myAlteraアカウントへログイン

myAlteraユーザーネーム、パスワードを忘れた場合

myAlteraアカウントをお持ちでない方

IoT のセキュリティーなくして安全なし

「モノのインターネット」(IoT) の進化は、2つの独立したプロセスが自律的に進展する段階に達しました。一方の創造的プロセスは、真に魅力的なアプリケーションをすでに明らかにし始めています。システム開発者は、40 ドルのインターネット電球、冷蔵庫内のウェブカメラ、スマートフォン・アプリ対応の歯ブラシを超えて、スマートセンシング、クラウドベースの解析、および分散制御を融合させたアプリケーションの構想、さらにはプロトタイピングを始めています。これらのアプリケーションは、かつてない利益をユーザーにもたらすことが期待されます。

その一方で、もう 1つのより懐疑的なプロセスも勢いを増しています。このプロセスでは、ハッカー、セキュリティー専門家、および安全技術者は、多大な損害を与える可能性のある制御システムが、接続されたハブ、インターネット、およびパブリッククラウドへと広がり、膨大な攻撃対象領域が生まれていることに危機感を抱いています (図1)。自動車の制御を奪う、住宅に火事を起こす、あるいは原子炉のセーフティ・インターロックを回避するといったことを可能にするエクスプロイトを、これらの新たな分散システム内のあらゆる脆弱なリンクに対して行うことが理論上可能だからです。

図1. IoT により、隔離された制御システムであったものがワイヤレス接続、ハブ、インターネット・ゲートウェイ、パブリック・ネットワーク、およびパブリック・クラウド・データセンター全体に広がる可能性がある

us-systemdesign-journal-iot-fig1

先月、カリフォルニア州サンタクララで開催された「Internet of Things Developers’ Conference」において、この両方のプロセスの要素が明らかにされました。同イベントは、ベンダー・プレゼンテーションの点呼から基調講演まで、高まる興奮と不安が入り交じったものでした。

解析が重要

膨大な数のセンサー、コントローラー、およびアクチュエーターがインターネット経由でメッセージを交換できるようにすれば、さまざまな面白いことを行うことが可能になります。一方、企業では、クラウドがあらゆるデータを取り込み、ビッグデータ解析を実行して隠れた予測パターンを発見すれば、大きな利益がもたらされるようです。解析は、何が起こったのかを理解するための努力を、何が起こり得るかを予測する能力に変えます。

カンファレンスで最初に基調講演を務めた、Renesas Electronics America 社 General-Purpose Products Unit 担当バイスプレジデントの Vin D’Agostino は、この点について説明しました。「IoT を利用するには、ソリューションに対する考えを変える必要があります。ソリューションはクラウド内で起こるのです」(同氏)。

D’Agostino 氏は、レストラン向けディープフライヤーのサプライヤーという、ごく普通の法人客のように思われる顧客向けに取り組んだシステムについて説明しました。「このビジネスには 3つの側面があります。運用、保守、そして油の輸送です」(同氏)。ディープフライヤーと貯蔵タンクのインストルメンテーションにより、装置の運用、フライ油の状態、およびタンク内の量に関する大量のデータを収集できるようになりました。このデータをクラウドに戻すことにより、故障を予測し、レストランの営業に支障を来したり、出火したりする前に、保守トラックを向かわせることが可能になりました。同様に重要なこととして、油の輸送を最適化することにより、必要な量の油の確保、廃油の蓄積や盗難の防止、およびトラックの効率的運用も可能になりました。

しかし、D’Agostino 氏のチームは、そのシステムの実装に当たってさまざまな問題に遭遇しました。「安定したスタックの発見から、API、マイクロコントローラー、およびオペレーティング・ソフトウェアのプラットフォームの構築、クラウドへのセキュアなリンクの確立まで、すべて問題になるように思われました」(同氏)。このケースでは、Renesas 社と OS ベンダーの Express Logic 社の定義済みプラットフォームを使用することにより、解決することができました。

それでもやはり、クラウドへのエンベデッド・システムの統合は簡単ではありませんでした。「1つの教訓は、クラウド技術者と IoT 技術者がお互いを理解していないということです」(同氏)。

エッジの状況

この誤解を最も明確に示しているのは、クラウドと IoT エッジ間でのリソースの格差でしょう。クラウドでは、コンピューティング、ストレージ、および帯域幅は豊富にあるようで、制限があるとすれば予算だけです。たとえサーバーがあと千台必要でも、予算さえあれば問題ありません。しかし、Linley Group 社社長の Linley Gwennap 氏が IoT クライアント SoC に関する報告の中で述べたように、エッジでは状況が大きく異なります。

IoT エッジは新しいマイクロコントローラー・ユニット (MCU) の出現を余儀なくさせていると Gwennap 氏は述べました。そうした新しいデバイスは、従来のエンベデッド・デザインの I/O とローカル・コンピューティングを引き続きサポートしなければなりません。その一方で、Bluetooth Low Energy から WiFi 、さらには新しいカテゴリーの 4G セルラー LTE 仕様までの各種ワイヤレス・リンクもサポートしなければなりません。しかも、セキュアでなければならず、変動するコストや消費電力の制約の下でこれをすべて達成しなければならないのです。

Gwennap 氏は、「消費者向け製品は、50ドル以下の小売価格で販売されることが期待されています。工業製品価格はそれに従うことになるでしょう。つまり、システム内の MCU のコストは非常に厳しく制限されるということです」と警鐘を鳴らしました。その結果、新しい MCU は、従来の CPU コア、メモリー、およびアナログ/デジタル I/O にプロトコルエンジン、暗号エンジン、および、ワイヤレス・ベースバンド・プロセッサーを追加しながら、過度のコスト上昇を抑えたワイヤレス SoC になりつつあります。

ワイヤレス規格や顧客の選択の不確実性を考えると、こうしたチップはベンダーにとってリスクの大きいビジネスであると Gwennap 氏は警告しました。ワイヤレス・プロトコルの中でも、チップが直面する可能性があるのは、Bluetooth のような短距離プロトコルに基づく新たなピア・ネットワーク、LoRa や Sigfox のような新しい IoT 指向のネットワーク、Wi-Fi、802.11ah のようなワイドエリア・ネットワーク、新しい LTE カテゴリーのほか、独自の産業用ネットワークは言うまでもありません。アプリケーションによっては TCP/IP スタックが必要なものもあれば、Precision Time Protocol (PTP) が必要なものもあり、バリエーションの数は膨大になるということも付け加えなければなりません。コンピューティング要件の範囲も同様です。

セキュリティーに関する議論では、コネクティビティの不確実性も繰り返し叫ばれています。エンベデッド・システムの設計者がセキュリティーについて検討するとすれば、Transport Layer Security のようなプロトコルによって提供され、公開鍵トランザクションの頻度が低い限り、汎用暗号アクセラレーターによって適切に支援されることが多い基本的な認証と暗号化の観点から考えるかもしれません。一方、クラウド・セキュリティーの専門家は、多要素認証やハードウェア・セキュリティー・モジュール (HSM) などのデータセンター・スタイルのセキュリティー対策で鍵を保護することを期待するかもしれません。さらに厳しい専門家は、スマートカード・チップの物理的改ざん防止対策を期待するかもしれません。IoT システムが損害を及ぼす可能性が高まるに従って、これらの期待はすべて完全に合理的になります。MCU への不正アクセスが、大規模な産業システムまたはエンタープライズ・データセンターへの不正アクセスの成功につながる恐れもあります。

セキュアなクラウドに向けて

しかし、データセンター専門家も、自らの施設について検討しなければなりません。データ解析が IoT の生産性向上の可能性を引き出す鍵だとすれば、クラウド内のセキュリティーは IoT システムのセキュリティー保護における重要な要素になります。これは、HP Enterprise (HPE) 社プロダクト・マネージャーの Reiner Kappenberger 氏が基調講演で語ったメッセージです。

Kappenberger 氏は冒頭、危険の度合いについて触れ、たとえ材料や金銭的損失のリスクを無視したとしても、セキュリティーを軽視することの規制上のコストが高まりつつあると警告しました。例えば、EU では、企業における個人情報保護についてかなり詳細に義務付けた GDPR (General Data Protection Regulation) 規制に違反した場合、売上高の最大 4 % の罰金を科される可能性があります。比較的小規模な IoT システムへの攻撃が企業のサーバーへの不正アクセスにつながり、財務破綻や CEO の辞職の原因にもなりかねません。

それに応じて、データセンターでは保存時、伝送時、および使用時においてデータを保護しなければならないと Kappenberger 氏は述べました。これは、強力な侵入検知・防止対策と同時に、強力な暗号化を意味します。しかし、同氏は、彼の言う「旧態依然」としたブロック暗号に依存していることに対して警鐘を鳴らしました。セキュア・ストレージ・システムで一般的に使用されるこの暗号化技術は、ストレージ内またはデータセンター・ネットワーク内のデータを保護することができます。しかし、データがサーバーメモリーに到着したときに各ブロックを復号化しなければならず、情報が SQL インジェクションやメモリー・スヌーピングなどの攻撃に対して無防備な状態にさらされます。

その代わりに、Kappenberger 氏は準同型暗号とも呼ばれる FPE (Format-Preserving Encryption) を推奨しました。依然として非常に活発な研究分野であるこの技術は、データのフォーマットを維持しながら暗号化するものです。しかも、暗号化データに対して関数を実行した場合、あたかもデータを復号化し、関数を実行し、結果を暗号化したのと同じ結果が得られるという特性があります。この特性により、情報をメモリー内で復号化する必要がまったくなく、暗号化データに対してビッグデータ解析を直接実行することが可能になります。したがって、例えばスマート・ハイウェイ・アプリケーションの場合、車両からの位置、速度、運転条件、およびその他のテレメトリーを解析し、個々の車両の実際の位置や ID にアクセスせずに交通管理に関する結論に達することが可能です。

こうした考えは、使用中のデータの強力な保護を新たに可能にします。ただし、鍵がセキュアである場合に限ります。そのビットは重要です。多くの IoT システムに対する最も簡単な攻撃の 1つは、鍵が十分に保護されていないデバイスを探し、そこから鍵を盗むことだからです。

Kappenberger 氏は、そうした攻撃をより困難にするための HPE のアイデアについて説明しました。同社はそれをステートレス鍵管理と呼んでいます。このユーティリティーは、システム内の各デバイスに鍵を格納するボールトを設けるのではなく、要求側の認証済み ID のほか、シリアルナンバーや PUF (Physically Unclonable Function) 値など、デバイスのセキュアコアの外部からアクセス不可能なデバイスの物理的特性に基づいて、要求に応じてデバイスに鍵を動的に生成させるものです。

メタファーとしての錠

安価で低消費電力の「モノ」から一歩下がって、ワイヤレスハブ、ゲートウェイ、インターネット、およびクラウドを通じて IoT セキュリティーの問題全体を冷静に見ると、非常に不安を感じ始めるかもしれません。個々のベンダーの主張をそれとなく信頼する以外、これらのチェイン内の各リンクのセキュリティーをどう評価すべきなのでしょうか。さらに、システム全体をまとめた場合、ユーザーの安全を誰が評価するのでしょうか。

考えられる答えは、安全の一言に尽きます。カンファレンスで最も説得力のあったプレゼンテーションの 1つは、ベンダーやアナリストではなく、製品安全性に長年携わってきた企業である UL (旧称Underwriters’ Laboratories) 社によるものでした。UL 社イノベーション担当ディレクターの Maarten Bron 氏は、IoT の世界では、システム・セキュリティーなくしてユーザーの安全はあり得ないと説明しました。この事実は、IoT セキュリティーが UL の憲章にまさに含まれることを意味します。

しかし、トースターに水を注ぐ企業が SoC、インターネット、またはデータセンターのセキュリティーについて、何を知っているのでしょうか。IoT に最も必要なものの 1つは、セキュリティーを評価するためのパラダイムです。皮肉にも、20 世紀の早い時期から、UL のセキュリティー・レーティング・システムの中に優れたフレームワークがすでに存在すると Bron 氏は主張しました。Bron 氏は、「私のお気に入りの 1つは錠に関する規格である UL 437 です (図 2)。この規格は、強制攻撃、秘密侵入、鍵制御という 3 枚のレンズを通して錠を見ます。これと同じフレームワークが IoT システムにも役立ちます」と力説しました。

2. 古びた質素な錠が IoT セキュリティーの評価に関する優れたメタファを示していることがわかる

us-systemdesign-journal-iot-padlock

UL437 は、あらゆる優れたセキュリティー規格のように、セキュリティーの観点に時間と経験を含んでいると Bron 氏は説明しました。例えば、強制攻撃仕様は、どんな攻撃にも耐えられることを要求しているわけではなく、熟練者がハンマーやボルトカッターなどの特定の工具を使って行う攻撃に錠が耐えなければならない時間を規定しています。同様に、秘密侵入仕様は、専門家が錠のピッキングに要する時間を規定しています。

UL437 の 3枚のレンズは、物理的特性、論理的特性、および使用手順という IoT システムの 3つの重要なセキュリティー特性とうまく一致しています。物理的特性には、物理的分解またはサイドチャネル攻撃に対する IC の耐性や、分解や再プログラミングに対する WiFi ハブの耐性が含まれるでしょう。論理的特性には、認証や暗号の強度や、スタック・オーバーフロー攻撃に対するコードの耐性が含まれるでしょう。

使用手順は特に興味深く、ほとんどのセキュリティー解析では特になおざりにされています。例えば、従業員の買収またはシステムのハッキングによってベンダーからルート鍵を盗み出すこと、ユーザーのパスワードを傍受すること、あるいは顧客になりすますことは非常に簡単です。Bron 氏が紹介したあるエクスプロイトでは、犯人は客が自分の PIN 番号を入力する POS 端末の小さなキーパッドの下に圧力センサーを取り付けることでパスワードを手に入れました。多くの場合、最も大きな脆弱性は、人間の活動または一見無害な副次的トランザクションに存在します。

UL 社は、この広い視点を取り入れた新しい規格「UL2900 Cyber Assurance」の発表を準備しています。IoT システム・セキュリティーの包括的な評価として、特に誰が評価を行うべきかについて、議論を呼ぶことは間違いありません。Bron 氏は、UL 社がベンダーに自己評価させるのではなく、星評価やクラウドソーシングによるシステム・セキュリティー評価、さらにはハッキングの成功に対する報奨金といったソーシャル・メディア指向のアイデアに頼る可能性をほのめかしました。

しかし、UL2900 の影響がどうであれ、これまでよりはるかに真剣なエンドツーエンドのセキュリティー解析に取り組まないと、IoT システムは安全になり得ないことはますます明らかになっています。業界は、攻撃者より大変な努力をしなければなりません。損害からの物理的安全と個人情報の安全という両方の安全がなければ、IoT は行き詰まる可能性があります。


CATEGORIES : All, Data Center, Design Challenges, IoT, System Security, Wireless/ AUTHOR : Ron Wilson

Write a Reply or Comment

Your email address will not be published.