新たな接続時代における組込デバイスのセキュリティ新たな展望で始まる真の発想の転換 Marc Brown ツール＆マーケティングオペレーション担当VP 要旨それはもはや、面白半分にファイアウォールを破ろうとする賢い子組込デバイスのインテリジェンスと相互接続性の急速な成長とと供などではありません。不満を抱えた現または元社員で機密性の高もに、セキュリティの脅威も高まりつつあります。これらのデバイいシステムへのアクセス権を持ち、かつ、内部作業の知識を持つ人スへの攻撃は、常習犯によるものだけでなく、犯罪組織、国家、テロたちが、内部知識を利用して洗練された攻撃を実行し、故意にシス組織を後ろ盾とする新興ハッカーによっても行われています。テムをダウンさせる例も増えています。組織犯罪、政府機関、テロデバイス開発者は、デバイスのセキュリティに対し、プロセッサ経由してセキュリティの脆弱性を見つけ出し、非常に独創的な方法組織など、プロの、潤沢な資金を持つグループが、組込デバイスをからオペレーティングシステムの仮想化、ネットワークスタックでそれらを突破しています。彼らは、安全なネットワークをこじ開と通信スタック、そしてアプリケーションレイヤに至るまで、開け、機密情報にアクセスし、安全性が最も重要となるシステムの動発段階のあらゆるレベルでセキュリティの問題を考慮するよう作を変えることを試み、機器の物理的な損傷や人命の危険を招く場な、より全体的なアプローチで対応する必要があります。本ホワ合もあります。これはもはや、ハリウッド製の最新のアクション映イトペーパーでは、デバイスのセキュリティに関するエンドツー画や SF 映画のシナリオなどではありません。将来のサイバー戦争エンドプラットフォームアプローチの提供における主な考え方ににおける先制攻撃の基盤にもなりかねません。ついて検討します。また、開発にかかる時間とコストの削減、全体的なセキュリティリスクの軽減、セキュリティの問題を脅威から競争力の点で優位に立つ好機に転換する方法について、充実したアドバイスを提供します。組織犯罪、国家、テロ組織のターゲットになった組込デバイス組込デバイスの安全確保セキュリティに関する雑誌や新聞の記事の多くは、読者を不安に連邦、州、地方、業界固有のセキュリティ規制や順守要件がこれま陥れようとしています。しかし、今すべきことは読者を怖がらせでにも整備されてきましたが、以下に示す注目すべきケースのよることではなく、革新をもたらし、競争力の点で優位に立つ機会うに、サーバ攻撃は続いています。について知らせることです。そして、組込デバイスの世界ほどその好機が広がっている場所はありません。 • 2009 年中ごろ、高度なマルウェアプログラムの 1 つである Stuxnet が、イランの核燃料濃縮施設 Natanz に送り込まれる。近年の組込デバイス開発の急増は、注目に値します。重要なイン Stuxnet は、Natanz の制御システムに入り込み、きわめて重要フラストラクチャを制御する組込製品は、世界的にもますますイな遠心分離機に対し、密かに損害を与えるような調整を行うよンテリジェントになってきており、単純なスタンドアロン型かう設計されていた。Stuxnet ウイルスは、2010 年 7 月にも制御シら、複雑で、自律的に動く、ネットワーク化された制御や監視へとステムソフトウェアに対して使用され、米国の送電網がサイ形を変えつつあります。今日の組込製品は、ユーザとのやり取りバー攻撃の標的となったときに耐えられるかという長年の疑を行うだけではなく、ユーザの持つ通信や情報共有の機能を拡張問が改めて浮上。このケースでは、Stuxnet は Windows のゼロして、製品同士相互にやり取りできるようになっています。組込デイの欠陥を狙い、遠隔監視制御・情報取得（SCADA）システ製品は、スマートフォン、公益事業向けのスマート計器、産業オームから産業用データを探し出して盗むよう設計されている。トメーション制御、運輸、石油やガスのシステム、通信ネットワー • 2008 年、オーストラリアの Hunter Watertech 社を解雇されたク、文字通り人の生命維持を担う携帯型医療機器を制御していまある従業員が、会社の SCADA ソフトウェアをインストールしす。これまでより小型でスマートなコンポネントによってマシンたラップトップ PC とモトローラ製の送受信可能な無線機を間のやり取りが可能になったことで、新しいレベルのセンサー対使って、彼の雇用を断った Maroochy Shire Council という別の応、制御対応の分析が可能になり、ビジネスや政治の在り方に大会社の SCADA システムに向けて無線コマンドを送信。彼は、ソ変革をもたらしています。フトウェアを使用して Maroochy Shire Council 社の下水設備の警報を止め、80 万リットルの未処理の下水が地域の公園や川に自律的なこうしたデバイスも急成長しています。2020 年までに、流出する事態を引き起こした。 500 億個以上のデバイスが接続されて使用されると推定されてい • 1997 年に、対インフラ攻撃の成功例としておそらく初の記録ます。残念ながら、組込製品の急速な成長とともに、セキュリティとなる事件が発生。10 代のハッカーがマサチューセッツ州ウーの脅威も高まりつつあります。ネットワーク上の新しいデバイススターの空港にサービスを提供していた主要電話会社のコンはそれぞれ、今後の最も脆弱なリンクである可能性があります。ピュータを一時的に使えないようにし、管制塔への通信をマカフィーによれば、毎日 55,000 本以上のマルウェアプログラムシャットダウンし、緊急サービス（消防部門や空港警備など）にと 20 万台の感染機器が発見されており、200 万以上もの悪質なアクセスできなくした。 Web サイトが存在し、新たな攻撃の形やセキュリティの弱点を突 • 2010 年 10 月、ペンシルバニア州ハリスバーグの水処理プランく手段が毎日報告されています。こうしたセキュリティの脅威トで、感染したラップトップ PC からハッカーがコンピュータは、接続デバイスによってますます加速しています。システムへのアクセス権を取得。同じく警戒すべきは、新興ハッカーの手でセキュリティが突破されているということです。 2 | Embedded Device Security in the New Connected Era ABC ニュースの報道によれば、ラップトップ PC は、プラントのコたとえば、メーカーレベルでは、セキュリティは、システム設計、ンピュータシステムにコンピュータウイルスとスパイウェアをイ特定の技術選択、アプリケーション開発プロセス、さらには、パッンストールする入り口として使用されたとのこと。チやアップグレードなどのアプリケーション管理タスクにおいて • ポーランドでは、10 代の少年が、トラム（路面電車）システムを重要不可欠な部分となる必要があります。オペレータにとってハッキングし、4 台を脱線させる。テレビのリモコンを使用するは、セキュリティの脅威は構成やカスタマイズ自体の中に含まれ単純な手法で、ポイント切り替えを変更。英国のニュース紙『テるものであり、分析による対応が必要となります。ソフトウェアレグラフ』によれば、脱線した 1 台では、12 人が負傷とのこと。の管理、更新、提供のプロセスも、セキュリティを念頭に置いて設 • 次にハッキングのターゲットとなるのは車か。Texas Auto 計する必要があります。エンドユーザレベルでは、査定には、マル Center という車のディーラーを解雇された従業員が、会社のウェア、ウイルス、ワーム、トロイの木馬など、エンドユーザに Web ベースのシステムにログインし、リモート操作によるコマよって持ち込まれる可能性のあるセキュリティの脅威を含める必ンドで、100 台以上の車のクラクションを鳴らなくし、また、ド要があります。こうした脅威はどれも、信頼性とパフォーマンスライバが車をスタートできないよう工作。この従業員は後に、に影響を及ぼす可能性があります。コンピュータ侵入の罪で逮捕された。つまり、今や組込デバイスは、厳重に保護され安全性が高いと思われているインフラストラクチャの混乱または破壊を狙って不正を働く従業員、組織犯罪、国家、テロ組織などのターゲットになっているのです。そして、こうしたシステムにおけるセキュリティ侵害のコストは、膨大な金額になりかねません。私たちの経済や組込デバイス開発者に必要なのは、あらゆるレベルでセキュリティの問題を考慮することインフラストラクチャを支える主な土台は、組込システムにかかっています。一度でも攻撃が成功すれば、重要な公共サービスから医療の質に至るまで、あらゆるものが危険にさらされる可能性があります。つまりは、ミッションクリティカルな活動や人命が、組込デバイスの安全性にかかっているのです。セキュリティ査定では、仮想化、オペレーティングシステム、ネットワークスタック、ミドルウェア、アプリケーション層など、各レイヤに潜む脆弱性も見る必要があります。たとえば、仮想化やオペレーティングシステム層では、OS の突破口をハッカーがどう進化するセキュリティ要件への対応探るかに開発者が気付く必要があります。Wind River Test 新たに出現するセキュリティの脅威を回避する上で鍵となるの Management で提供しているウインドリバーのセンサーポインは、セキュリティ対策に対して、コンポネント別にアプローチするトテクノロジは、開発者がこうしたテクニックを簡単にシミュのではなく、プラットフォーム全体を見据えた展望を持つことでレートし、システムが正しく動作することを確認できるようにしす。組込デバイスの開発者は、ハードウェアプラットフォームや仮ています。想化テクノロジといったものからオペレーティングシステム、ネットワークスタック、その他の通信ミドルウェア、ネットワークで送られていくデータパケット、デバイス機能をサポートする必要性から独自に開発されたアプリケーションに至るまで、あらゆるレイヤでセキュリティの問題を考慮する必要があります。第一段階では、エンドツーエンドのシステムセキュリティの脅威こうした脆弱性を理解できれば、特殊なテクニックにより、攻撃の裏をかくことが可能になります。たとえば、ウインドリバーはいくつかの強力な暗号キーと、IPsec や Internet Key Exchange （IKE）といった付加機能をサポートし、ネットワークスタックが FIPS 140-2 に準拠し、Common Criteria、Wurldtech などのセキュリティ検証スイートのテストも提供します。ウインドリバーのラを査定します。その査定では、セキュリティの問題を開発者の視ンタイムは、ますます増えつつある OS へのハッキングに使用さ点から見るだけでなく、メーカー、オペレータ、そしてエンドユーれるテクニックに対するテストがなされています。さらに、ウイザの視点から見ていきます。ンドリバーはセキュリティ設計ガイドラインを設け、仮想化による分離、認定済みのランタイムコンポネント、「ホワイトリスト」テクノロジの統合など、新しいテクニックを活用して次世代デバデバイスメーカーオペレーターエンドユーザイスの開発をサポートしています。・システム設計・カスタマイズ・安全性・テクノロジ面の・管理の容易さ・信頼性ウインドリバーは、Wind River Test Management にて、総合的な堅牢性を備えた・アップデートと提供・パフォーマンスセキュリティテストパッケージも提供しています。テストチームアプリケーション・開発・パッチは、潜んでいる悪意あるコードを検出し、ハッカーの攻撃をシミュレートし、ファズテストを行って、保護の強度を確認します。エンドツーエンドのセキュリティ脅威の査定ソフトウェアスタックの安全確保次の段階では、プロセッサからアプリケーション層に至るあらゆるデバイスシステムソフトウェアスタックに対するセキュリティ図1：エンドツーエンドのセキュリティ査定 3 | Embedded Device Security in the New Connected Era 保護を進めます。 • プロセッサ：プロセッサレベルでは、仮想化、信頼性の高い提重要度が増す認定供、信頼性の高いブートなどのテクノロジをチップのファーム開発者は、認定オペレーティングシステム、認定ネットワークスウェアに組み込み、オペレーティングシステムの堅牢性を強化すタック、認定ミドルウェアなどあらゆるレベルで、セキュリティる機会があります。設計の基本方針と関連するセキュリティ認定ランタイムコンポネ • Hypervisor：仮想化テクノロジは、分離することでセキュリティントを組み込む方法を考える必要があります。を高めるというユニークな手法で利用できます。一般に、多くの開発者は、システムデバイスの共有のために仮想化を利用するこ認定は、所定のコンポネントやプラットフォームが指定の規格をとを検討します。しかし、組込デバイスのセキュリティ強化を目満たし、指定の要件に準拠していることを示す、信頼できる専門的として、デバイスの利用を分割し、ヒューマンマシンインタ家による独立した検証を提供します。また、比較の基準となるベフェース（HMI）オペレーティングシステムと制御用オペレーンチマークも提供します。ティングシステムとを分割し、制御用オペレーティングシステムと物理インタフェースとを分割するための仮想化利用がますま政府による規制が厳しくなり、多くの市場や関連デバイスでも要す増えています。デバイス設計においてこのような分離を追加的求されるようになってきていることから、多くの機器メーカーに利用することにより、セキュリティが大幅に向上します。は、認定保証を要求し始めています。 • オペレーティングシステムと通信スタック：オペレーティングシステムの選択は、今日の高度な接続が行われるデバイスにとって非常に重要です。OS と通信スタックは、目的とする使用法に対して定義されている最新のセキュリティ要件に準拠しな産業オートメーションの分野では、Wurldtech による Achilles 認定プログラムが最も広く認知されています。組込コントローラ、ホストデバイス、制御アプリケーション、およびネットワークコければなりません。また、これらの製品は、市場分野ごとのセンポネントはすべて、Achiles サイバーセキュリティ認定を受けるキュリティ検証スイートの認定を受ける必要もあります。たとことができます。えば、産業用制御装置開発者であれば、Wurldtech Achilles Certification の検証を受けた OS/ スタックを探すはずです。 Achilles プログラムは、デバイスとプラットフォームのネットワークの堅牢性を査定し、総合的なセキュリティテスト群に合格したことを認定します。セキュリティプラットフォームアプリケーション認定は、所定のコンポネントやプラットフォームが指定の規格を満たすことを示す、信頼できる専門家による独立した検証を提供ネットワークと通信オペレーティングシステム脆弱性を増す要因をさらに詳しく見ていくと、認定を受けること Hypervisor / SK の利点がより明らかになります。プロセッサセキュリティ保護 = ソフトウェアのあらゆるレイヤにおけるセキュリティの設計、組み込み、および展開図2：セキュリティプラットフォーム • 統合：マルチコアプロセッサなどの新しいテクノロジにより、システム統合のコスト削減をもたらす新たな機会が生み出されました。これによって、業界では、以前は独立していた機能をまとめた • アプリケーション：アプリケーションは、当初からセキュリ新しいデバイスに対する、コラボレーションとより強力な規格ティを念頭において開発する必要があります。アプリケーショやセキュリティパラダイムの設定の必要性が高まっています。ンは、「グレイリスト」やホワイトリストを活用することで、セこれは、新しい接続要件によって一層複雑になっています。サキュリティの堅牢性に役立てるべく開発されている新しいテクイバーセキュリティ認定は、こうした規格やパラダイムとの適ノロジの利点を生かせます。開発者がアプリケーションを設計合性を定義し、検証します。するときは、厳密なセキュリティの原則を適用する必要があり • 接続性：個々のデバイスから工場の現場のシステムに至るまでます。そうしなければ、配布するデバイスアプリケーションがあらゆるものがビジネスシステム、サプライチェーン管理シス裏口として使用され、最終的には、不正使用される可能性があテム、そしてクラウドに接続しています。マシン間のパラダイります。不正を働く内部の人間や、ネットワークをベースとしムが進化し、さまざまなものがインターネットに接続されるよた外部攻撃により悪意あるコードが挿入される可能性についうになり、こうした組込デバイスがサイバー攻撃にさらされ、て、テストし、検出する必要があります。テストチームは、セ前代未聞のレベルの脆弱性が露呈するようになりました。しかキュリティを重点としたテストおよび不正なコード変更の検出し、サイバーセキュリティ認定を通して、規格を確立し、リスクを支援するための一連の適切なツールに関して訓練を受け、こを制御し排除できるようになります。れらを利用する必要があります。アプリケーション固有のテクノロジの活用これまで、組込領域と、アプリケーション領域ではセキュリティ保護がそれぞれ独立していました。 4 | Embedded Device Security in the New Connected Era サイバーセキュリティ認定 RTOS の利用ウインドリバーでは、近ごろ、VxWorks リアルタイムオペ同じく重要な点として、マカフィーとウインドリバーはホワイトリストの概念と「評判に基づく情報」を組み合わせて、組込デバイスに対するより強固なセキュリティを提供できます。レーティングシステムに対してサイバーセキュリティ認定を申請し、認定を受けました。VxWorks は、Achilles プログラムホワイトリスト方式では、工業、金融、医療、企業データセンターなで認定を受けた最初の RTOS です。ウインドリバーは、プロセどではすでに一般的になっているものですが、既知の問題なしとさスオートメーション、電力およびエネルギー、石油およびガれるものだけを許可することが中心となります。この考え方と、セス、運輸、医療機器の市場のお客様が、サイバー攻撃のリスクキュリティの脅威の査定を評判に基づいて行うというグレイリスを排除する上で信頼できる RTOS を展開できるようにこの認トの概念を統合することにより、ウインドリバーとマカフィーは、定を受けました。あらゆる範囲の問題、脅威、弱点の突破に対応する、新しいセキュリティパラダイムを提供できます。特に、VxWorks は、ギガビット Ethernet の Achilles 認定適合要件に合致し、100Mbit と 1GigE 両方の認定に合格しました。この認定は、ますます増えているサイバーセキュリティ攻撃に対抗して制御デバイスを守ろうとする産業や医療分野の多くのメーカーから認められています。 Achilles プログラムは、産業用システムの脆弱性に関する世界最大のデータベースである Delphi を利用しています。これにより、特殊な脆弱性情報を、ファイアウォールや侵入検出システマカフィーとウインドリバーは「ホワイトリスト」と「評判に基づく情報」を組み合わせて、組込デバイスに対するより強固なセキュリティを提供ムなど一般的なセキュリティ実現デバイスに統合します。こうすることで、一般的な IT インフラストラクチャを産業用ネットワーク環境に合わせて整え、特殊なルールセットや徴候を継続 Wind River Linux とマカフィーのセキュリティソリューションをま的に更新することができ、それによって、制御システムを即座ず統合した後は、他のウインドリバー OS と組込仮想化テクノロジに保護し、実質的にパッチをあてる頻度を減らします。との統合へと続きます。セキュリティソリューションの段階的な実施は、2011 年に行われる予定です。この認定を受けた結果、開発者は事前に検証済みの RTOS を活用できるようになります。RTOS は、予測の精度を高め、安結論全なデバイスの開発にかかる開発コストと時間を削減し、開組込開発がパラダイムシフトを迎えているのは明らかです。また、発者が RTOS から得られるとは期待していなかった「安心」をこの場合、真のパラダイムシフトはセキュリティの重要性に関する提供します。新たな展望から始まります。それは単なる追加機能としてではなく、次世代の組込デバイスの組込属性としてのセキュリティです。ウインドリバーは、FIPS 140 規格によるデータ保護機能によ端的に言えば、開発者はセキュリティの課題に対応するため、セり、VxWorks のデバイスレベルでのサイバーセキュリティ認キュリティの問題が広がる前に、組込製品をデザインし、設計する定も補完します。この規格により、お客様はより確かなネット必要があります。ワーク機能を備えたデバイスを開発できます。セキュリティに対するプラットフォームの展望を採用し、サイバーしかし、今日では組込デバイスの接続環境が広がってきたため、セキュリティの脅威に全体として対応することが戦略上、絶対必要になっています。セキュリティ認定を受けたコンポネントの効率と結びつけることによって、全体的なセキュリティリスクを実際に減らしながら、同時に開発者のコストと時間を削減できます。そして、これは、組込開発者にとってはパラダイムシフトを超えたものです。より安全なインフ組込デバイスには、たとえば、電力、メモリ、パフォーマンスの制約という、これまでの IT 機器とは異なる技術的要件があるので、従来ラストラクチャ、その結果もたらされる財務成績の改善、さらなる安心、生活の向上をもたらす本当の変革が実現されるのです。のセキュリティソリューションでは不十分です。ウインドリバーがマカフィーと組むことにより、組込開発者はアプリケーション層を含むソフトウェアスタックのあらゆるレイヤにおいて、セキュリティ対策を講じることができます。ウインドリバーは組み込みソフトウェアとモバイルソフトウェアのリーディングカンパニーです。企業がデバイスソフトウェアを、より早く高品質かつ低コスト、かつ高信頼性で開発、運用、管理することを可能にします。ウインドリバー株式会社 ■販売代理店東京本社〒 150- 0012 東京都渋谷区広尾 1-1-39 恵比寿プライムスクェアタワー TEL.03- 5778-6001（代表）大阪営業所〒 532-0 011 大阪市淀川区西中島 7-5- 25 新大阪ドイビル TEL.06-6100-5760（代表） www.windriver.co.jp © 2011 Wind River Systems, Inc. Wind River、およびVxWorks は、Wind River Systems, Inc. の登録商標です。記載されているその他の商標は、各所有者に帰属します。詳細：www.windriver.com/company/terms/trademark.html Rev.06/2011 1220WRKK