サプライチェーンの安全性を担保するIoT機器のセキュリティ対策

IoT 化が進む産業制御システムのセキュリティをどのように確保していったらいいのか。その答えを見つけるきっかけになるセミナーがオンラインで2020年5月に開催された。「押さえておきたい!IoT機器のセキュアなライフサイクル管理とは」と題したセミナーで、サイバートラストが主催したもの。IoTセキュリティの国際的な最新動向と、求められるソリューションの両面から解説があった。

前半は、「IoT セキュリティ最新動向」をテーマに、セキュアIoTプラットフォーム(SIOTP)協議会 事務局長の白水公康氏が講演した。現状の理解として、ネットワークにつながるデバイスが増加し、全世界で400億台とも言われるようになり、IoTが社会インフラ化していることを指摘。しかし、そうしたIoTデバイスの7割が脆弱性を抱えているという。「ヘルスケアや交通、社会インフラは重要インフラでありながらもIoTデバイスが原因となるようなインシデントが発生している。IoT機器のセキュリティ対策は不可欠だ」と説く。

国際標準化が日本の産業界にも影響を及ぼす

さらに、サプライチェーンのグローバル化の進展により、国際協調の必要性も高まっている。そうした中で、IoTセキュリティの標準化が進められている。白水氏は「国際電気標準会議(IEC)は産業機器の汎用制御システムのセキュリティ規格としてIEC62443を規定している。一方で米国では米国国立標準技術研究所(NIST)がセキュリティガイドラインをまとめている。NIST SP800-171はサプライチェーンの安全性を担保するもので、米国政府調達要件になっている。サプライチェーンに入っている企業ならば域外適用が求められるので、日本の企業も対応が不可欠になる。またNIST SP800-140/FIPS140-3という暗号モジュールの米国連邦情報処理標準も2020年3月にファイナライズされた。こうした国際標準化は日本の産業界にとっても無視できないものになっている」と語る。

▼IoT機器のセキュリティに関する国際協調の3つのキーワード(同セミナーの資料より)

日本でも、通信端末の技術基準適合認定の変更が2020年4月に施行され、アクセス制御、出荷時のデフォルトパスワードの変更、ファームウエアの更新機能をもたせることがセキュリティ要件として定められた。また2020年4月の改正民法の施行により、「サイバーセキュリティ面でも5年間はセキュリティパッチを提供しなければならない」(白水氏)と変化を説明する。

そうした中で、セキュアIoTプラットフォーム協議会では、IoTデバイスに対する「真正性の確保と識別」「ライフサイクル管理」「サプライチェーン管理」の3つの要件に対して、どのように実現するかを検討しているという。「IoTデバイスの真正性の確保については、IoTデバイスにいかに安全に固有鍵を埋め込むかを安全性のレベルに分けて検討している。最もセキュリティレベルが高い方法としては、IoTデバイスに、ハードウェア的に安全性が担保されている耐タンパ領域を持つICチップ(ハードウエアルートオブトラスト)を採用し、その中に固有鍵を格納する(トラストアンカー)方式を提唱している」(白水氏)。また、ライフサイクル管理に関しては、HSM(ハードウェアセキュリティモジュール)により、安全に固有鍵をICチップに埋め込んだIoT機器を用いることで、間違いない機器に間違いなくファームウエア更新したり、廃棄時に固有鍵の証明書情報を失効させることで確実な切り離しを実現できる仕組みを提唱している。

最後に白水氏は、セキュアIoTプラットフォーム協議会が、こうした考え方に立脚した日本の製造業のあり方への提言を2020年3月に公表していることを説明し、次の講演に引き継いだ(グローバル環境において求められるIoTセキュアに関する考察)。

続く講演は「IoT機器を安全に長期運用する方法」と題して、サイバートラスト IoT技術本部 副本部長の岸田茂晴氏が行った。まず産業界におけるセキュリティ標準規格の動向として、「各業界のセキュリティ規格にはかなり類似している部分がある。こうした共通部分を統一化する方向にあり、その1つがIEC62443だ。またもう1つの動向として、サイバー攻撃の対象が組織やシステムから、コンポーネントレベルに広がってきていることがある。デバイスがパワフルになりネットワークにつながるようになり、IoT機器そのものが攻撃対象になってきている」と説明する。

その上で、「ネットワークに接続されるすべてのデバイスに個別のセキュリティ対策が求められる。暗号モジュールがセキュリティ対策で最も重要。暗号モジュール標準化は米国ではNIST SP800-140Fまでリリース済みで、2022年内に対応の義務化が行われる。一方で、中国では中国暗号法が施行され、米国同盟国域と中国同盟国域とでサイバーセキュリティが分断化していく方向にある」と語る。

国際標準化に対応したセキュリティ対策をサービスとして利用

IoT機器では、「機器を一意に識別するだけでなく、ユーザーをOSのカーネルレベルで一意に識別し、さらに識別情報のハードウエアによる保護、システムおよび通信の完全性検証、そしてOTA(Over The Air)のよる安全な更新機能という多くの要件を満たす必要がある」と岸田氏は続ける。こうした課題への対応として、サイバートラストではIoT機器を製造する企業に対してセキュリティ要件をパッケージ化したサービスを提供しているという。

「『EM+PLS』と名付けたサービスで、組み込み用のLinuxと、IoT機器の管理機能、ライフサイクル管理に必要な脆弱性検査をセットにした。組み込み用の『EMLinux』は10年以上の長期アップデートを保証し、産業機器のように長期間利用するケースでもサポートを継続する。本物を担保するIoT機器管理機能では、機器の中に固有鍵を安全に保存して運用できるセキュアIoTプラットフォームを利用する。セキュアIoTプラットフォームによって正しいIoT機器であることを認識することで、安全なリモートアップデートも実現できる。また、長期の製品ライフサイクルに求められる脆弱性検査ツールも提供する」(岸田氏)。

▼IoT機器の開発にあたってセキュリティ対策は「差異化領域」ではなく「共創領域」に(同セミナーの資料より)

こうした機能を備えたEM+PLSにより、IoT機器を製造・提供するメーカーはセキュリティ面の対応を自社で行うことなく、国際標準などの世界のセキュリティ動向に準じた対策を施すことができる。その分だけ、自社の強みとする差異化領域に開発などのリソースを割けるようになると指摘し、IoT機器メーカーへのセキュリティへの意識向上を改めて呼びかけた。