NEC、軽量暗号製品の組込みを抜本的に容易化
通信の暗号化を後付け可能なソフトウェア「軽量暗号 組込み改修不要化オプション」の販売を開始
NECは、工場・ビル・店舗・住宅などで使われるファクトリーオートメーション機器、カメラ、医療・ヘルスケア機器などの様々なIoTシステムを構成する機器において暗号化を実現する、既存の基本製品「軽量暗号 開発キット」(注1)の提供に加え、後付けで通信の暗号化を実現するソフトウェア「軽量暗号 組込み改修不要化オプション」のWindows向けを新たに製品化し、販売を開始した。本製品により、機器メーカやシステム提供者は機器に搭載される通信アプリケーションのソースコードを改修することなく、通信の暗号化が可能となり、暗号化のためのコストや手間を削減できる。提供開始は本年10月1日を予定。なお、Linux向けは本年4月1日から提供している。
【背景】
近年、様々な現場機器のIoT化にともない、IoTシステムにおける機器を狙ったサイバー攻撃が急増している。このようなセキュリティリスクに対して、暗号化は基本的な対策の一つ。
しかし、従来の暗号化ソフトウェア製品は、ライブラリのようなソフトウェア部品として提供されており、既存の機器に組み込む場合、機器に搭載される通信アプリケーションのソースコードを改修して組み込む必要があった。そのため、ソースコードを改修するコストや手間が課題とされていた。
このような課題に対して、本製品は「軽量暗号 開発キット」と一緒に機器にインストールするだけで済み、機器メーカやシステム提供者は機器に搭載される通信アプリケーションのソースコードを改修することなく、通信の暗号化が可能となり、暗号化に対応するためのコストや手間を削減できる。
【製品の特長とユースケース】
特長1:通信アプリケーションの改修を不要とし、後付けが可能
■システム提供者がIoTシステムを構築するケース
システム提供者が店舗やビル等の遠隔監視、工場等の機器の遠隔制御に用いるIoTシステムを構築する場合、3rdパーティ製の通信アプリケーションを利用することは一般的である。この場合、通信アプリケーションのソースコードを入手できないため、従来は暗号化ソフトウェア製品を組み込むことができず、同システムの通信を暗号化することができなかった。
本製品を用いれば、通信アプリケーションを改修する必要がなく、インストールのみで導入することが可能となる。
■機器メーカが機器製品と一緒にソフトウェアツールを提供するケース
ファクトリーオートメーション機器では、機器のセッティングに用いるPC用設定ツールをセットで提供することがある。また、医療機器では医療データの収集に用いるPC用収集ツールをセットで提供することがある。これら機器の設定値や医療データは営業秘密や個人情報であることから、機器とツールの間の通信を暗号化し保護する必要がある。
この暗号化を実現するために、機器メーカーは、本製品と「軽量暗号 開発キット」を機器の開発時にインストールするだけで済み、通信アプリケーションのソースコード改修が不要となる。この結果、「軽量暗号 開発キット」のみを導入する場合と比較した試算では8人月の工数削減が見込まれる。また、機器ユーザーは、機器メーカからPC用設定/収集ツールと併せて提供される、本製品と「軽量暗号 開発キット」をPCにインストールするだけで容易に導入できる。
特長2:柔軟な暗号化設定
■対象システムにレガシー機器と最新機器が混在しているケース
工場等では、レガシー機器と最新機器とが混在していることが一般的。しかし、レガシー機器の一部は暗号化ソフトウェアを後から導入することが困難な場合が多く、暗号化通信ができない。このような場合、暗号化された仮想的なプライベートネットワークの構築に用いるVPNソフトウェアを最新機器に導入すると、レガシー機器に対しても一律に暗号化データを送信するため、最新機器とレガシー機器の間で通信ができなくなる。
本製品では、暗号化対象とする通信と対象外とする通信とを設定により指定することが可能。そのため、暗号化対象とする機器、対象外とする機器を混在させることができる。また、ユニキャスト通信(1対1)のみならず、マルチキャスト通信(1対多)も暗号化することができる。
特長3:機器認証によるシステムの堅牢性強化
■対象システムにおいて接続機器の厳格な管理が求められるケース
発電所等の重要インフラでは、境界防御を過信せずシステムを堅牢にするため、エンドポイントである機器同士の認証が不可欠。
本製品を「軽量暗号 開発キット」とともに機器に搭載すれば、機器同士が暗号化通信を開始する前に、互いを自動的に認証する。これにより、不正な機器とは暗号化通信を行わず、信頼できる機器のみと行うように制限できる。
特長4:暗号鍵管理製品との連携
■対象システムが24時間365日の稼働を止められないケース
暗号鍵は定期的な更新が必要だが、重要インフラでは機器やシステムを停止させることが許容されないため、停止を前提とした暗号鍵の更新は実施できないことがある。
本製品は、機器のIDに紐づけて暗号鍵を生成・発行・更新・管理するNEC製品「SecureWare/Credential Lifecycle Manager」と連携することができる。具体的には、「SecureWare/Credential Lifecycle Manager」が発行する暗号鍵(マスタ鍵)を内部に取り込んで、暗号化に用いる暗号鍵(セッション鍵)を自動的に更新する。機器やサーバを停止させる必要がないため、停止が許容されないシステムにも適用できる。
NECは、オンラインイベント「第7回 IoTセキュリティフォーラム 2022」(8月18日(木)~9月16日(金))にて本製品を紹介する。
(注1)
軽量暗号 開発キット
NEC独自開発による世界トップクラスの優れた実装性をもつ軽量暗号TWINE、認証暗号OTRを採用した暗号化ソフトウェア製品。
https://jpn.nec.com/iot/platform/security/lcdk/index.html