共通評価基準製品のセキュリティ接続を評価する
認定されたIT製品とそのセキュリティへの影響についての研究。
― 1 分で読む
IT製品やシステムのセキュリティ証明書が増えてきたことで、情報技術のセキュリティ評価のための共通基準(CC)が、認証された製品の間に複雑な関係を作り出している。しかし、これらの製品間のつながりや依存関係は詳しく探求されていない。この研究は、これらのつながりを理解するための新しい方法を開発し、認証された製品間のつながりが本当に依存関係を示す頻度を評価するためのリファレンスフレームワークを確立することを目的としている。
その結果得られたリファレンスフレームワークは、エコシステムのかなりの部分によって依存される少数の認証コンポーネントを明らかにする。これにより、これらのコンポーネントは悪意のある行為者にとって魅力的なターゲットとなる。これらの重要な製品が侵害された場合の影響は、古い製品やアーカイブされた製品へのリスクのある参照と関連して評価される。
セキュリティ評価や認証が存在しなかったら、セキュアなシステムの設計や予算の立て方は大きく異なっていただろう。共通基準は、セキュリティ評価と認証の分野で25年以上も重要な役割を果たしてきた。多くの製品がCC認証プロセスを経ており、その評価にはしばしば何十万ユーロもかかることがある。
認証された製品の数が非常に多いため、相互に関連した項目の複雑なネットワークが形成されている。しかし、これらの製品間の参照が実際の依存関係を示しているかどうかは不明である。以前の研究では、さまざまなプログラミング言語におけるソフトウェアパッケージ間の依存関係が分析されている。この研究では、人気のあるソフトウェアライブラリに対する信頼や、他のものに対する影響が強調されている。これらのライブラリの影響を調査することで、コミュニティは影響力のあるパッケージを特定し、悪意のある行為者の潜在的なターゲットとしてマークできる。この洞察により、これらの重要な部分の監視が強化され、開発者が依存関係を評価し最小限に抑えることが促され、コードの再利用と複雑な依存関係の問題の回避のバランスを取ることができる。
この研究は、認証された製品間の参照を分析することでCCエコシステム内の依存関係のセキュリティリスクを検討する。これを行うために、既存のツールを使用して指向性参照グラフを作成し、これらの接続をその意味に基づいてラベリングする方法を提案する。この表現は、認証された製品が他のデバイスのセキュリティ機能にどの程度依存しているかを示し、攻撃者と防御者の両方にとって高い価値のあるターゲットを特定する-他の製品から多く参照される製品を。さらに、高く参照されているデバイスの侵害の影響を評価し、古い製品との関連からリスクを引き起こす可能性のある参照を特定するために実証分析が行われる。
私たちの研究には重要な意味がある。まず、認証された製品に脆弱性が見つかった場合、セキュリティアナリストは、これを参照している他の製品を迅速に特定できる。次に、影響力のある製品は、私たちの分析に基づいてより詳細な調査が必要かもしれない。最後に、新製品の設計者は、サブコンポーネントとして認証された製品の使用に対する信頼を評価し、依存関係に関するより良い選択をすることができる。
共通基準の背景
共通基準(CC)は、IT製品のセキュリティを評価し認証するための国際的な標準だ。これは、さまざまな国の認証スキーム間の相互運用性のためのフレームワークを提供し、共通基準認識アレンジメント(CCRA)の下で認証されたソリューションへの信頼を育てる。セキュリティ関連の製品はどれでもCC標準のもとで認証されることができ、開発プロセスの質が製品のセキュリティの良い指標であることを強調している。
認証プロセスは、応募者がセキュリティターゲット(ST)を提出し、製品のセキュリティ仕様と目標を詳しく記述することで始まる。応募者は、特定のユースケースを説明する事前定義されたプロテクションプロファイル(PP)から選ぶ。独立した評価者が、その製品がSTに記載された要求を満たしているかどうかをチェックする。その後、製品には、評価保証レベル(EAL)1から7までの認証レベルが付与され、高いレベルはセキュリティに対するより高い保障を示すが、高コストでもある。
CCに認証された製品のさまざまなカテゴリーがあり、集積回路からデータベースまで多岐にわたる。CCポートフォリオのかなりの部分は、スマートカードに焦点を当てている。ほとんどのアクティブな証明書は安全と考えられるレベルにあり、多くがEAL4以上で認証されている。この安全なセグメント内では、スマートカードが高保証レベルでの認証の大部分を占めている。
共通基準の制度は多様で、証明書間のさまざまな関係が存在する。複合評価では、ハードウェアやソフトウェアを含む複数のセキュリティ製品をまとめて評価することができる。このプロセスでは、各コンポーネントが明確に定義された範囲内で評価される必要がある。一部の認証機関は、セキュリティ強化のために、複合チェーン内の最古の証明書の定期的な再評価を義務付けている。
関連研究
以前の研究では、CC認証の実践に関する定量的分析が行われている。ある研究では、すべてのCC認証資料を機械可読ドキュメントに処理し、認証された製品を脆弱性にリンクさせた。この作業は、セキュリティ要件と脆弱性の関係を測定するための基盤を提供したが、重要な側面は未探求のままだった。
いくつかの論文がCCエコシステムについての洞察を提供しているが、証明書間の参照に焦点を当てた包括的な研究は不足している。それに対し、さまざまなプログラミング言語間のソフトウェアパッケージ間の依存関係は徹底的に分析されている。この研究では、パッケージの依存関係に対する取り扱いの違いが示されており、それぞれがセキュリティに対する影響を持つ。
私たちの研究では、CC参照グラフの概念を導入する。このグラフは、認証された製品から成り、各参照はその認証文書に基づいて製品間の関係を示す。
参照グラフの構築
この参照グラフを構築するために、一般的にPDF形式で入手可能な公的なCCアーティファクトを使用する。これらの文書には、セキュリティターゲット、メタデータ、認証レポート、メンテナンスレポート、プロテクションプロファイルなど、さまざまなコンポーネントが含まれる。
以前に開発されたツールを使用して、認証アーティファクトと認証された製品の特徴を収集し、参照グラフを構築する。認証レポートやセキュリティターゲットが別の製品の証明書IDを明示的に言及している場合、グラフにエッジを追加する。
参照の意味を分類するために、各エッジにカテゴリコードをマッピングするエッジラベリング関数を作成する。認証アーティファクトを調査して、参照の意味を示す初期コードを開発する。共著者が異なるエッジをサンプリングし、文書を分析して参照カテゴリを説明するコードブックを作成する。
製品間の参照の主な理由は次のとおりだ。
- コンポーネント再利用(C): 参照される製品を全体として利用する製品。
- 前身(P): 参照される製品は、参照する製品の前身である。
この分類は、より具体的な文脈を捉えるためにさらに洗練できるが、それには複雑さが伴う。私たちは参照グラフからエッジをサンプリングし、手動でコードを付与した。
エッジラベリング関数の学習
各エッジの参照文脈を学習するために、参照識別子を囲む認証文書から文を抽出する。特徴を抽出した後、機械学習分類器をトレーニングしてこれらの特徴をカテゴリにマッピングする。このアプローチには、セグメント抽出、ベクトル埋め込み、特徴抽出、分類器トレーニング、評価などのいくつかのステップが含まれる。
さまざまなモデルと比較して分類器のパフォーマンスを評価し、文のトランスフォーマーを使用した結果が最良であることを確認する。分類器は参照の意味を正確にマッピングでき、今後の分類のための信頼できる基盤を提供する。
参照グラフの分析
構築した参照グラフを用いて、さまざまな研究課題を調査する。
参照文化
認証されたすべての製品の中で、少なくとも1つの参照を持つ製品が一定数存在する。スマートカードは他の製品を参照することが多く際立っている。ほとんどのスマートカードは、コンポーネントの再利用や前身として他の認証された製品を参照している。対照的に、スマートカードに関連しないデバイスは参照を利用することがほとんどない。
また、参照習慣の進化も観察される。スマートカード間の平均参照数は着実に増加しており、他の認証された製品の機能への依存が高まっていることを示している。
参照文化に関する重要な発見は以下の通りだ:
- CC証明書間のクロスリファレンスの主な動機は、コンポーネント再利用と前身関係である。
- スマートカードは他の製品を参照する強い傾向を示し、平均的なリーチが時間と共に一貫して増加している。
高リーチの認証製品
コンポーネント再利用エッジから作成された参照グラフ内で、最も高いリーチを持つ製品を特定する。あるスマートカードは多くの他の製品に参照されており、その影響を示している。リーチに関してトップ10の製品は、スマートカードエコシステムの大部分に大きな影響を与えており、攻撃者にとって主要なターゲットとなる。
私たちの分析は、高リーチの製品は一般的により高い評価保証レベルを持ち、信頼されている傾向があることを明らかにする。これらの高リーチデバイスから始まる脆弱性の潜在的な広がりを測定することで、これらを参照する多くの製品が重大な欠陥が発生した場合にリスクを抱える可能性があることが分かった。
参照された製品の老朽化
CC証明書には設定された有効期間があり、一部のスキームでは参照された製品の定期的な再評価を要求する。私たちの研究では、アーカイブされた証明書がまだ参照されているかどうかを調査し、再評価ポリシーへの準拠を検討する。
発行時にアーカイブされたコンポーネントを参照している製品は少数存在する。また、参照された製品の年齢を分析して、アーカイブされた後のリーチがどれだけ早く減少するかを調べる。私たちの結果は、多くのアクティブな製品がまだ古い証明書を参照しており、ゼロリーチへの移行に平均して1年以上かかる可能性があることを示している。
結論
この研究は、共通基準認証製品間のつながりについての洞察を提供し、さまざまな参照と依存関係のパターンを明らかにする。私たちの調査は、CCエコシステム内のセキュリティリスクを評価するために、これらのつながりを理解する重要性を強調している。
参照グラフとそのつながりを分析することで、脆弱性が認証された製品間でどのように広がるかを示す。私たちは、ステークホルダーがこれらの発見を考慮して、製品の依存関係について情報に基づいた意思決定を行い、広範囲にわたるリーチを持つコンポーネントに対して必要なセキュリティ対策を講じることを奨励する。
私たちの研究の結果は、認証文書の作成や処理の将来的な改善に役立つかもしれない。より効果的なコンピュータ支援手法でのインデックス作成やメタデータ制作を目指すことで、共通基準フレームワーク内での透明性とセキュリティの向上が期待でき、認証されたIT製品の消費者と生産者の両方に利益をもたらすだろう。
タイトル: Chain of trust: Unraveling references among Common Criteria certified products
概要: With 5394 security certificates of IT products and systems, the Common Criteria for Information Technology Security Evaluation have bred an ecosystem entangled with various kind of relations between the certified products. Yet, the prevalence and nature of dependencies among Common Criteria certified products remains largely unexplored. This study devises a novel method for building the graph of references among the Common Criteria certified products, determining the different contexts of references with a supervised machine-learning algorithm, and measuring how often the references constitute actual dependencies between the certified products. With the help of the resulting reference graph, this work identifies just a dozen of certified components that are relied on by at least 10% of the whole ecosystem -- making them a prime target for malicious actors. The impact of their compromise is assessed and potentially problematic references to archived products are discussed.
著者: Adam Janovsky, Łukasz Chmielewski, Petr Svenda, Jan Jancar, Vashek Matyas
最終更新: 2024-08-19 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2404.14246
ソースPDF: https://arxiv.org/pdf/2404.14246
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。