close

Enter

Log in using OpenID

新たな接続時代における 組込デバイスのセキュリティ

embedDownload
新たな接続時代における
組込デバイスのセキュリティ
新たな展望で始まる真の発想の転換
Marc Brown
ツール&マーケティングオペレーション担当VP
要旨
それはもはや、面白半分にファイアウォールを破ろうとする賢い子
組込デバイスのインテリジェンスと相互接続性の急速な成長とと
供などではありません。不満を抱えた現または元社員で機密性の高
もに、セキュリティの脅威も高まりつつあります。これらのデバイ
いシステムへのアクセス権を持ち、かつ、内部作業の知識を持つ人
スへの攻撃は、常習犯によるものだけでなく、犯罪組織、国家、テロ
たちが、内部知識を利用して洗練された攻撃を実行し、故意にシス
組織を後ろ盾とする新興ハッカーによっても行われています。
テムをダウンさせる例も増えています。組織犯罪、政府機関、テロ
デバイス開発者は、デバイスのセキュリティに対し、プロセッサ
経由してセキュリティの脆弱性を見つけ出し、非常に独創的な方法
組織など、プロの、潤沢な資金を持つグループが、組込デバイスを
からオペレーティングシステムの仮想化、ネットワークスタック
でそれらを突破しています。彼らは、安全なネットワークをこじ開
と通信スタック、そしてアプリケーションレイヤに至るまで、開
け、機密情報にアクセスし、安全性が最も重要となるシステムの動
発段階のあらゆるレベルでセキュリティの問題を考慮するよう
作を変えることを試み、機器の物理的な損傷や人命の危険を招く場
な、より全体的なアプローチで対応する必要があります。本ホワ
合もあります。これはもはや、ハリウッド製の最新のアクション映
イトペーパーでは、デバイスのセキュリティに関するエンドツー
画や SF 映画のシナリオなどではありません。将来のサイバー戦争
エンドプラットフォームアプローチの提供における主な考え方に
における先制攻撃の基盤にもなりかねません。
ついて検討します。また、開発にかかる時間とコストの削減、全体
的なセキュリティリスクの軽減、セキュリティの問題を脅威から
競争力の点で優位に立つ好機に転換する方法について、充実した
アドバイスを提供します。
組織犯罪、国家、テロ組織の
ターゲットになった組込デバイス
組込デバイスの安全確保
セキュリティに関する雑誌や新聞の記事の多くは、読者を不安に
連邦、州、地方、業界固有のセキュリティ規制や順守要件がこれま
陥れようとしています。しかし、今すべきことは読者を怖がらせ
でにも整備されてきましたが、以下に示す注目すべきケースのよ
ることではなく、革新をもたらし、競争力の点で優位に立つ機会
うに、サーバ攻撃は続いています。
について知らせることです。そして、組込デバイスの世界ほどそ
の好機が広がっている場所はありません。
• 2009 年 中 ご ろ、高 度 な マ ル ウ ェ ア プ ロ グ ラ ム の 1 つ で あ る
Stuxnet が、イランの核燃料濃縮施設 Natanz に送り込まれる。
近年の組込デバイス開発の急増は、注目に値します。重要なイン
Stuxnet は、Natanz の制御システムに入り込み、きわめて重要
フラストラクチャを制御する組込製品は、世界的にもますますイ
な遠心分離機に対し、密かに損害を与えるような調整を行うよ
ンテリジェントになってきており、単純なスタンドアロン型か
う設計されていた。Stuxnet ウイルスは、2010 年 7 月にも制御シ
ら、複雑で、自律的に動く、ネットワーク化された制御や監視へと
ステムソフトウェアに対して使用され、米国の送電網がサイ
形を変えつつあります。今日の組込製品は、ユーザとのやり取り
バー攻撃の標的となったときに耐えられるかという長年の疑
を行うだけではなく、ユーザの持つ通信や情報共有の機能を拡張
問が改めて浮上。このケースでは、Stuxnet は Windows のゼロ
して、製品同士相互にやり取りできるようになっています。組込
デイの欠陥を狙い、遠隔監視制御・情報取得(SCADA)システ
製品は、スマートフォン、公益事業向けのスマート計器、産業オー
ムから産業用データを探し出して盗むよう設計されている。
トメーション制御、運輸、石油やガスのシステム、通信ネットワー
• 2008 年、オーストラリアの Hunter Watertech 社を解雇された
ク、文字通り人の生命維持を担う携帯型医療機器を制御していま
ある従業員が、会社の SCADA ソフトウェアをインストールし
す。これまでより小型でスマートなコンポネントによってマシン
たラップトップ PC とモトローラ製の送受信可能な無線機を
間のやり取りが可能になったことで、新しいレベルのセンサー対
使って、彼の雇用を断った Maroochy Shire Council という別の
応、制御対応の分析が可能になり、ビジネスや政治の在り方に大
会社の SCADA システムに向けて無線コマンドを送信。彼は、ソ
変革をもたらしています。
フトウェアを使用して Maroochy Shire Council 社の下水設備の
警報を止め、80 万リットルの未処理の下水が地域の公園や川に
自律的なこうしたデバイスも急成長しています。2020 年までに、
流出する事態を引き起こした。
500 億個以上のデバイスが接続されて使用されると推定されてい
• 1997 年に、対インフラ攻撃の成功例としておそらく初の記録
ます。残念ながら、組込製品の急速な成長とともに、セキュリティ
となる事件が発生。10 代のハッカーがマサチューセッツ州ウー
の脅威も高まりつつあります。ネットワーク上の新しいデバイス
スターの空港にサービスを提供していた主要電話会社のコン
はそれぞれ、今後の最も脆弱なリンクである可能性があります。
ピ ュ ー タ を 一 時 的 に 使 え な い よ う に し、管 制 塔 へ の 通 信 を
マカフィーによれば、毎日 55,000 本以上のマルウェアプログラム
シャットダウンし、緊急サービス(消防部門や空港警備など)に
と 20 万台の感染機器が発見されており、200 万以上もの悪質な
アクセスできなくした。
Web サイトが存在し、新たな攻撃の形やセキュリティの弱点を突
• 2010 年 10 月、ペンシルバニア州ハリスバーグの水処理プラン
く手段が毎日報告されています。こうしたセキュリティの脅威
トで、感染したラップトップ PC からハッカーがコンピュータ
は、接続デバイスによってますます加速しています。
システムへのアクセス権を取得。
同じく警戒すべきは、新興ハッカーの手でセキュリティが突破さ
れているということです。
2 | Embedded Device Security in the New Connected Era
ABC ニュースの報道によれば、ラップトップ PC は、プラントのコ
たとえば、メーカーレベルでは、セキュリティは、システム設計、
ンピュータシステムにコンピュータウイルスとスパイウェアをイ
特定の技術選択、アプリケーション開発プロセス、さらには、パッ
ンストールする入り口として使用されたとのこと。
チやアップグレードなどのアプリケーション管理タスクにおいて
• ポーランドでは、10 代の少年が、トラム(路面電車)システムを
重要不可欠な部分となる必要があります。オペレータにとって
ハッキングし、4 台を脱線させる。テレビのリモコンを使用する
は、セキュリティの脅威は構成やカスタマイズ自体の中に含まれ
単純な手法で、ポイント切り替えを変更。英国のニュース紙『テ
るものであり、分析による対応が必要となります。ソフトウェア
レグラフ』によれば、脱線した 1 台では、12 人が負傷とのこと。
の管理、更新、提供のプロセスも、セキュリティを念頭に置いて設
• 次 に ハ ッ キ ン グ の タ ー ゲ ッ ト と な る の は 車 か。Texas Auto
計する必要があります。エンドユーザレベルでは、査定には、マル
Center という車のディーラーを解雇された従業員が、会社の
ウェア、ウイルス、ワーム、トロイの木馬など、エンドユーザに
Web ベースのシステムにログインし、リモート操作によるコマ
よって持ち込まれる可能性のあるセキュリティの脅威を含める必
ンドで、100 台以上の車のクラクションを鳴らなくし、また、ド
要があります。こうした脅威はどれも、信頼性とパフォーマンス
ライバが車をスタートできないよう工作。この従業員は後に、
に影響を及ぼす可能性があります。
コンピュータ侵入の罪で逮捕された。
つまり、今や組込デバイスは、厳重に保護され安全性が高いと思
われているインフラストラクチャの混乱または破壊を狙って不正
を働く従業員、組織犯罪、国家、テロ組織などのターゲットになっ
ているのです。そして、こうしたシステムにおけるセキュリティ
侵害のコストは、膨大な金額になりかねません。私たちの経済や
組込デバイス開発者に必要なのは、
あらゆるレベルでセキュリティの
問題を考慮すること
インフラストラクチャを支える主な土台は、組込システムにか
かっています。一度でも攻撃が成功すれば、重要な公共サービス
から医療の質に至るまで、あらゆるものが危険にさらされる可能
性があります。つまりは、ミッションクリティカルな活動や人命
が、組込デバイスの安全性にかかっているのです。
セキュリティ査定では、仮想化、オペレーティングシステム、ネッ
トワークスタック、ミドルウェア、アプリケーション層など、各レ
イヤに潜む脆弱性も見る必要があります。たとえば、仮想化やオ
ペレーティングシステム層では、OS の突破口をハッカーがどう
進化するセキュリティ要件への対応
探 る か に 開 発 者 が 気 付 く 必 要 が あ り ま す。Wind River Test
新たに出現するセキュリティの脅威を回避する上で鍵となるの
Management で提供しているウインドリバーのセンサーポイン
は、セキュリティ対策に対して、コンポネント別にアプローチする
トテクノロジは、開発者がこうしたテクニックを簡単にシミュ
のではなく、プラットフォーム全体を見据えた展望を持つことで
レートし、システムが正しく動作することを確認できるようにし
す。組込デバイスの開発者は、ハードウェアプラットフォームや仮
ています。
想化テクノロジといったものからオペレーティングシステム、ネッ
トワークスタック、その他の通信ミドルウェア、ネットワークで送
られていくデータパケット、デバイス機能をサポートする必要性か
ら独自に開発されたアプリケーションに至るまで、あらゆるレイヤ
でセキュリティの問題を考慮する必要があります。
第一段階では、エンドツーエンドのシステムセキュリティの脅威
こうした脆弱性を理解できれば、特殊なテクニックにより、攻撃
の裏をかくことが可能になります。たとえば、ウインドリバーは
い く つ か の 強 力 な 暗 号 キ ー と、IPsec や Internet Key Exchange
(IKE)といった付加機能をサポートし、ネットワークスタックが
FIPS 140-2 に準拠し、Common Criteria、Wurldtech などのセキュ
リティ検証スイートのテストも提供します。ウインドリバーのラ
を査定します。その査定では、セキュリティの問題を開発者の視
ンタイムは、ますます増えつつある OS へのハッキングに使用さ
点から見るだけでなく、メーカー、オペレータ、そしてエンドユー
れるテクニックに対するテストがなされています。さらに、ウイ
ザの視点から見ていきます。
ンドリバーはセキュリティ設計ガイドラインを設け、仮想化によ
る分離、認定済みのランタイムコンポネント、
「ホワイトリスト」
テクノロジの統合など、新しいテクニックを活用して次世代デバ
デバイスメーカー
オペレーター
エンドユーザ
イスの開発をサポートしています。
・システム設計
・カスタマイズ
・安全性
・テクノロジ面の
・管理の容易さ
・信頼性
ウインドリバーは、Wind River Test Management にて、総合的な
堅牢性を備えた
・アップデートと提供
・パフォーマンス
セキュリティテストパッケージも提供しています。テストチーム
アプリケーション
・開発
・パッチ
は、潜んでいる悪意あるコードを検出し、ハッカーの攻撃をシ
ミュレートし、ファズテストを行って、保護の強度を確認します。
エンドツーエンドのセキュリティ脅威の査定
ソフトウェアスタックの安全確保
次の段階では、プロセッサからアプリケーション層に至るあらゆ
るデバイスシステムソフトウェアスタックに対するセキュリティ
図1:エンドツーエンドのセキュリティ査定
3 | Embedded Device Security in the New Connected Era
保護を進めます。
• プロセッサ:プロセッサレベルでは、仮想化、信頼性の高い提
重要度が増す認定
供、信頼性の高いブートなどのテクノロジをチップのファーム
開発者は、認定オペレーティングシステム、認定ネットワークス
ウェアに組み込み、オペレーティングシステムの堅牢性を強化す
タック、認定ミドルウェアなどあらゆるレベルで、セキュリティ
る機会があります。
設計の基本方針と関連するセキュリティ認定ランタイムコンポネ
• Hypervisor:仮想化テクノロジは、分離することでセキュリティ
ントを組み込む方法を考える必要があります。
を高めるというユニークな手法で利用できます。一般に、多くの
開発者は、システムデバイスの共有のために仮想化を利用するこ
認定は、所定のコンポネントやプラットフォームが指定の規格を
とを検討します。しかし、組込デバイスのセキュリティ強化を目
満たし、指定の要件に準拠していることを示す、信頼できる専門
的として、デバイスの利用を分割し、ヒューマンマシンインタ
家による独立した検証を提供します。また、比較の基準となるベ
フェース(HMI)オペレーティングシステムと制御用オペレー
ンチマークも提供します。
ティングシステムとを分割し、制御用オペレーティングシステム
と物理インタフェースとを分割するための仮想化利用がますま
政府による規制が厳しくなり、多くの市場や関連デバイスでも要
す増えています。デバイス設計においてこのような分離を追加的
求されるようになってきていることから、多くの機器メーカー
に利用することにより、セキュリティが大幅に向上します。
は、認定保証を要求し始めています。
• オペレーティングシステムと通信スタック:オペレーティング
システムの選択は、今日の高度な接続が行われるデバイスに
とって非常に重要です。OS と通信スタックは、目的とする使用
法に対して定義されている最新のセキュリティ要件に準拠しな
産業オートメーションの分野では、Wurldtech による Achilles 認
定プログラムが最も広く認知されています。組込コントローラ、
ホストデバイス、制御アプリケーション、およびネットワークコ
ければなりません。また、これらの製品は、市場分野ごとのセ
ンポネントはすべて、Achiles サイバーセキュリティ認定を受ける
キュリティ検証スイートの認定を受ける必要もあります。たと
ことができます。
え ば、産 業 用 制 御 装 置 開 発 者 で あ れ ば、Wurldtech Achilles
Certification の 検 証 を 受 け た OS/ ス タ ッ ク を 探 す は ず で す。
Achilles プログラムは、デバイスとプラットフォームのネット
ワークの堅牢性を査定し、総合的なセキュリティテスト群に合
格したことを認定します。
セキュリティプラットフォーム
アプリケーション
認定は、所定のコンポネントや
プラットフォームが指定の規格を
満たすことを示す、
信頼できる専門家による
独立した検証を提供
ネットワークと通信
オペレーティングシステム
脆弱性を増す要因をさらに詳しく見ていくと、認定を受けること
Hypervisor / SK
の利点がより明らかになります。
プロセッサ
セキュリティ保護 =
ソフトウェアのあらゆるレイヤにおける
セキュリティの設計、組み込み、および展開
図2:セキュリティプラットフォーム
• 統合:マルチコアプロセッサなどの新しいテクノロジにより、
システム統合のコスト削減をもたらす新たな機会が生み出され
ました。
これによって、業界では、以前は独立していた機能をまとめた
• アプリケーション:アプリケーションは、当初からセキュリ
新しいデバイスに対する、コラボレーションとより強力な規格
ティを念頭において開発する必要があります。アプリケーショ
やセキュリティパラダイムの設定の必要性が高まっています。
ンは、
「グレイリスト」やホワイトリストを活用することで、セ
これは、新しい接続要件によって一層複雑になっています。サ
キュリティの堅牢性に役立てるべく開発されている新しいテク
イバーセキュリティ認定は、こうした規格やパラダイムとの適
ノロジの利点を生かせます。開発者がアプリケーションを設計
合性を定義し、検証します。
するときは、厳密なセキュリティの原則を適用する必要があり
• 接続性:個々のデバイスから工場の現場のシステムに至るまで
ます。そうしなければ、配布するデバイスアプリケーションが
あらゆるものがビジネスシステム、サプライチェーン管理シス
裏口として使用され、最終的には、不正使用される可能性があ
テム、そしてクラウドに接続しています。マシン間のパラダイ
ります。不正を働く内部の人間や、ネットワークをベースとし
ムが進化し、さまざまなものがインターネットに接続されるよ
た外部攻撃により悪意あるコードが挿入される可能性につい
うになり、こうした組込デバイスがサイバー攻撃にさらされ、
て、テストし、検出する必要があります。テストチームは、セ
前代未聞のレベルの脆弱性が露呈するようになりました。しか
キュリティを重点としたテストおよび不正なコード変更の検出
し、サイバーセキュリティ認定を通して、規格を確立し、リスク
を支援するための一連の適切なツールに関して訓練を受け、こ
を制御し排除できるようになります。
れらを利用する必要があります。
アプリケーション固有のテクノロジの活用
これまで、組込領域と、アプリケーション領域ではセキュリティ
保護がそれぞれ独立していました。
4 | Embedded Device Security in the New Connected Era
サイバーセキュリティ認定 RTOS の利用
ウ イ ン ド リ バ ー で は、近 ご ろ、VxWorks リ ア ル タ イ ム オ ペ
同じく重要な点として、マカフィーとウインドリバーはホワイトリ
ストの概念と「評判に基づく情報」を組み合わせて、組込デバイス
に対するより強固なセキュリティを提供できます。
レーティングシステムに対してサイバーセキュリティ認定を
申請し、認定を受けました。VxWorks は、Achilles プログラム
ホワイトリスト方式では、工業、金融、医療、企業データセンターな
で認定を受けた最初の RTOS です。ウインドリバーは、プロセ
どではすでに一般的になっているものですが、既知の問題なしとさ
スオートメーション、電力およびエネルギー、石油およびガ
れるものだけを許可することが中心となります。この考え方と、セ
ス、運輸、医療機器の市場のお客様が、サイバー攻撃のリスク
キュリティの脅威の査定を評判に基づいて行うというグレイリス
を排除する上で信頼できる RTOS を展開できるようにこの認
トの概念を統合することにより、ウインドリバーとマカフィーは、
定を受けました。
あらゆる範囲の問題、脅威、弱点の突破に対応する、新しいセキュ
リティパラダイムを提供できます。
特に、VxWorks は、ギガビット Ethernet の Achilles 認定適合要
件に合致し、100Mbit と 1GigE 両方の認定に合格しました。こ
の認定は、ますます増えているサイバーセキュリティ攻撃に
対抗して制御デバイスを守ろうとする産業や医療分野の多く
のメーカーから認められています。
Achilles プログラムは、産業用システムの脆弱性に関する世界
最大のデータベースである Delphi を利用しています。これによ
り、特殊な脆弱性情報を、ファイアウォールや侵入検出システ
マカフィーとウインドリバーは
「ホワイトリスト」と
「評判に基づく情報」を組み合わせて、
組込デバイスに対する
より強固なセキュリティを提供
ムなど一般的なセキュリティ実現デバイスに統合します。こう
することで、一般的な IT インフラストラクチャを産業用ネット
ワーク環境に合わせて整え、特殊なルールセットや徴候を継続
Wind River Linux とマカフィーのセキュリティソリューションをま
的に更新することができ、それによって、制御システムを即座
ず統合した後は、他のウインドリバー OS と組込仮想化テクノロジ
に保護し、実質的にパッチをあてる頻度を減らします。
との統合へと続きます。セキュリティソリューションの段階的な実
施は、2011 年に行われる予定です。
この認定を受けた結果、開発者は事前に検証済みの RTOS を
活用できるようになります。RTOS は、予測の精度を高め、安
結論
全なデバイスの開発にかかる開発コストと時間を削減し、開
組込開発がパラダイムシフトを迎えているのは明らかです。また、
発者が RTOS から得られるとは期待していなかった「安心」を
この場合、真のパラダイムシフトはセキュリティの重要性に関する
提供します。
新たな展望から始まります。それは単なる追加機能としてではな
く、次世代の組込デバイスの組込属性としてのセキュリティです。
ウインドリバーは、FIPS 140 規格によるデータ保護機能によ
端的に言えば、開発者はセキュリティの課題に対応するため、セ
り、VxWorks のデバイスレベルでのサイバーセキュリティ認
キュリティの問題が広がる前に、組込製品をデザインし、設計する
定も補完します。この規格により、お客様はより確かなネット
必要があります。
ワーク機能を備えたデバイスを開発できます。
セキュリティに対するプラットフォームの展望を採用し、サイバー
しかし、今日では組込デバイスの接続環境が広がってきたため、セ
キュリティの脅威に全体として対応することが戦略上、絶対必要に
なっています。
セキュリティ認定を受けたコンポネントの効率と結びつけることに
よって、全体的なセキュリティリスクを実際に減らしながら、同時に
開発者のコストと時間を削減できます。そして、これは、組込開発者
にとってはパラダイムシフトを超えたものです。より安全なインフ
組込デバイスには、たとえば、電力、メモリ、パフォーマンスの制約
という、これまでの IT 機器とは異なる技術的要件があるので、従来
ラストラクチャ、その結果もたらされる財務成績の改善、さらなる安
心、生活の向上をもたらす本当の変革が実現されるのです。
のセキュリティソリューションでは不十分です。ウインドリバーが
マカフィーと組むことにより、組込開発者はアプリケーション層を
含むソフトウェアスタックのあらゆるレイヤにおいて、セキュリ
ティ対策を講じることができます。
ウインドリバーは組み込みソフトウェアとモバイルソフトウェアのリーディングカンパニーです。
企業がデバイスソフトウェアを、より早く高品質かつ低コスト、かつ高信頼性で開発、運用、管理することを可能にします。
ウインドリバー株式会社
■販売代理店
東京本社
〒 150- 0012 東京都渋谷区広尾 1-1-39 恵比寿プライムスクェアタワー
TEL.03- 5778-6001(代表)
大阪営業所
〒 532-0 011 大阪市淀川区西中島 7-5- 25 新大阪ドイビル
TEL.06-6100-5760(代表)
www.windriver.co.jp
© 2011 Wind River Systems, Inc. Wind River、およびVxWorks は、Wind River Systems, Inc. の
登録商標です。記載されているその他の商標は、各所有者に帰属します。
詳細:www.windriver.com/company/terms/trademark.html Rev.06/2011
1220WRKK
Author
Document
Category
Uncategorized
Views
3
File Size
427 KB
Tags
1/--pages
Report inappropriate content