104を介する侵入経路、さらには、I/F102または103を介して直接ECU100に進入する侵入経路などを特定することができる。
機能割当情報22は、ハードウェア構成要素に割り当てられる機能(アプリ機能)を示す情報である。機能割当情報22について図3を用いて説明する。
図3は、機能割当情報22の一例を示す図である。
例えば、MainCPU105によってVM(Vertual Machine)105aおよび105bが構成される。例えば、MainCPU105のVM105aに割り当てられる機能がリモート駐車機能であり、MainCPU105のVM105bに割り当てられる機能がアプリ追加機能およびリプロ機能であり、SubCPU106に割り当てられる機能が車両制御機能およびダイアグ機能であることが機能割当情報22に示される。また、機能割当情報22には、同一CPU内でのTrustZone、HyperVisiorまたはdockerなどCPUによる実行環境分離、仮想化、コンテナ技術などによる論理的な機能分割を示す情報が含まれていてもよい。例えば、後述する攻撃可能性評価基準26は、このような論理的な機能分割を示す情報に基づいて決定されてもよい。
資産情報23は、ハードウェア構成要素に割り当てられる機能に用いられる資産を示す情報である。資産情報23について図4を用いて説明する。
図4は、資産情報23の一例を示す図である。なお、図4には、影響評価基準27も示されているが、影響評価基準27については後述する。
例えば、図4には、リモート駐車機能に用いられる資産として駐車位置および認証情報が示されている。なお、図示していないが、目的地情報、走行軌跡、制御メッセージ、走行情報、センサー情報なども、リモート駐車機能に用いられる資産である。ここではリモート駐車機能に用いられる資産を示す資産情報23について示しているが、その他の機能(アプリ追加機能、リプロ機能、車両制御機能およびダイアグ機能など)についての資産情報23も存在する。
資産入出力情報24は、資産の入出力元および入出力先のハードウェア構成要素を示す情報である。資産入出力情報24について図5を用いて説明する。なお、入出力元とは、入力元および出力元を意味し、入出力先とは、入力先および出力先を意味する。
図5は、資産入出力情報24の一例を示す図である。図5には、資産の一例として駐車位置、認証情報および制御メッセージが示されている。
例えば、駐車位置の入力元のハードウェア構成要素はスマートフォン300であり、入力先のハードウェア構成要素はeMMC107であり、駐車位置は、スマートフォン300からeMMC107へ入力される。例えば、認証情報の出力元のハードウェア構成要素はeMMC107であり、出力先のハードウェア構成要素はMainCPU105であり、認証情報は、eMMC107からMainCPU105へ出力される。例えば、制御メッセージの出力元のハードウェア構成要素はMainCPU105であり、出力先のハードウェア構成要素は車両制御ECU500であり、制御メッセージは、MainCPU105から車両制御ECU500へ出力される。このように、資産入出力情報24には、資産毎の入力元のハードウェア構成要素および入力先のハードウェア構成要素、または、出力元のハードウェア構成要素および出力先のハードウェア構成要素を示す情報が含まれる。
設計対策情報25は、ハードウェア構成要素毎および機能毎に適用されている対策を示す情報である。例えば、ハードウェア構成要素に対してはアプリケーションFirewall、sandbox、強制アクセス制御、HIDS(Host-based Intrusion Detection System)またはNIDS(Network-based Intrusion Detection System)などの対策が適用され得る。また、例えば、機能に対しては資産の暗号化、ハッシュ値による正当性検証またはメモリアクセス制御などの対策が適用され得る。例えば、後述する攻撃可能性評価基準26は、設計対策情報25に基づいて決定されてもよい。
図1での説明に戻り、分析部12は、システム構成情報21、機能割当情報22、資産情報23および資産入出力情報24に基づいて、ハードウェア構成要素に対する資産の流れを示す物理データフローおよび機能に対する資産の流れを示す論理データフローを導出する。そして、分析部12は、導出した物理データフローおよび論理データフローに基づいて、ハードウェア構成要素毎および機能毎に、資産への攻撃の可能性および資産への攻撃による影響の分析を行う。例えば、分析部12は、さらに、攻撃可能性評価基準26、影響評価基準27または脅威DB28に基づいて、上記分析を行ってもよい。分析部12の動作の詳細については後述する。
出力部13は、分析部12での分析の結果を出力する。出力される分析の結果(分析結果30)の例については後述する。
攻撃可能性評価基準26は、ハードウェア構成要素毎および機能毎に定められた、資産への攻撃の可能性を評価するための基準である。攻撃可能性評価基準26について図6Aおよび図6Bを用いて説明する。
図6Aおよび図6Bは、攻撃可能性評価基準26の一例を示す図である。図6Aは機能毎に定められた攻撃可能性評価基準26を示し、図6Bはハードウェア構成要素毎に定められた攻撃可能性評価基準26を示す。あらかじめ定義された4段階(High(高)、Medium(中)、Low(低)、Very low(非常に低い))の攻撃可能性評価が行われる。
図6Aには、リモート駐車機能、アプリ追加機能、リプロ機能、車両制御機能およびダイアグ機能における資産への攻撃の可能性が示されている。例えば、アプリ追加機能は、外部との論理接続(セッション確立)があるため、資産への攻撃の可能性はHighとなっている。例えば、リプロ機能は、侵入検知機能を有しているため、資産への攻撃の可能性はMediumとなっている。例えば、リモート駐車機能およびダイアグ機能は、侵入防御機能を有しているため、資産への攻撃の可能性はLowとなっている。例えば、車両制御機能は、外部との論理接続がないため、資産への攻撃の可能性はVery lowとなっている。
図6Bには、エントリポイントが遠隔無線のハードウェア構成要素(例えばI/F101など)、エントリポイントが近接無線のハードウェア構成要素(例えばI/F102など)、エントリポイントが直接接続のハードウェア構成要素(例えばI/F103および104など)およびエントリポイントが物理接続のハードウェア構成要素(例えばMainCPU105およびSubCPU106など)における資産への攻撃の可能性が示されている。例えば、エントリポイントが遠隔無線のハードウェア構成要素に対する攻撃は容易に実現可能であるため、資産への攻撃の可能性はHighとなっている。例えば、エントリポイントが近接無線のハードウェア構成要素に対する攻撃の実現には過度な労力が必要となるため、資産への攻撃の可能性はMediumとなっている。例えば、エントリポイントが直接接続のハードウェア構成要素に対する攻撃の実現には多大な労力が必要となるため、資産への攻撃の可能性はLowとなっている。例えば、エントリポイントが物理接続のハードウェア構成要素に対する攻撃はほぼ不可能であるため、資産への攻撃の可能性はVery lowとなっている。
なお、攻撃可能性評価基準26は、設計対策情報25に基づいて決定されてもよい。例えば、攻撃に対する対策が適用されている機能またはハードウェア構成要素については、攻撃の可能性が低くなるような基準が決定され、攻撃に対する対策が適用されていない機能またはハードウェア構成要素については、攻撃の可能性が高くなるような基準が決定されてもよい。
また、機能毎に定められた攻撃可能性評価基準26は、機能割当情報22に含まれる論理的な機能分割を示す情報に基づいて決定されてもよい。例えば、論理的な機能分割が行われている機能については、攻撃の可能性が低くなるような基準が決定され、論理的な機能分割が行われていない機能については、攻撃の可能性が高くなるような基準が決定されてもよい。
影響評価基準27は、ハードウェア構成要素毎および機能毎に定められた、資産への攻撃による影響を評価するための基準である。影響評価基準27について図4を用いて説明する。
図4の影響評価基準27には、駐車位置および認証情報が用いられるリモート駐車機能に定められた、これらの資産への攻撃によるセキュリティ侵害時の直接的な影響が示されている。具体的には、リモート駐車機能において、駐車位置が攻撃された場合、安全、財産、操作性能、プライバシーの4つの観点ごとに、あらかじめ定義された4段階(Severe(重度)、Major(重要)、Moderate(中程度)、Negligible(無視可能))の影響評価が行われる。例えば、リモート駐車機能において、駐車位置が攻撃された場合、安全の観点での影響はNegligibleであり、車両の機能や性能に影響せず、財産の観点での影響はMajorであり、車両価格相当の損失が発生し、操作性能の観点での影響はNegligibleであり、車両の機能や性能に影響せず、プライバシーの観点での影響はSevereであり、駐車位置が個人を特定できる情報であると評価できる。
脅威DB28は、脅威分析の際に用いられる所定のデータベースである。例えば、脅威DB28は、Microsoft(登録商標)社が提唱するSTRIDEの脅威分析モデルである。詳細は後述するが、分析部12は、脅威DB28および資産の特性に基づいて、ハードウェア構成要素毎および機能毎にダメージシナリオまたは脅威シナリオを生成する。
次に、脅威分析システム10の動作について、図7を用いて説明する。
図7は、実施の形態に係る脅威分析方法の一例を示すフローチャートである。なお、脅威分析方法は、脅威分析システム10により実行されるため、図7は、実施の形態に係る脅威分析システム10の動作の一例を示すフローチャートでもある。
まず、取得部11は、脅威分析対象となるシステムのハードウェア構成要素を示すシステム構成情報21と、ハードウェア構成要素に割り当てられる機能を示す機能割当情報22と、機能に用いられる資産を示す資産情報23と、資産の入出力元および入出力先のハードウェア構成要素を示す資産入出力情報24とを取得する(ステップS11:取得ステップ)。
次に、分析部12は、システム構成情報21、機能割当情報22、資産情報23および資産入出力情報24に基づいて、ハードウェア構成要素に対する資産の流れを示す物理データフローおよび機能に対する資産の流れを示す論理データフローを導出する(ステップS12:分析ステップ)。物理データフローの一例を図8に示し、論理データフローの一例を図9に示す。
図8は、物理データフローの一例を示す図である。
図9は、論理データフローの一例を示す図である。
図8では、物理データフローの一例として、図2に示されるハードウェア構成要素に対する駐車位置、認証情報および制御メッセージの流れが示される。例えば、駐車位置は、スマートフォン300からI/F102およびMainCPU105を介してeMMC107へ流れる。例えば、認証情報は、eMMC107からMainCPU105へ流れる。例えば、制御メッセージは、MainCPU105からSubCPU106、I/F104およびGW800を介して車両制御ECU500へ流れる。
図9では、論理データフローの一例として、図3に示される機能に対する駐車位置、認証情報および制御メッセージの流れが示される。例えば、駐車位置は、スマートフォン300からリモート駐車機能を介してeMMC107へ流れる。例えば、認証情報は、eMMC107からリモート駐車機能へ流れる。例えば、制御メッセージは、リモート駐車機能から車両制御機能を介して車両制御ECU500へ流れる。なお、図示していないが、アプリ追加機能からリモート駐車機能への流れ、リプロ機能からリモート駐車機能への流れ、eMMC107から車両制御機能への流れ、ダイアグ機能から車両制御機能への流れ、および、センサーECU600から車両制御機能への流れなどは、他の資産の流れを示す。この論理データフローより、リモート駐車機能には別途、OEMサーバ200などとつながるアプリ追加機能やリプロ機能からVM間通信を経由して制御される可能性があり、アプリ追加機能やリプロ機能が確立する論理セッションから侵入された場合の影響を合わせて分析する必要があることが分かる。
各データフローにおけるハードウェア構成要素、機能、資産、資産の入出力元および資産の入出力先の情報は、システム構成情報21、機能割当情報22、資産情報23および資産入出力情報24に含まれているため、分析部12は、これらの情報に基づいて、物理データフローおよび論理データフローを導出することができる。
例えば、物理データフローは、TCP/IPプロトコル群におけるトランスポート層以下でのデータの流れであってもよく、論理データフローは、TCP/IPプロトコル群におけるアプリケーション層(OSI参照モデルにおけるセッション層以上)でのデータの流れであってもよい。
次に、分析部12は、導出した物理データフローおよび論理データフローに基づいて、ハードウェア構成要素毎および機能毎に、資産への攻撃の可能性および資産への攻撃による影響の分析を行う(ステップS13:分析ステップ)。
例えば、分析部12は、攻撃可能性評価基準26に基づいて分析を行ってもよい。例えば、攻撃可能性評価基準26においてHighとなっているハードウェア構成要素または機能への攻撃の可能性が高いと分析することができ、攻撃可能性評価基準26においてVery lowまたはLowとなっているハードウェア構成要素または機能への攻撃の可能性が低いと分析することができる。
なお、分析部12は、攻撃可能性評価基準26においてVery lowとなっているハードウェア構成要素または機能についての分析を行わなくてもよい。
例えば、分析部12は、影響評価基準27に基づいて、分析を行ってもよい。影響評価基準27においてMajorまたはSevereとなっているハードウェア構成要素または機能への攻撃による影響が大きいと分析することができ、影響評価基準27においてNegligibleとなっているハードウェア構成要素または機能への攻撃による影響が小さいと分析することができる。このとき、分析部12は、図4に示されるように、安全、財産、操作性能およびプライバシーのそれぞれの観点で影響の分析を行ってもよい。
また、例えば、分析部12は、所定のデータベース(例えば脅威DB28)および資産の特性に基づいて、ハードウェア構成要素毎および機能毎にダメージシナリオまたは脅威シナリオを生成してもよい。これについて図10から図12を用いて説明する。
図10は、CIA分類に基づいて生成されるダメージシナリオの一例を示す図である。
資産の特性は、例えばCIA分類に基づいて、機密性(Confidentiality)、完全性(Integrity)または可用性(Availability)に分類することができる。図10には、資産(リモート駐車機能に用いられる資産)のCIA分類とダメージシナリオとが対応付けられた脅威DB28が示されており、資産の特性(CIA分類)を脅威DB28に照合することで、ダメージシナリオを生成することができる。例えば、目的地情報はCIA分類としてI(完全性)とC(機密性)に影響があるためCIA分類毎に複数行に分割した上で、SFOP(安全、財産、操作性能、プライバシー)毎の影響評価値(Impact)に基づいて、完全性については、「目的地情報の完全性が侵害され、財産にMajor(車両価格相当の損失)な影響が発生する」というダメージシナリオを生成することができ、目的地情報の機密性については、「目的地情報の機密性が侵害され、プライバシーにSevere(個人を特定できる)な影響が発生する」というダメージシナリオを生成することができる。
図11は、DFD分類の一例を示す図である。
資産の特性は、DFD分類に基づいて、データフローに分類することができる。なお、機能はDFD分類に基づいてプロセスに分類することができ、メモリはDFD分類に基づいてデータストアに分類することができる。図11に示されるように、資産である目的地情報、認証ID(認証情報)、走行軌跡、地図データ、制御用データおよび走行情報がデータフローに分類されることがわかる。
図12は、CIA分類およびDFD分類に基づいて生成される脅威シナリオの一例を示す図である。
図12には、CIA分類およびDFD分類の組み合わせと脅威シナリオとが対応付けられた脅威DB28が示されている。なお、脅威シナリオにおいて、[プロセス]には機能名が記載され、[データフロー]には資産名が記載され、[データストア]にはメモリ名が記載される。例えば、目的地情報の完全性については、図12のCIA特性が「I」、DFD分類が「データフロー」の行を参照することで、「目的地情報が改ざんされる」、「なりすましにより偽の目的地情報が送受信される」といった脅威シナリオを生成することができる。
また、例えば、ステップS13では、分析部12は、物理データフローおよび論理データフローに基づいて、物理データフローおよび論理データフローにおける資産への攻撃経路を特定し、特定した攻撃経路に基づいて、分析を行ってもよい。これについて図13から図15を用いて説明する。
図13は、物理データフローおよび論理データフローにおけるハードウェア構成要素または機能への侵入経路の一例を示す図である。図13は、リモート駐車機能に着目した物理データフローおよび論理データフローにおける侵入経路を示している。ここでは、MainCPU105のリモート駐車機能に影響しうる、アプリ追加機能やリプロ機能を含むほかの多数の外部通信機能をまとめて、その他外部通信と記述することでデータフローを簡略化している。
例えば、攻撃者の侵入経路は、Bluetooth通信を用いたI/F102への侵入経路、CAN通信を用いたI/F104への侵入経路、その他の外部通信を用いたI/F101への侵入経路、さらにI/F101からMainCPU105およびSubCPU106への侵入経路、eMMC107への侵入経路などがある。
図14は、物理データフローおよび論理データフローにおける目的地情報への攻撃経路の一例を示す図である。
例えば、各資産のうち目的地情報に着目した場合、攻撃者は、Step1で示す侵入経路(攻撃経路)、Step2で示す攻撃経路およびStep3で示す攻撃経路によって攻撃を行うことが想定される。ここで、Step1からStep3の攻撃経路のそれぞれについて、資産の特性および脅威DB28を用いて、脅威事例を具体化することができる。
図15は、攻撃経路から具体化される脅威事例の一例を示す図である。
図15には、攻撃経路の元および先の種別と、脅威事例とが対応付けられた脅威DB28が示されている。ここでは、STRIDE分類におけるなりすまし、改ざん、情報漏洩の脅威事例の記述にとどめているが、その他のサービス拒否、否認、権限昇格に関しての記述を脅威事例として記述してもよい。
例えば、Step1で示す攻撃経路については、図15におけるStep1の枠で囲っている部分により脅威事例を具体化することができる。なお、[プロセス]にはBluetooth通信が記載され、[データフロー]には目的地情報が記載される。Step1で示す攻撃経路の元の種別は攻撃者であり、先の種別はプロセス(Bluetooth通信)であり、Step1で示す攻撃経路について、図12より生成した脅威シナリオがCIA分類よりI(完全性)の改ざんの場合は、「攻撃者がBluetooth通信内部のコード・データを改ざんする」といった脅威事例を具体化することができ、C(機密性)の情報漏洩の場合は、「攻撃者がBluetooth通信内部の機密情報を盗聴する」、「攻撃者がBluetooth通信にある目的地情報を盗聴する」といった脅威事例を具体化することができる。
例えば、Step2で示す攻撃経路については、図15におけるStep2の枠で囲っている部分により脅威事例を具体化することができる。なお、[プロセスA]にはBluetooth通信が記載され、[プロセスB]にはリモート駐車機能が記載され、[データフロー]には目的地情報が記載される。Step2で示す攻撃経路の元の種別はプロセス(Bluetooth通信)であり、先の種別もプロセス(リモート駐車機能)であり、Step2で示す攻撃経路について、改ざんに関して、「Bluetooth通信からリモート駐車機能に、改ざんされた目的地情報が送信される」といった脅威事例を具体化することができる。
例えば、Step3で示す攻撃経路については、図15におけるStep3の枠で囲っている部分により脅威事例を具体化することができる。なお、[プロセス]にはリモート駐車機能が記載され、[データストア]にはeMMCが記載され、[データフロー]には目的地情報が記載される。Step3で示す攻撃経路の元の種別はプロセス(リモート駐車機能)であり、先の種別はデータストア(eMMC)であり、Step3で示す攻撃経路について、改ざんに関して、「リモート駐車機能からeMMCに、改ざんされた目的地情報が送信される」といった脅威事例を具体化することができる。
図7での説明に戻り、出力部13は、分析部12による分析の結果(分析結果30)を出力する(ステップS14)。分析結果30について図16を用いて説明する。
図16は、分析結果30の一例を示す図である。図16では、リモート駐車機能に用いられる駐車位置についての分析結果30を一例として示しているが、このような分析結果30がハードウェア構成要素毎および機能毎に出力される。
例えば、分析結果30は、ハードウェア構成要素毎および機能毎のダメージシナリオまたは脅威シナリオを含んでいてもよい。例えば、図16に示される分析結果30には、「駐車位置の完全性が侵害され、財産にMajor(車両価格相当の損失)な影響が発生する」といったダメージシナリオおよび「駐車位置が改ざんされることで、駐車位置の完全性が侵害され、財産にMajor(車両価格相当の損失)な影響が発生する」といった脅威シナリオが含まれていることがわかる。
また、例えば、分析結果30は、資産への攻撃に対するリスクを示すリスク値を含んでいてもよい。例えば、図16に示される分析結果30には、リスク値「3」が含まれていることがわかる。リスク値は、例えば、影響評価基準および攻撃可能性評価基準から算出することができる。
図17A~図17Dは、リスク値の算出方法を説明するための図である。図17Aは、財産の観点でのリスクマトリクスであり、図17Bは、安全の観点でのリスクマトリクスであり、図17Cは、操作性能の観点でのリスクマトリクスであり、図17Dは、プライバシーの観点でのリスクマトリクスである。
例えば、安全、財産、操作性能またはプライバシーのそれぞれ毎に影響と攻撃可能性との評価値よりリスク値を算出するためのマトリクスが、図17A~図17Dに示されるように4つ別々に定められていてもよいし、1つに統一されていてもよい。例えば、図16に示されるリモート駐車機能に用いられる駐車位置について、駐車位置への攻撃の可能性がMediumであり、駐車位置への攻撃の財産の観点での影響がMajorである場合、図17Aに示されるリスクマトリクスよりリスク値を「3」と算出することができる。例えば、算出されたリスク値が、製品として許容できないレベルにあると判断される場合には、リスク対処方法に「軽減」を選択した上で、該当する脅威シナリオへの対策としてサイバーセキュリティゴールが特定される。なお、リスク軽減をしない場合(リスク受容、共有、移転など)には、理由を記載した上で、リスク状況の変化に応じて継続的に妥当性が管理される。
さらに、サイバーセキュリティゴールを具体的な製品要件に落とし込むために、図15に基づき算出された複数の攻撃経路毎に、サイバーセキュリティコントロールと呼ばれる管理策または対策として、サイバーセキュリティ要求として製品要件が特定されてもよい。
例えば、分析結果30を確認することで、ハードウェア構成要素毎および機能毎に、攻撃される可能性がどの程度あり、攻撃された場合にどのような影響があり、どのようなダメージシナリオおよび脅威シナリオが想定されるのかを、車両の開発ライフサイクルの初期段階に認識して、事前に対策を行うことができる。
以上説明したように、ハードウェア構成要素に対する資産の物理データフローに加えて、ハードウェア構成要素に割り当てられる機能に対する資産の論理データフローに基づいて、資産への攻撃(セキュリティリスク)の分析が行われる。このため、不正な3rdpartyアプリのダウンロードに起因する攻撃を想定した場合であっても、論理セッション上からの侵入に対する対策を行うことができ、セキュリティリスクの分析を精度よく行うことができる。例えば、製品の機能レベルでの脅威の抽出を網羅的に行うことができる。また、論理データフローから機能毎の資産の移動経路を特定することで、不要な経路の分析を削減できる。
(その他の実施の形態)
以上、本開示の実施の形態に係る脅威分析方法および脅威分析システム10について説明したが、本開示は、上記実施の形態に限定されるものではない。
例えば、上記実施の形態では、物理データフローおよび論理データフローが導出される例について説明したが、開発における設計の進展状況やリスク分析の状況に応じて、さらなる階層のデータフローが導出されてもよい。
例えば、上記実施の形態では、攻撃可能性評価基準26に基づいて、分析が行われる例について説明したが、分析に攻撃可能性評価基準26が用いられなくてもよい。この場合、脅威分析システム10のメモリに攻撃可能性評価基準26が記憶されていなくてもよい。
例えば、上記実施の形態では、影響評価基準27に基づいて、分析が行われる例について説明したが、分析に影響評価基準27が用いられなくてもよい。この場合、脅威分析システム10のメモリに影響評価基準27が記憶されていなくてもよい。
例えば、上記実施の形態では、設計対策情報25が取得される例について説明したが、設計対策情報25が取得されなくてもよい。この場合、攻撃可能性評価基準26は、設計対策情報25に基づいて定められなくてもよい。
例えば、上記実施の形態では、ダメージシナリオまたは脅威シナリオが生成される例について説明したが、ダメージシナリオまたは脅威シナリオが生成されなくてもよい。この場合、分析結果30に、ダメージシナリオまたは脅威シナリオが含まれていなくてもよい。
例えば、上記実施の形態では、物理データフローおよび論理データフローにおける資産への攻撃経路が特定される例について説明したが、攻撃経路が特定されなくてもよい。
例えば、上記実施の形態では、分析結果30にリスク値が含まれる例について説明したが、分析結果30にリスク値が含まれていなくてもよい。
例えば、上記実施の形態では、攻撃可能性評価基準26および影響評価基準27が脅威分析システム10のメモリに記憶される例について説明したが、脅威分析システム10の外部の装置に記憶され、脅威分析システム10は、外部の装置から攻撃可能性評価基準26および影響評価基準27を取得してもよい。
例えば、脅威分析方法におけるステップは、コンピュータ(コンピュータシステム)によって実行されてもよい。そして、本開示は、脅威分析方法に含まれるステップを、コンピュータに実行させるためのプログラムとして実現できる。
さらに、本開示は、そのプログラムを記録したCD-ROM等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。
例えば、本開示が、プログラム(ソフトウェア)で実現される場合には、コンピュータのCPU、メモリおよび入出力回路等のハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、CPUがデータをメモリまたは入出力回路等から取得して演算したり、演算結果をメモリまたは入出力回路等に出力したりすることによって、各ステップが実行される。
また、上記実施の形態の脅威分析システム10に含まれる各構成要素は、専用または汎用の回路として実現されてもよい。
また、上記実施の形態の脅威分析システム10に含まれる各構成要素は、集積回路(IC:Integrated Circuit)であるLSI(Large Scale Integration)として実現されてもよい。
また、集積回路はLSIに限られず、専用回路または汎用プロセッサで実現されてもよい。プログラム可能なFPGA(Field Programmable Gate Array)、または、LSI内部の回路セルの接続および設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。
さらに、半導体技術の進歩または派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、脅威分析システム10に含まれる各構成要素の集積回路化が行われてもよい。
その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素および機能を任意に組み合わせることで実現される形態も本開示に含まれる。
本開示は、車両のセキュリティリスクを分析するシステムなどに適用できる。
10 脅威分析システム
11 取得部
12 分析部
13 出力部
21 システム構成情報
22 機能割当情報
23 資産情報
24 資産入出力情報
25 設計対策情報
26 攻撃可能性評価基準
27 影響評価基準
28 脅威DB
30 分析結果
100 ECU
101、102、103、104 I/F
105 MainCPU
105a、105b VM
106 SubCPU
107 eMMC
108 NOR Flash
109 JTAG
200 OEMサーバ
300 スマートフォン
400 デバッグPC/診断機器
500 車両制御ECU
600 センサーECU
700 通信ECU
800 GW

Claims (8)

  1. 脅威分析対象となるシステムのハードウェア構成要素を示すシステム構成情報と、前記ハードウェア構成要素に割り当てられる機能を示す機能割当情報と、前記機能に用いられる資産を示す資産情報と、前記資産の入出力元および入出力先の前記ハードウェア構成要素を示す資産入出力情報とを取得する取得ステップと、
    前記システム構成情報、前記機能割当情報、前記資産情報および前記資産入出力情報に基づいて、前記ハードウェア構成要素に対する前記資産の流れを示す物理データフローおよび前記機能に対する前記資産の流れを示す論理データフローを導出し、前記物理データフローおよび前記論理データフローに基づいて、前記ハードウェア構成要素毎および前記機能毎に、前記資産への攻撃の可能性および前記資産への攻撃による影響の分析を行う分析ステップと、
    前記分析の結果を出力する出力ステップと、を含む、
    脅威分析方法。
  2. 前記分析ステップでは、さらに、前記ハードウェア構成要素毎および前記機能毎に定められた、前記資産への攻撃の可能性を評価するための攻撃可能性評価基準に基づいて、前記分析を行う、
    請求項1に記載の脅威分析方法。
  3. 前記攻撃可能性評価基準は、前記ハードウェア構成要素毎および前記機能毎に適用されている対策を示す設計対策情報に基づいて定められる、
    請求項2に記載の脅威分析方法。
  4. 前記分析ステップでは、さらに、前記ハードウェア構成要素毎および前記機能毎に定められた、前記資産への攻撃による影響を評価するための影響評価基準に基づいて、前記分析を行う、
    請求項1~3のいずれか1項に記載の脅威分析方法。
  5. 前記分析ステップでは、さらに、所定のデータベースおよび前記資産の特性に基づいて、前記ハードウェア構成要素毎および前記機能毎にダメージシナリオまたは脅威シナリオを生成し、
    前記分析の結果は、前記ハードウェア構成要素毎および前記機能毎の前記ダメージシナリオまたは前記脅威シナリオを含む、
    請求項1~4のいずれか1項に記載の脅威分析方法。
  6. 前記分析ステップでは、前記物理データフローおよび前記論理データフローに基づいて、前記物理データフローおよび前記論理データフローにおける前記資産への攻撃経路を特定し、前記攻撃経路に基づいて、前記分析を行う、
    請求項1~5のいずれか1項に記載の脅威分析方法。
  7. 前記分析の結果は、前記資産への攻撃に対するリスクを示すリスク値を含む、
    請求項1~6のいずれか1項に記載の脅威分析方法。
  8. 脅威分析対象となるシステムのハードウェア構成要素を示すシステム構成情報と、前記ハードウェア構成要素に割り当てられる機能を示す機能割当情報と、前記機能に用いられる資産を示す資産情報と、前記資産の入出力元および入出力先の前記ハードウェア構成要素を示す資産入出力情報とを取得する取得部と、
    前記システム構成情報、前記機能割当情報、前記資産情報および前記資産入出力情報に基づいて、前記ハードウェア構成要素に対する前記資産の流れを示す物理データフローおよび前記機能に対する前記資産の流れを示す論理データフローを導出し、前記物理データフローおよび前記論理データフローに基づいて、前記ハードウェア構成要素毎および前記機能毎に、前記資産への攻撃の可能性および前記資産への攻撃による影響の分析を行う分析部と、
    前記分析の結果を出力する出力部と、を備える、
    脅威分析システム。
JP2021156545A 2021-09-27 2021-09-27 脅威分析方法および脅威分析システム Pending JP2023047569A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021156545A JP2023047569A (ja) 2021-09-27 2021-09-27 脅威分析方法および脅威分析システム
PCT/JP2022/018573 WO2023047689A1 (ja) 2021-09-27 2022-04-22 脅威分析方法および脅威分析システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021156545A JP2023047569A (ja) 2021-09-27 2021-09-27 脅威分析方法および脅威分析システム

Publications (1)

Publication Number Publication Date
JP2023047569A true JP2023047569A (ja) 2023-04-06

Family

ID=85720364

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021156545A Pending JP2023047569A (ja) 2021-09-27 2021-09-27 脅威分析方法および脅威分析システム

Country Status (2)

Country Link
JP (1) JP2023047569A (ja)
WO (1) WO2023047689A1 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6676480B2 (ja) * 2016-06-13 2020-04-08 株式会社日立製作所 脆弱性リスク評価システム
JP7135976B2 (ja) * 2019-03-29 2022-09-13 オムロン株式会社 コントローラシステム、サポート装置および評価方法
JP7180500B2 (ja) * 2019-03-29 2022-11-30 オムロン株式会社 制御システム、および設定方法
JP7074104B2 (ja) * 2019-03-29 2022-05-24 オムロン株式会社 コントローラシステム
JP7149219B2 (ja) * 2019-03-29 2022-10-06 株式会社日立製作所 リスク評価対策立案システム及びリスク評価対策立案方法

Also Published As

Publication number Publication date
WO2023047689A1 (ja) 2023-03-30

Similar Documents

Publication Publication Date Title
CN113169975B (zh) 用于网络微分段和纳分段的安全规则的自动生成
CN106828362B (zh) 汽车信息的安全测试方法及装置
US10033814B2 (en) Vehicle security network device and design method therefor
US9262635B2 (en) Detection efficacy of virtual machine-based analysis with application specific events
KR102017810B1 (ko) 모바일 기기용 침입방지장치 및 방법
CN109766700A (zh) 访问文件的控制方法及装置、存储介质、电子装置
Park et al. Malware detection in self-driving vehicles using machine learning algorithms
JP6717206B2 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
CN112165455A (zh) 数据访问控制方法、装置、计算机设备和存储介质
US20220019676A1 (en) Threat analysis and risk assessment for cyber-physical systems based on physical architecture and asset-centric threat modeling
US20170155683A1 (en) Remedial action for release of threat data
Hong et al. Avguardian: Detecting and mitigating publish-subscribe overprivilege for autonomous vehicle systems
US20230362142A1 (en) Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing
CN116599747A (zh) 一种网络与信息安全服务系统
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
Akhuseyinoglu et al. AntiWare: An automated Android malware detection tool based on machine learning approach and official market metadata
WO2023047689A1 (ja) 脅威分析方法および脅威分析システム
Möller et al. Automotive cybersecurity
CN114257404B (zh) 异常外联统计告警方法、装置、计算机设备和存储介质
Xiong et al. Threat modeling of connected vehicles: A privacy analysis and extension of vehiclelang
CN115563618A (zh) 一种基于中央计算平台的渗透测试方法及装置
US20240193273A1 (en) Threat analysis method and threat analysis system
Weiss et al. Trust evaluation in mobile devices: An empirical study
Moloja et al. Towards a cloud intrusion detection and prevention system for M-voting in South Africa
Le et al. Hardware trojan detection and functionality determination for soft IPs

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240130

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20240304