米国 NIST CSWP 45 ハードウェア・セキュリティ構成の評価指標と方法論 (2025.06.05)

こんにちは、丸山満彦です。

NISTがハードウェア・セキュリティ構成の評価指標と方法論についてのホワイト・ベーパーを公表していますね...

ハードウェアは部品等に対する操作が攻撃者にとっては困難なため、ソフトウェアより外部からの攻撃への耐性が強いという面があります（例えば、秘密鍵の保管に対タンパー装置（HSM）を利用することがありますね）。

一方、設計過程や製造過程で脆弱性が組み込まれてしまい、それに気づかないうちに使っていると、その脆弱性に起因した脅威というのが実現され、かつ気づくのに遅れる可能性もあります。なので、ハードウェアの設計・製造段階で脆弱性が入ってこないようにすることは非常に重要と言えます。

ということで、このホワイト・ペーパーは作成されているようです...

論理的に整理されていますね...

 

●NIST - ITL

・2025.06.05 NIST CSWP 45 Metrics and Methodology for Hardware Security Constructs

Abstract

要旨

Although hardware is commonly believed to be security-resilient, it is often susceptible to vulnerabilities that arise from design and implementation flaws. These flaws can jeopardize the hardware’s security, its operations, and critical user information. This investigation presents a comprehensive methodology for assessing threats related to different hardware weaknesses and the attacks that can exploit them. The methodology results in two key metrics: a threat metric that quantifies the number of hardware weaknesses that an attack can exploit and a sensitivity metric that measures the number of distinct attacks that can target a hardware system with a specific weakness. These metrics and the accompanying analysis aim to guide security efforts and optimize the trade-offs between hardware security and associated costs.

ハードウェアは一般的にセキュリティレジリエンスが高いと考えられているが、設計や実装の欠陥から生じる脆弱性の影響を受けやすいことが多い。これらの欠陥は、ハードウェアのセキュリティ、運用、重要なユーザー情報を危険にさらす可能性がある。この調査では、さまざまなハードウェアの弱点に関連する脅威と、それを悪用する攻撃を評価するための包括的な方法論を提示する。この方法論は、攻撃が悪用できるハードウェアの弱点の数を定量化する脅威メトリックと、特定の弱点を持つハードウェアシステムをターゲットにできる明確な攻撃の数を測定する感度メトリックという、2つの重要なメトリックをもたらす。これらの指標とそれに伴う分析は、セキュリティ対策の指針となり、ハードウェア・セキュリティと関連コストのトレードオフを最適化することを目的としている。

 

● MITRE

・Common Weakness Emulation

 

・[PDF] NIST.CSWP.45

・[DOCX][PDF] 仮訳

 

目次...

Introduction	序論
1. Motivation	1.モチベーション
2. Hardware Weaknesses and Their Security Implications	2.ハードウェアの弱点とセキュリティへの影響
3. CAPEC Attack Patterns	3.CAPEC攻撃パターン
3.1. Meta Attack Patterns	3.1.メタ攻撃パターン
3.2. Standard Attack Patterns	3.2.標準攻撃パターン
4. Resources Required to Exploit CAPEC Attack Patterns	4.CAPEC攻撃パターンの攻略に必要なリソース
5. Methodology for Hardware Weakness Threat Analysis	5.ハードウェアの弱点脅威分析の方法論
6. Conclusion	6.結論
References	参考文献

 

序論...

Introduction	序論
Hardware is often regarded as more security-resilient than software because physical components are more difficult to manipulate. Hardware designers also have greater control over implementation details, which enables them to mitigate certain critical attacks.	ハードウェアは、物理的なコンポーネントの操作がより困難であるため、ソフトウェアよりもセキュリティレジリエンスが高いとみなされることが多い。また、ハードウェア設計者は実装の詳細をより詳細に制御できるため、特定の重大な攻撃を緩和することができる。
However, weaknesses can be introduced during the design and manufacturing stages that cause hardware to leak sensitive information and compromise the accuracy of operations. For example, Spectre [1], Meltdown [2], Inception [3], Downfall [4], and Foreshadow [5] are wellknown vulnerabilities that show how hardware weaknesses can be exploited in both controlled laboratory environments and real-life scenarios. Developing more secure hardware for the future requires ongoing research into different hardware weaknesses and the techniques used to exploit them.	しかし、設計や製造の段階で弱点が入り込み、ハードウェアから機密情報が漏れたり、操作の正確性が損なわれたりすることがある。例えば、Spectre [1]、Meltdown [2]、Inception [3]、Downfall [4]、Foreshadow [5]はよく知られた脆弱性であり、管理された実験室環境と現実のシナリオの両方で、ハードウェアの脆弱性がどのように悪用されるかを示している。将来に向けて、より安全なハードウェアを開発するためには、さまざまなハードウェアの弱点と、それを悪用するために使用される技術に関する継続的な研究が必要である。
With a goal of developing exploitation and mitigation strategies, the Hardware Common Weakness Enumeration Special Interest Group (HW CWE SIG) has analyzed 108 different hardware weaknesses that originate from hardware design issues [6]. CWE categorizes and maintains hardware and software weaknesses separately, since they and their exploitation and mitigation techniques are fundamentally different. Additionally, the Common Attack Pattern Enumeration and Classification (CAPEC) established by the U.S. Department of Homeland Security [7] categorizes possible existing attack patterns in hardware, software, communications, supply chains, social engineering, and physical security. CAPEC also analyzes the likelihood of such attacks being launched, their potential severity and flow of execution, and the skills that an adversary is likely to need.	悪用と緩和戦略を開発する目的で、Hardware Common Weakness Enumeration Special Interest Group（HW CWE SIG）は、ハードウェア設計の問題に起因する108種類のハードウェア弱点を分析した[6]。CWE では、ハードウェアの弱点とソフトウェアの弱点は基本的に異なるものであり、その悪用と緩和の手法も異なるため、ハードウェアの弱点とソフトウェアの弱点を別々に分類し、管理している。さらに、米国国土安全保障省が制定した共通攻撃パターン列挙分類（Common Attack Pattern Enumeration and Classification：CAPEC）[7]は、ハードウェア、ソフトウェア、コミュニケーション、サプライチェーン、ソーシャルエンジニアリング、物理セキュリティにおいて、現存する可能性のある攻撃パターンを分類している。また、CAPEC は、そのような攻撃が開始される可能性、その潜在的な重大性、実行の流れ、敵対者が必要としそうなスキルについても分析する。
This work utilizes a comprehensive methodology and two key metrics—threat and sensitivity— to analyze different hardware weaknesses (Sec. 3) and the specific attack patterns that can exploit them (Sec. 4). Section 5 discusses the resources needed to launch various attack patterns. Section 6 contains the overall framework for this analysis.	この研究では、包括的な方法論と、脅威と感度という2つの重要な指標を活用し、様々なハードウェアの弱点（セクション3）と、それを悪用できる具体的な攻撃パターン（セクション4）を分析する。セクション5では、様々な攻撃パターンを実行するために必要なリソースについて議論する。セクション6 では、この分析の全体的な枠組みを示す。

 

CWEで最も重要なハードウェアの弱点

ID	Description	説明
CWE-1272	Sensitive Information Uncleared Before Debug/Power State Transition	デバッグ/電源状態遷移の前に機密情報がクリアされない
CWE-1300	Improper Protection of Physical Side Channels	物理的サイドチャンネルの不適切な防御
CWE-1189	Improper Isolation of Shared Resources on System-on-a-Chip (SoC)	システムオンチップ（SoC）における共有リソースの不適切な分離
CWE-1244	Internal Asset Exposed to Unsafe Debug Access Level or State	内部資産が安全でないデバッグアクセスレベルまたは状態にさらされる
CWE-1191	On-Chip Debug and Test Interface with Improper Access Control	不適切なアクセス管理のオンチップ・デバッグおよびテスト・インターフェース
CWE-1231	Improper Prevention of Lock Bit Modification	ロック・ビット変更の不適切な防止
CWE-1233	Security-Sensitive Hardware Controls with Missing Lock Bit Protection	ロックビット欠落保護機能付きセキュリティ重視ハードウェア制御
CWE-1274	Improper Access Control for Volatile Memory Containing Boot Code	ブートコードを含む揮発性メモリに対する不適切なアクセス管理
CWE-1260	Improper Handling of Overlap Between Protected Memory Ranges	保護されたメモリ領域間のオーバーラップの不適切な処理
CWE-1240	Use of a Cryptographic Primitive with a Risky Implementation	リスクの高い実装を持つ暗号プリミティブの使用
CWE-1256	Improper Restriction of Software Interfaces to Hardware Features	ハードウェア機能に対するソフトウェア・インターフェースの不適切な制限

 

一般的な弱点の列挙...

● MITRE

・Common Weakness Enumeration

 

メタレベル（ハイレベル）の攻撃パターン...

特定の技術や実装を特定しない攻撃手法やテクニックの抽象的でハイレベルな記述

ID	Description	説明
26	Leveraging Race Conditions	レース条件を活用する
113	Interface Manipulation	インターフェイスの操作
114	Authentication Abuse	認証の悪用
122	Privilege Abuse	特権の乱用
124	Shared Resource Manipulation	共有リソースの操作
176	Configuration/Environment Manipulation	コンフィギュレーション／環境操作
188	Reverse Engineering	リバース・エンジニアリング
192	Protocol Analysis	プロトコル分析
233	Privilege Escalation	特権のエスカレーション
441	Malicious Logic Insertion	悪意のあるロジックの挿入
624	Hardware Fault Injection	ハードウェア障害インジェクション

 

標準攻撃パターン

メタレベルの攻撃パターンのサブグループで、特定の攻撃手法やテクニックに焦点を当てている

ID	Description	説明
167	White Box Reverse Engineering	ホワイトボックス・リバース・エンジニアリング
189	Black Box Reverse Engineering	ブラックボックス・リバース・エンジニアリング
121	Exploit Non-Production Interfaces	非プロダクション・インターフェイスを悪用する
36	Using Unpublished Interfaces or Functionality	未発表のインターフェイスや機能を使用する
1	Accessing Functionality Not Properly Constrained by ACLs	ACLによって適切に制限されていない機能へのアクセス
180	Exploiting Incorrectly Configured Access Control Security Level	不正に設定されたアクセス管理のセキュリティレベルを悪用する
68	Subvert Code-signing Facilities	コード・サイン設備を破壊する
452	Infected Hardware	感染したハードウェア
456	Infected Memory	インフェクテッド・メモリー
97	Cryptanalysis	暗号解読
625	Mobile Device Fault Injection	モバイル機器の障害インジェクション

 

 

攻撃に必要なリソースマッピング

・攻撃者の「知識レベル（高低）」、ハードウェアに対する情報のレベル（設計図、内部レジスタから情報を入手できる、入出力だけ）を整理していますね...