[{"data":1,"prerenderedAt":39},["ShallowReactive",2],{"journal-detail-23":3},{"main":4,"content":11,"author":34},{"id":5,"level":6,"level_name":7,"title":8,"summary":7,"body":7,"author":9,"created_time":10,"edited_time":10},407,0,"","OPC UAのオープンソースの脆弱性情報について","murakami","2018-05-30 03:04:00",[12,17,21,25,30],{"id":13,"heading":14,"summary":7,"body":15,"gallery":16},408,"１．OPC UAに17件の脆弱性情報（カスペルスキー社報告）","Industry4.0やIICでは製造システム／制御システムで使用する通信としてセキュリティ仕様が高く評価されているOPC UAのみを指定しています。しかし、セキュリティ評価の高いOPC UAにもOPC FOUNDATIONが公開しているサンプルソースコードに17件の脆弱性情報があることをカスペルスキー社が2018年5月10日に報告しました。\n\u003Ca href=\"https://ics-cert.kaspersky.com/reports/2018/05/10/opc-ua-security-analysis/\" target=\"_blank\">https://ics-cert.kaspersky.com/reports/2018/05/10/opc-ua-security-analysis/\u003C/a>","image1.jpg,image2.jpg,image3.jpg",{"id":18,"heading":7,"summary":7,"body":19,"gallery":20},409,"OPC UAのオープンソースが公開されているWebサイトはこちらです。\n\u003Ca href=\"https://github.com/opcfoundation/\" target=\"_blank\">https://github.com/opcfoundation/\u003C/a>","image4.jpg,image5.jpg",{"id":22,"heading":23,"summary":7,"body":24,"gallery":7},410,"２．OPC Foundationからのコメント","OPC UAのオープンソースに脆弱性がある件についてのOPC Foundationからのコメントを以下に記載します。\nReview of Kaspersky Labs Report Confirms OPC Foundation’s Transparent, Open Source OPC UA Implementations Strategy Improves Security\n（意訳：OPC UAのオープンソースに脆弱性があるというカスペルスキー社の指摘はOPC UAのセキュリティを向上させる戦略上に貢献するものである。）\n\u003Ca href=\"https://opcfoundation.org/news/press-releases/review-kaspersky-labs-report-confirms-opc-foundations-transparent-open-source-opc-ua-implementations-strategy-improves-security/\" target=\"_blank\">https://opcfoundation.org/news/press-releases/review-kaspersky-labs-report-confirms-opc-foundations-transparent-open-source-opc-ua-implementations-strategy-improves-security/\u003C/a>\n\n以下、上記リンク先のOPC Foundationのコメントの英語と日本語を併記しておきます。\n\n1. Eight issues were associated with an OPC Foundation ANSI-C sample server application that was provided with the ANSI-C stack code in GitHub. These issues did not affect the ANSI C stack itself or products based on commercial SDKs. Nevertheless, all issues have been fixed.\n\u003Cspan class=\"text-bloqueout\">GitHub （公開オープンソースサイト）のANSI-Cスタックコードで提供されていた OPC Foundation ANSI-Cサンプルサーバアプリケーションに関連付けられたオープンソースコードに８つの問題がありました。これらの問題は、ANSI C スタック自体や商用 SDK（ドライバ開発ツール）に基づく製品には影響ありませんでした。それでも、すべての問題が修正されました。\u003C/span>\n\n2. Six issues were associated with the OPC Foundation server enumerator (LDS). These were fixed in 2017 and a CVE was published. These issues were not exploitable remotely.\n\u003Cspan class=\"text-bloqueout\">OPC Foundation サーバー列挙子 (LDS) に6つの問題が関連付けられています。これらは2017で修正され、CVE（Common Vulnerabilities and Exposures）が公開されました。これらの問題はリモートでは悪用確認できませんでした。\u003C/span>\n（注：サイバー攻撃の技術レベルもあるので一概にリモート操作の話はできないですが、OPC Foundationの技術者では確認できなかったと理解しておいた方が良いでしょう。）\n\n3. Three issues affected some products in the field. Specifically:\na.) One issue was specific to a product from a vendor who published a CVE in 2016;\nb.) The second issue is specific to a product from a vendor who is working on a fix and will report it to US ICS CERT as soon as possible;\nc.) The third issue affected a legacy .NET stack that was promptly fixed by the OPC Foundation in 2017.  OPC users were notified of this issue via a CVE in 2017.\n\u003Cspan class=\"text-bloqueout\">3つの問題は、フィールドの一部の製品に影響を与えた。具体的には\na.) 1 番目の問題は、2016で CVE を公開したベンダの製品に固有のものでした。\nb.) 2 番目の問題は、修正に取り組んでいるベンダからの製品に固有のものであり、できるだけ早く米国 ICS CERT に報告します。\nc.) 3 番目の問題は、2017の OPC Foundation によって速やかに修正されたレガシー .NET スタックに影響を及ぼしました。 OPC ユーザーは、2017の CVE を介してこの問題について通知されました。\u003C/span>\n\nIn addition, to alleviate potential confusion the Kaspersky Labs report may have created about the strong security the OPC UA standard offers, the OPC Foundation emphasizes that:\n• The OPC UA software eco-system is composed of multiple commercial OPC UA SDK/Toolkit vendors that offer well tested and well documented products.\n• The vast majority of OPC UA products are based on these commercial OPC UA SDK/Toolkits and are not affected by the issues with the ANSI-C sample server application published on GitHub.\n\u003Cspan class=\"text-bloqueout\">さらに、OPC UA 標準が提供する強力なセキュリティについて、カスペルスキーのレポートが作成した可能性のある混乱を緩和するために、OPC Foundation は次のことを強調しています。\n• OPC UA ソフトウェアエコシステムは、よくテストされ、十分に文書化製品を提供する複数の商用 OPC UA SDK/ツールキットベンダーから成っています。\n• OPC UA 製品の大半は、これらの商用 OPC UA SDK/ツールキットに基づいており、GitHub で公開されている ANSI C サンプルサーバアプリケーションの問題の影響を受けません。\u003C/span>\n\nThe OPC Foundation works cooperatively with vendors to have the open source code base tested by external security organizations and have those results incorporated into GitHub.\n\u003Cspan class=\"text-bloqueout\">OPC Foundation は、外部のセキュリティ組織によってテストされたオープンソースコードベースをベンダと協調して実行し、それらの結果を GitHub に組み込んでいます。\u003C/span>",{"id":26,"heading":27,"summary":7,"body":28,"gallery":29},411,"３．今回学ぶべきこと","OPC UAのソースコードに脆弱性があるからと言って、全てのOPC UA製品に脆弱性があるという訳ではありません。以下の対応をしているかどうかが重要です。\n\n●OPC UAドライバを開発するベンダがOPC UAのソースコードを参考にはするが、OPC UAの仕様を理解して搭載しようとする製品仕様に合ったOPC UA通信ドライバをコーディングします。その後、使用している開発ツールで最新のCVEやNVD、JVNなどの脆弱性情報データベースを使ってセキュアコーディングチェックを実施して脆弱性を取り除きます。このやり方はＩＣＳ研究所のeICSの制御製品開発技術「セキュアコーディングにおけるセキュリティ対策」講座と「プログラム開発ツールについて」講座でもご紹介しております。\nそして、静的解析ツール、動的解析ツールの検査を行います。さらに、ISA Secure認証のEDSA認証の検証ツールと同等もしくはそれ以上の検査ツールを使用してCRT（Communication Robustness Test）を実施します。\n工場の立会試験では装置や機械のサイバーセキュリティ機能及び性能試験を実施します。そういったプロセスを経たOPC UA製品であれば、慌てることはありません。また、ISA Secure認証のEDSA認証を取得しているOPC UA製品については指定のセキュリティレベルを持っていることが証明されております。\n\n以上を簡潔にまとめますとこの3項目です。\n①製品開発プロセスのコーディング作業段階でセキュアコーディングチェックを実施し、開発ツールや静的解析ツール、動的解析ツールで最新のCVEやNVD、JVNなどの脆弱性情報データベースによるチェックを実施していること\n②製品開発プロセスのサイバーセキュリティ機能試験、性能試験時にISA Secure認証のEDSA認証で使用している検証ツールと同等もしくはそれ以上の検査ツールを使用して確認していること\n③ISA Secure認証のEDSA認証を取得しているとなお良い。（但し、ISA Secure認証のEDSA認証の最新バージョンはV2.1です。）\n\n●問題となるケースは、OPC UAの公開ソースコードをそのまま使用して、セキュアコーディングやサイバーセキュリティ品質検査を製品開発プロセスの各チェック段階で実施していない。もしくは、実施しても出てきたwormingの対処をしないまま、製品出荷している場合、これらの脆弱性情報をもとに、OPC UAのソースコードに注目して新しいマルウェアを開発して闇市場で販売開始すると瞬く間にネット上に拡がっていきます。\n　すでにカスペルスキー社は100以上の「OPC UA製品」に問題があることを確認しています。","image6.jpg",{"id":31,"heading":32,"summary":7,"body":33,"gallery":7},412,"まとめ","\u003Cstrong>OPC UAの仕様は、今後もIndustry4.0やIICの通信仕様として位置づけられます。\u003C/strong>\n製品開発ベンダや制御システムインテグレータが開発プロセスで実施するべきセキュアコーディングチェックや静的・動的解析／サイバーセキュリティ品質検査を実施することで安全の要因であるサイバーセキュリティレベルが確保されます。\n\n\u003Cstrong>ISA-99（ISA Secure認証）は、重要インフラや製造業などで制御システムを標的にしたサイバー攻撃に対処する設備オーナーにとって、サプライヤ責任とオーナー責任の間を定義するオーナー指定の認証制度になるべくセキュリティレベルを考慮した認証制度です。\u003C/strong>\n- CSMS認証：サイバーセキュリティマネージメントシステム（IEC62443-2-1）\n- SSA認証：制御システム、制御装置、機械（IEC62443-3-1）\n- EDSA認証：制御製品、制御コントローラ（IEC62443-4-1）\n（欧米をはじめ、インドネシアやオーストラリア、南米での重要インフラやプラント発注プロジェクトではISA-99を基本発注仕様書などで指定しています。）\n\n\u003Cstrong>セキュリティ認証を取得した制御製品を採用し、制御セキュリティ対策と情報セキュリティ対策の両方の技術を対象となる制御システムに施すことでサイバー攻撃に強い制御システムが実現可能となります。\u003C/strong>",[35],{"id":9,"company":36,"name":37,"profile":38},"株式会社ICS研究所","村上 正志","1979～90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。\n＊関わった火力発電所は、北海道電力（苫東厚真、伊達）、東北電力（新仙台、仙台、東新潟）、東京電力（広野、姉ヶ崎、五井、袖ヶ浦、東扇島）、北陸電力（富山新港）、中部電力（渥美、西名古屋、知多、知多第二）、関西電力（尼崎、御坊、海南、高砂）、中国電力（新小野田、下関、岩国）、四国電力（阿南）、九州電力（港、新小倉、川内）、Jパワー（磯子、松島、高砂）、日本海LNG　など\n\n1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。\n\n1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。（2004年よりシュナイダーエレクトリックグループ傘下に属す）また、1999年にはコーポレートコーディネーション／VEC（Virtual Engineering Company & Virtual End-User Community）を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。\n2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。\n2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。\n\n2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。\n\n2017年4月～ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家\n\n2017年7月～ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当\n\n現在活動している関連団体及び機関\n・日本OPC協議会 顧問\n・制御システムセキュリティ関連団体合同委員会委員",1779421343250]