機能セキュリティ、7/7。情報と機能セキュリティを確保する方法

出所



機能安全に関する一連の出版物の最後に、今日の記事では、機能安全を確保するためにどのような組織的および技術的方法が使用されるかを検討します。



とりわけ、ほとんどの方法を適用して、現代の制御システムの不可欠な安全性（安全性とセキュリティ）の概念の枠組み内で情報セキュリティを確保できます。



分析されたメソッドのセットは、 IEC 61508「電気、電子、プログラマブル電子安全関連システムの機能安全」 （IEC 61508電気/電子/プログラマブル電子安全関連システムの機能安全）の要件に基づいています。 産業用制御システムの情報セキュリティを確保するための詳細に関しては、 以前の記事の 1つで検討されたNIST SP 800-82「産業用制御システム（ICS）セキュリティのガイド」が基礎として採用されています。

IEC 61508：機能安全を確保する方法と手段

IEC 61508の要件を1つまたは別のSIL（Safety Integrity Level）に準拠するための認証を実行する場合、まず、製品に機能安全（FB）を確保するために必要かつ十分なメカニズムが含まれていることを実証することが重要です。開発プロセスでFBを確実に使用するために必要かつ十分な方法のセット。 これから進んで、条件付きでFBを提供する方法を技術的および組織的に分割します。



FBを提供する方法は、要素の物理的な経年劣化による偶発的なハードウェア障害からの保護と、不完全な設計プロセスによる体系的な障害からの保護を目的としています。 現代の世界では、FBは情報セキュリティ（IS）から切り離して考慮することは考えられないため、FBを確保する方法は、ほとんどの場合、サイバー攻撃に対する保護も提供します。



同時に、ほとんどの方法は複雑です。つまり、同じ方法が偶発的および系統的な障害から保護することを多少なりとも目的としています。



FBを提供する方法の説明は、 IEC 61508-7、Methods and Meansに含まれています。 ただし、特定のメソッドのアプリケーションの要件を理解するには、パート7だけでは不十分です。

FBシステムとハードウェアの提供に特化したIEC 61508のパート2 、およびソフトウェア要件を含むパート3には 、偶発的および系統的な障害から保護するための方法とツールを定義する3つの重要なアプリケーションがあります。 IEC 61508の構造は、方法と手段がパート7で詳細に説明されているため、IEC 61508のパート2および3からの障害に対する保護の要件は、パート7でFSを保証する方法と手段の説明にトレースされています。この関係は図1に示されています。







図1. IEC 61508に準拠した安全方法の構造



IEC 61508のパート2の付録Aは、動作中のハードウェア障害の監視に対応しており、これらはランダムな障害または系統的な障害のいずれかである可能性があることが理解されています。 偶発的障害に対する保護の詳細な説明は、IEC 61508のパート7の付録Aに記載されています。偶発的障害に対する保護の方法は、電気コンポーネント、電子コンポーネント、プロセッサモジュール、メモリなど、検討中のハードウェアのタイプに応じてカテゴリに分類されます



付録パート2では、IEC 61508はライフサイクル全体にわたる体系的なハードウェア障害に対する保護方法について説明しています。 IEC 61508は、設計エラー、操作エラー、および外部の極端な影響（気候、機械、放射など）を系統的なハードウェア障害の原因と見なしていることに注意してください。 関連する方法の詳細な説明は、IEC 61508のパート7の付録に含まれています。体系的なハードウェア障害に対する保護方法のプレゼンテーションの構造には、独自の特性があります。たとえば、B.1一般的な対策と手法カテゴリには、プロジェクト管理、文書化、分離、多様性。 さらに、メソッドはライフサイクルの各段階に分散されます。



IEC 61508のパート3の付録Aは、完全な安全性を達成するためのソフトウェア開発とテスト方法の選択に関するガイダンスを提供します。 関連するメソッドの詳細な説明は、IEC 61508のパート7の付録Cに含まれています。ここでは、カテゴリC.1全般では、メソッドはまったく説明されていません。 さらに、これらの方法は、要件と詳細設計、アーキテクチャ設計、ツールとプログラミング言語、検証と修正、FBの評価というカテゴリに分類されます。



IEC 61508で上記を説明するために、要件の仕様を開発する段階でソフトウェアの機能安全を確保するために使用される方法を定義する最も単純な表を検討してください（図2を参照）。







図2. IEC 61508-7、表A.1-ソフトウェア安全要件の仕様



SIL3セキュリティ整合性レベルに興味があるとしましょう。 「SIL3」列にHR（強く推奨）として示されているメソッドを適用する必要があります。 いずれにせよ、認証機関が、必然的に推奨される1つまたは別の方法が使用されなかった理由を説明することは事実上不可能です。 R（推奨）として指定されたメソッドを使用できますが、合理的に破棄することもできます。 表A1（SIL3）を使用すると、ここではすべてが非常に簡単です。 正式な方法を使用することをお勧めしますが、準正式な方法を使用する優先順位は高くなります（強く推奨）。 したがって、セミフォーマルな方法が使用される場合、フォーマルな方法は放棄されます。 順方向および逆方向トレースの使用も必須です（トレース要件は、以前の出版物で既に言及されています）。 トレースサポートおよび仕様開発ソフトウェアの使用は明らかです。



すでに述べたように、セキュリティ手法を組織的手法と技術的手法に分けることをお勧めします。 次に、これら2つのグループを検討します。

情報と機能のセキュリティを確保するための組織的な方法

実際、このシリーズの以前の出版物では、組織的な対策がすでに検討されています。 これらには、FB管理、プロジェクト管理、ライフサイクル管理、開発およびテスト方法が含まれます。 IEC 61508の構造に従って、これらの方法を簡単に要約しましょう。これらの方法はすべて、機能セキュリティと情報セキュリティの両方に等しく適用できます。

プロジェクト管理

プロジェクト管理手法を適用することで、必要なレベルのセキュリティを確保できます。つまり、いわゆる「品質の三角形」にとどまります。 「プロジェクト管理知識体系」またはPMBOKには、プロジェクトライフサイクルのすべての段階でのプロセスの実装に関する推奨事項が含まれています。

ドキュメンテーション

ドキュメントおよびドキュメント管理は、セキュリティにとって重要な製品を開発するためのすべての技術的および組織的な決定をキャプチャするための重要な方法です。 製品およびプロセスに加えられた変更を文書化することに特に注意が払われます。 ライフサイクル全体を通して文書化を実施する必要があります。

IBおよびFBのライフサイクル

情報セキュリティと金融セキュリティのライフサイクルの実装は、以前の出版物ですでに詳細に議論されている要件です。 IEC 61508は、次のような側面に特に重点を置いています。



- システムとソフトウェアを開発するための構造化されたプロセス 。

-レビュー、分析、およびテストの段階的な実装で構成される検証および検証プロセスの実装。

-運用結果に関するフィードバックを考慮した、リリース後の製品サポート。

ベストプラクティスとコーディング標準の使用

IEC 61508では、プログラミング言語の安全な使用を実装する必要があります。これには、厳密に型指定された言語の使用と構造プログラミングのサポートが含まれます。限られた言語構成要素セットの使用をお勧めします。 たとえば、セキュリティシステムのマイクロコントローラーの場合、C ++ではなくC言語が優先されます。 MISRAなどの適切な標準を使用して、コーディングルールと禁止設計を定義します。



コーディング標準とベストプラクティスは、コード要件としてソフトウェア開発で使用されるコーディング規則のセットを定義します。 このような合意には、命名規則とコメント規則、インデント規則とコード規則、複雑さの制限などが含まれます。



一般的な慣行は、いわゆる防御的プログラミングです。重大な問題が発生すると、ソフトウェアは事前に決められた方法でシャットダウンします。 システムを安全な状態にします。

認定コンパイラとライブラリの使用

セキュリティにとって重要なソフトウェアを開発する場合、コンパイラーがソースコードを予測可能かつ決定的な方法で実行可能ファイルに変換することを保証する必要があります。 このために、認定されたコンパイラとコードトランスレータ、および認定されたソフトウェアコンポーネントのライブラリが使用されます。 過去数年間で、マイクロプロセッサおよびFPGAの大手メーカーは、認定されたセキュリティソフトウェアの開発に使用できるコンパイラおよび関連ライブラリのバージョンをリリースしました。 電子工学の現在の傾向は、プログラム可能なコンポーネントのソフトウェアとハ​​ードウェアの設計の統合をますます強化しているため、開発ツールのセキュリティに対する役割と影響が増大しています。

ハードウェア製造の品質管理

ハードウェアの製造では、電子部品が取り付けられたプリント回路基板の品質に特に注意が払われます。 品質管理は、次のようなコンポーネントで構成されています。



-ハードウェア設計の開発と検証。

-購入した材料とコンポーネントの品質管理。

-生産管理;

-生産現場での品質検査。

-リリースされたハードウェアのテスト。

正式および準正式表記の使用

IEC 61508が必要とするもう1つの組織的な方法は、ソフトウェアおよびハードウェアコンポーネントだけでなく、要件仕様とシステム設計を開発するための正式および準正式な表記法の使用です。 現在、プログラマブルシステムを設計するための最も一般的な準形式表記法は、 IDEFおよびUMLです。

プログラマブルロジックコントローラーの場合、ほとんどの開発環境でサポートされている典型的なプログラミング言語が開発され、 IEC 61131-3に記述されています。 最も一般的なのはグラフィック言語FBD（Function Block Diagram）で 、実際にはソフトウェア設計の正式な表記法です。

FBを提供するための技術的な方法

プロセス制御システムのアーキテクチャを確認することから始めましょう（図3を参照）。 システムに含まれるもの：



-電源コンポーネント。

-フィールド機器（センサーおよびアクチュエーター）;

-入力および出力モジュールと制御モジュールを含むプログラマブルロジックコントローラー。

-ネットワーク機器、サーバー、およびヒューマンマシンインターフェイスのコンポーネント。







図3.プロセス制御システムの典型的なアーキテクチャ（出典：ISA / IEC 62443）

ご予約

次に、プロセス制御システムに冗長性を実装する方法を検討します。

冗長性は、個々のコンポーネントまたはそのグループ、およびシステム全体の両方に実装できます。 これはまさにあなたの注意を喚起しているケースです（図4を参照）。







図4. ICSコンポーネントの複製



電源から始めましょう。 理想的には、システムの独立したチャネルが独立したソースから電力を供給される場合、最大の独立性が保証されます。 この図は、最初のチャネルに交流電源が供給され、2番目のチャネルに直流電流が供給されることを示しています。 次に、電源システムの1つで電力の問題が発生した場合、チャネルの1つだけがオフになります。 極端な状況でも電源の継続性と品質を確保することは、制御システムの安全性を確保するための重要な側面です。



冗長センサー、コントローラー、およびアクチュエーターを使用できます。 チャネル間では、情報交換プロトコルを編成することができます（図では緑色で示されています）。または、チャネル間の最大の独立性を実現できますが、交換は行われません。



さらに、複製されたネットワークアーキテクチャと、複製されたコンピューティングコンポーネントとデータウェアハウスを備えた複製されたヒューマンマシンインターフェイスを実装できます。

予約時のバラエティー（サボタージュ）

ダイバーシティは、冗長チャネルの同じ機能が異なる方法で実行される場合の冗長性の一種です。たとえば、異なる機器または異なるソフトウェアを使用します。



通常の冗長性は、設計エラーに起因する体系的な障害から保護しません。 したがって、システムのバージョンが異なるように設計されている場合、一般的な系統的なチャネル障害（一般的な理由によるいわゆる障害）の数は減少します（いずれにせよ、理論的には減少します）。 これは、一般的な理由による障害の数（または障害率）と障害の総数（または障害率）の比率を示す、いわゆる-factorを使用して考慮されます。 $$$\ベータ$ -factorは、使用される転換戦略に依存します。 チャネル間の差が大きいほど、値は低くなります $$$\ベータ$ ファクター（図5を参照）。







図5.異なる（サボタージュ）複製チャネルを使用する場合の一般的な理由による障害数の削減（出典：IEC 61508）



もちろん、破壊工作の使用はシステムのコストを増加させる非常に高価な方法ですが、たとえば原子力エネルギーなどのリスクの高い一部のセクターでは、これは正当化され、規格で要求されています。

コンポーネントの独立性と分離

冗長性を補完するもう1つの方法は、システムとコンポーネント間の障害の拡大を防ぐことを目的とした、コンポーネントの独立と分離の原則です。 たとえば、システムのチャンネルが物理的に異なる部屋にある場合、または互いにかなりの距離がある場合、分離は物理的です（図6を参照）。 電気的分離も使用されます。これには、たとえばガルバニック絶縁だけでなく、機能と通信の独立性、たとえばケーブルのシールドと電気ケーブルと信号ケーブルの分離も含まれます。









図6.チャネルの物理的および電気的独立性（出典：IEC 60709）

自己診断

デジタルデバイスの自己診断は、次のように簡単に説明できます（図7を参照）。







図7.制御システムでの診断の実装



基本的なデジタル制御アルゴリズムに加えて、システムと並行して、診断データとウォッチドッグの処理が行われます。 これら3つのプロセスはすべて、互いに独立して実行され、独立したクロックソース、異なるマイクロ回路などを使用できます。



ウォッチドッグは、データを処理するチップからの最も単純な応答を制御し、問題が検出されると（応答が停止する）、電源をオフにし、システムを安全な状態にします。 さらに、ウォッチドッグは、電力レベルを監視し、電力が設定レベルから危険に逸脱した場合に同様のシャットダウンコマンドを発行できます。 安全システムの安全状態は、原則として、出力アナログおよびデジタル出力から電力を除去することです。 必要に応じて、セキュリティシステムはアクチュエーターに電力を供給できますが、出力には追加の信号コンバーターが必要です。



自己診断により重大な問題（ハードウェアノードの障害、ハードウェアまたはソフトウェアの構成違反、データ転送違反など）が検出された場合、コマンドを発行してシステムを安全な状態にします。メイン制御ロジック。



次に、デジタルデバイスの自己診断によって実行される典型的な機能をまとめましょう。 ウォッチドッグと電源制御の機能がレビューされたばかりです。



重要な診断機能は、ソフトウェアとハ​​ードウェアの構成を制御することです。 このプロパティは情報セキュリティにも影響します。 動作中、各ハードウェアモジュールは定期的に、シリアル番号とダウンロードしたソフトウェアの構成に関する情報（チェックサムなど）を送信します。 構成違反が発生した場合、システムは、安全な状態に移行して電源を切るまで、指定された保護アクションを実行します。



フリーズ制御を実行する別のオプションは、個々の制御ロジックモジュールの実行時間を制御する内部または外部タイマーです。 タスクは数回再​​起動できますが、再起動に失敗した場合は、安全な状態に切り替えることもできます。



制御システムの重要な機能は、入力および出力アナログ信号の測定精度を確保することです。 測定の精度を診断するために、処理の結果を比較し、結果の一致または不一致に関する診断メッセージを提供する冗長ADCおよびDACを使用できます。



制御システムでは、通信チャネルと処理中の両方で、ソフトウェアとハ​​ードウェアのコンポーネント間で分散されるデータパケットの送信に多くの注意が払われます。 ここでは、診断のために、送信確認、タイムアウト制御、データパケット送信の整合性とシーケンス制御、および巡回コード（CRC）などの方法が使用されます。 暗号化アルゴリズムを使用して、データ送信中に情報を保護できます。

環境保護

別の安全方法グループは、悪影響から保護することを目的としています。 独立と分離の方法はすでに検討されています。



制御システムの機能を確保するために、換気と空調が使用され、振動やその他の機械的影響に耐える設計が設計され、消火システムと、化学物質や放射線の影響に耐える不燃性の材料、材料、コーティングが使用されます。



電磁適合性を確保することに真剣な注意が払われています。 このために、外部および固有のさまざまな種類の電磁干渉のフィルタリングと抑制が実行され、他の機器への露出が制限されます。



防爆システムの設計には、特殊なATEX標準が使用されます。 IP規格は、防塵および防湿システムの設計に使用されます。

人事ミスからの保護

人事管理システムは、リスクを軽減および増大させることができます。 多くの技術的事故は人的要因によって引き起こされました。 同時に、専門的な行動が災害や人命の損失を回避した多くの場合があります。 したがって、人間工学の要件とオペレータのエラーに対する保護を考慮したヒューマンマシンインターフェイスの開発も重要な安全領域です。

情報セキュリティ機能

ACS TP

FBを提供することを目的とした方法を検討する場合、ISを提供することも重要です。 IEC 61508には、この主題に関するいくつかの一般的な言葉のみが含まれています。 このような施設に情報セキュリティを提供するためのアプローチを決定する産業用制御システムのいくつかの機能について説明します。 図8では、どの攻撃ベクトルが形成されるかに基づいて、潜在的な脆弱性が考慮されています。







図8. ICSの脆弱性（出典：Byres Research Inc.）



このような脆弱性は、ネットワーク境界、リモート接続、ファイアウォール、購入した機器、リムーバブルストレージメディア（主にUSBポートを使用）、コントローラーソフトウェアおよび通信回線です。

ネットワークセグメンテーション

自動プロセス制御システムに情報セキュリティを提供する基盤は、ネットワークのセグメント化と機器配置のゾーニングです（このトピックはここで説明しました ）。



自動プロセス制御システムに少なくとも1つの非武装地帯（DMZ）を実装し、企業ネットワークと管理ローカルネットワークを分離することをお勧めします。







図9. DMZを使用した産業用制御システムのネットワーク構造（ソース：NIST 800-82）

アクセス制御

IS ACS TPを提供するもう1つの機能は、いくつかの方法で実装できるアクセス制御の積極的な使用です。



機器を備えたキャビネットには、ドアを開けてアラームディスプレイに信号を出すためのロックと接触センサーが装備されています。



情報セキュリティに関連する情報を含む大量の診断データを監視および保存すると、幅広い分析機能が提供されます。



通信回線は脆弱なコンポーネントであるため、物理レベルと論理レベルの両方で、それらへのアクセスも制御されます。 通信回線とポートの使用は合理的に制限されるべきです。 セキュリティシステムでは、広く普及している産業用プロトコルとは異なる独自のプロトコルを使用した単方向通信のみを使用する必要があります。



ソフトウェアおよびソフトウェア自体の設定を変更し、ハードウェアの構成を変更するには、特別な許可を実行する必要があります。

結論

制御システムの安全性を確保するための方法とツールは、情報とセキュリティの機能コンポーネントの両方について、リスクが指定されたレベル以下に低減されることを保証する必要があります。 これらの方法には、組織と技術の2つのグループが含まれます。



組織的な方法には、プロジェクト管理、文書化、ISおよびFBライフサイクルの実装、高度なプログラミング方法と標準の使用、認定翻訳者、コンパイラおよびコードライブラリの使用、ハードウェアコンポーネントの生産における品質管理、仕様および設計の開発のための正式および準正式な表記法の使用が含まれます。



技術的な方法には、冗長性、分離と独立性、妨害または多様性、内部および外部の危険に対する保護、ヒューマンマシンインターフェイスエンジニアリング、さまざまなタイプの自己診断が含まれます。



制御システム用の特別な攻撃防止技術には、アクセス制御とネットワークセグメンテーションが含まれます。



PSこの記事は、機能安全のトピックに関する一連の出版物をまとめたもので、私は数ヶ月間取り組んでいます。 すべての読者、特に思いやりのあるコメントで資料を完成させるのを助けてくれた人々に感謝します。 出版物と並行して、 機能安全に関するビデオコースが作成され、記録されました（世界には類を見ません）。 出版物とビデオコースの主な規定は、IEC 61508の要件に準拠するための制御システムの認証へのアプローチに専念しています。



そして、ここに記事の完全なリストがあります：



- 機能安全のトピックの紹介 。

-IEC 61508規格：用語 。

-IEC 61508規格：要件構造 。

- 情報と産業用制御システムの機能安全との関係 。

- 機能安全の管理と評価のプロセス ;

- 情報と機能セキュリティのライフサイクル 。

- 信頼性と機能安全の理論：基本的な用語と指標 。

- 機能安全を確保する方法 。