A.アクセス制御メカニズム(ACM: Access Control Mechanism)
アクセス制御メカニズム(Access Control Mechanism)は、情報システムやリソース(ファイル、データベース、アプリケーション、ネットワークサービスなど)へのアクセスを管理・制限するためのメカニズム(仕組み)や手法の総称です。
⇒これにより、承認されたユーザーやプロセスのみが必要な情報や機能にアクセスできるようになり、ACM情報セキュリティが確保される。
A-1アクセス制御メカニズム(ACM)の「複数の要素」から構成される。
1. 識別(Identification): ユーザーやプロセスが「誰であるか」を特定するプロセスです。
⇒ユーザー名などがこれに該当します。
2. 認証(Authentication): 識別されたユーザーが主張する本人であることを確認するプロセスです。
⇒パスワード、生体認証(指紋、顔認識)、ICカード、多要素認証などが用いられます。
3. 認可(Authorization):
認証されたユーザーが、特定のリソースに対してどのような操作(読み取り、書き込み、実行、削除など)を許可されているかを決定するプロセスです。
⇒これがアクセス制御の核となる部分です。
4. 監査(検証プロセス)/説明責任(Auditing/Accountability):
アクセス試行やリソースへのアクセス履歴を記録し、後で確認できるようにするプロセスです。
不正アクセスや誤操作の追跡、セキュリティポリシーの遵守状況の評価に役立つ。
*A-2 参考:アクセス制御モデルの主な種類
アクセス制御メカニズムには、さまざまなモデルがある。
1. 任意アクセス制御 (DAC: Discretionary Access Control):
リソースの所有者が、そのリソースへのアクセス権限を他のユーザーに自由に付与したり剥奪したりできるモデルです。
* 例: ファイルシステムのパーミッション(読み取り、書き込み、実行権限を所有者、グループ、その他に設定)
2.強制アクセス制御 (MAC: Mandatory Access Control):
システム管理者やセキュリティポリシーによって、すべてのリソースとユーザーにセキュリティラベル(機密レベルなど)が割り当てられ、このラベルに基づいてアクセスが強制的に制御されるモデルです。
* ユーザーが自由にアクセス権限を変更することはできません。
* 主に高セキュリティを要求される政府機関や軍事システムなどで利用されます。
3.ロールベースアクセス制御 (RBAC: Role-Based Access Control):
ユーザーに直接権限を付与するのではなく、「ロール(役割)」に対してアクセス権限を割り当て、ユーザーをそのロールに紐付けるモデルです。
* 例: 「経理部長」「営業担当者」「一般社員」といったロールを作成し、それぞれのロールに必要な権限を付与する。ユーザーが異動などで役割が変わった場合でも、ユーザーとロールの紐付けを変更するだけで簡単に権限を管理できます。多くの企業システムで採用されている。
4.属性ベースアクセス制御 (ABAC: Attribute-Based Access Control):
* ユーザー、リソース、環境などの「属性(Attribute)」に基づいてアクセスを決定する、より柔軟なモデルです。
* 例: 「午前9時から午後5時の間に、本社オフィスから、経理部の社員のみが、高機密の財務データにアクセスできる」といった、複数の条件を組み合わせてアクセスを制御する。
B. EN 18031-1の6.2項 [AUM:Authentication Mechanism] 認証メカニズム
この規格の6.2項で言及される認証メカニズムは、無線機器が正当なユーザーやデバイスからのアクセスのみを許可し、不正なアクセスを防ぐための仕組みを指す。
具体的には、以下の点が含まれると考えられる。
1.アクセス制御: 誰が、どのような権限で機器にアクセスできるかを管理する。
認証の強度: パスワード、生体認証、多要素認証など、認証に使用される方法の堅牢性。
2.ログ記録: 認証試行やアクセスに関する情報を記録し、セキュリティ監査やインシデント対応に役立てる。
B-1 認証メカニズム(AUM)の構成要素
a)主な構成要素は以下の通りです。
1. 認証主体(Supplicant / Client):
これは、無線機器へのアクセスを試みるユーザーまたはデバイス(例:スマートフォン、PC、スマート家電など)を指す。
・認証情報を提示する役割を担う(例:ユーザー名、パスワード、証明書など)。
2. 認証器(Authenticator / Network Access Device):
・ 無線LANアクセスポイントやスイッチなどのネットワーク機器がこれにあたります。
・ 認証主体からの認証要求を受け取り、認証サーバーとの間で認証情報を中継します。
・ 認証サーバーからの結果に基づいて、認証主体のネットワークアクセスを許可または拒否する役割を持つ。
3. 認証サーバー(Authentication Server):
・ ユーザー情報やデバイス情報などをデータベースとして持ち、認証の可否を判断するサーバーです。
・ 通常、RADIUS(Remote Authentication Dial-In User Service)サーバーなどが用いられる。
・ 認証器から受け取った認証情報を検証し、認証結果を認証器に返す。
これらの要素が連携して、無線機器へのアクセスが正当なものであるかを確認し、不正なアクセスを排除する。
b)また、認証メカニズムを構成する具体的な「認証要素」としては、以下のものが挙げられる。
・知識情報(Knowledge Factor): パスワード、PINコード、秘密の質問など、ユーザーが知っている情報。
・所持情報(Possession Factor): スマートフォン、セキュリティトークン、ICカード、・デジタル証明書など、ユーザーが持っているもの。
・生体情報(Inherence Factor): 指紋、顔認証、虹彩認証など、ユーザーの身体的特徴。
⇒EN 18031-1では、これらの認証要素の強度や、多要素認証(複数の異なる種類の認証要素を組み合わせる)の採用などが評価の対象となることがある。
C. EN 18031-1の6.3項 [SUM: Secure Update Mechanism] セキュアな更新メカニズム
これは、無線機器のファームウェアやソフトウェアの更新を安全に行うための仕組みに関する要件です。無線機器は一度展開されると、長期間にわたって使用されることが多いため、新たな脆弱性の発見や機能改善のために、定期的な更新が必要になる。
⇒この更新プロセスが安全でない場合、機器が不正なファームウェアに置き換えられたり、「マルウェア」に感染したりするリスクがある。
C-1 セキュアな更新メカニズム(SUM)の重要なポイント
(1)更新の認証(Authenticity):
更新ファイルが、信頼できる正規のベンダーや開発元によって提供されたものであることを確認する。通常、デジタル署名やハッシュ値の検証によって行われます。
(2)更新の完全性(Integrity):
更新ファイルが、転送中に改ざんされていないこと、または破損していないことを確認する。チェックサムやハッシュ値の検証が用いられます。
(3)更新の機密性(Confidentiality):
必要に応じて、更新ファイルの内容が不正な第三者に漏洩しないように暗号化される。
(4)ロールバック保護(Rollback Protection):
古い、脆弱性のあるバージョンへのダウングレード攻撃を防ぐための仕組み。通常、ファームウェアのバージョン管理によって行われます。
(5)更新中の保護(Protection during Update):
更新プロセス中に機器が不安定になったり、不正な状態になったりすることを防ぐためのメカニズム。
(6)回復メカニズム(Recovery Mechanism):
更新に失敗した場合に、機器が機能停止するのを防ぎ、以前の安定した状態に回復できる仕組み。
C-2 セキュアな更新メカニズム(SUM)の構成要素
1. 更新ファイルの信頼性検証(Authenticity and Integrity Verification):
デジタル署名(Digital Signature): 更新ファイルが、正当な発行元(ベンダーなど)によって署名されていることを検証する。これにより、ファイルが改ざんされていないことと、不正な第三者によって作成されたものでないことを確認できる。
ハッシュ値(Hash Value): 更新ファイルのハッシュ値(例:SHA-256)を計算し、提供された既知のハッシュ値と比較することで、ファイルが転送中に破損したり、意図的に改ざんされたりしていないことを確認する。
2. 暗号化(Encryption):
更新ファイルの内容が機密性の高い情報を含む場合や、不正な第三者による解析を防ぐために、更新ファイルを暗号化して配信することがあります。これにより、更新プロセス中の情報の漏洩を防ぐ。
3. バージョン管理とロールバック保護(Version Management and Rollback Protection):
4. ファームウェアバージョンチェック:
機器が受信した更新ファイルのバージョンが、現在インストールされているファームウェアのバージョンよりも新しいものであることを確認する。
ロールバック保護: 攻撃者が古いファームウェア(既知の脆弱性を持つ可能性のあるバージョン)に機器をダウングレードするのを防ぐメカニズム。これにより、以前に修正されたセキュリティ脆弱性が再導入されることを防ぐ。
5. 安全な転送プロトコル(Secure Transfer Protocol):
更新ファイルのダウンロードにHTTPS(TLS/SSL)やSFTPなど、暗号化された安全な通信プロトコルを使用する。これにより、転送中の盗聴や改ざんを防ぐ。
6. 更新中の堅牢性(Robustness during Update):
更新プロセス中に電源が失われたり、通信が途絶えたりした場合でも、機器が回復不能な状態に陥らないようにするメカニズム。デュアルバンクメモリ(A/Bパーティション)や、セキュアブートローダーの利用などがこれに該当する。
7. 回復メカニズム(Recovery Mechanism):
更新が失敗した場合に、機器が以前の正常な状態に自動的に復元できる仕組み。これにより、更新失敗による機器の機能停止を防ぎ、サービスの継続性を確保する。
C-3 参考:セキュアな更新メカニズム(SUM)の例
1. スマートフォンのOSアップデート (例: iOS/Android)
更新ファイルの信頼性検証: AppleやGoogleがデジタル署名を用いてファームウェアやOSの更新ファイルを署名する。デバイスは、この署名を検証して、更新が正規のものであることを確認する。
更新の完全性: ダウンロードされたファイルのハッシュ値が検証され、ファイルが破損または改ざんされていないことを確認する。
暗号化された転送: 更新ファイルは通常、HTTPSなどの暗号化されたチャネルを通じてダウンロードされます。
ロールバック保護: 古いOSバージョンへのダウングレードは通常、防止されます。
回復メカニズム: 更新中に問題が発生した場合、安全な復旧モードやリカバリパーティションからの起動が可能です。一部のデバイスでは、A/Bパーティション更新メカニズム(デュアルシステムパーティション)を採用しており、一方のパーティションで更新中に、もう一方のパーティションで元のOSを実行し続け、更新失敗時には元のパーティションに戻れるようにしている。
2. IoTデバイスのファームウェア更新 (例: スマート家電、ネットワーク機器)
OTA (Over-The-Air) アップデート: 多くのIoTデバイスは、ネットワーク経由でファームウェアを更新する。
信頼性検証: デバイスは、ベンダーが提供するデジタル署名を検証して、更新ファイルの出所と完全性を確認する。署名が無効な場合は、更新は拒否される。
セキュアブートとセキュアファームウェア: 多くのIoTデバイスは、起動時にファームウェアの署名を検証するセキュアブート機能を備えている。これにより、不正なファームウェアがロードされるのを防ぐ。
A/Bパーティション: 一部の高度なIoTデバイスや車載システムでは、上記スマートフォンと同様のA/Bパーティション更新が採用され、更新の信頼性と回復力を高めている。
差分更新(Delta Update): 全てのファームウェアをダウンロードするのではなく、変更点のみをダウンロードして適用することで、更新プロセスを効率化し、通信量を削減する。
3. 自動車のOTAソフトウェア更新 (例: Tesla)
Teslaのようなコネクテッドカーは、定期的にソフトウェアのOTA更新を受けている。
エンドツーエンドのセキュリティ: 更新ファイルは、生成元から車両まで暗号化され、デジタル署名が施されている。
厳格な検証プロセス: 車両のECU(電子制御ユニット)は、更新ファイルの信頼性と完全性を厳密に検証する。
冗長性と回復: 更新中に問題が発生しても、車両が動作不能にならないように、冗長なシステムや回復メカニズムが組み込まれている。