議論すべき時が来た組み込み機器のセキュリティ(2/2 ページ)

» 2006年12月26日 15時28分 公開
[高橋睦美,ITmedia]
前のページへ 1|2       

 それを受けて国内では、経済産業省の告示に基づき、「情報セキュリティ早期警戒パートナーシップ」制度が2004年7月から運用されてきた

 この制度は、ソフトウェアやWebアプリケーションに存在する脆弱性情報の届出から検証、複数ベンダー間の調整や対応、対策方法と合わせた公表にいたるまでの枠組みを定めたものだ。対応策とともに脆弱性情報を公表することによって、悪用を避け、対応を後押しすることを狙っている。間にIPAやJPCERT/CCという調整役を加えることで、ベンダーが情報を黙殺してユーザーを危険な状態に置いたり、あるいは根拠のない非脆弱性情報を流布して不安に陥れるといった事態を防ぐことができる。

 しかしこのスキームが適用されるのは、ソフトウェアおよびWebアプリケーションの脆弱性のみ。組み込み機器のハードウェアについては今のところ枠外だ。ユーザーの保護と適切な情報公開を実現するため、脆弱性の発見と届出、修正をどのように進めていくべきかについて、関係者間でのコンセンサスもできあがっていない。

 しかも組み込み機器に特有の課題もある。例えば、ハードウェアの物理的な破壊に関する検証も行うとなると、専用の装置や技術が必要だ。これまでのソフトウェア脆弱性の検証、再現作業とは異なる困難がつきまとうことになる。

 また修正についても、「ソフトウェアの場合はパッチを当てればいいが、ハードウェアの場合は、脆弱性解消のスキームをどう組み立てるか非常に難しい。インターネットを通じてソフトウェアを配布すれば済む問題ではなく、製品回収などの手段が必要になる。また組み込み機器は、PCのユーザーだけでなく、ごく普通の人が使うもの。このため、いったいどうしたらいいか分からない人も多く出てくる」(三角氏)

まずははじめから安全な開発を

 ユーザーを守るためにまずできることは、組み込み機器をはじめから安全に開発していくための手法を浸透させていくことだと三角氏は述べる。

 「セキュリティははじめから考慮しておくべき。あとから事後処理を行おうとすると大変なことになる」と三角氏は述べ、IPAで提供している「組み込みソフトウェアのセキュリティ」といった文書を通じて、安全に組み込み機器を開発するための手法を周知していきたいとした。

 また鵜飼氏も、「実社会への影響を考慮した組み込みシステムのセキュリティ脆弱性脅威分析手法の確立や、安全な組み込みシステムの開発手法に関する研究、教育、啓もう活動などが当面の重要課題になると思う」とコメントしている。

 鵜飼氏によると米国では、「Responsible Disclosure」(責任ある開示)にのっとり、発見者がベンダーに詳細情報を直接報告するのが一般的という。

 「日本では、一般のソフトウェアについてはIPAが脆弱性届出の窓口として定着しており、大きな成果を上げている。しかし残念なことに、組み込みシステムの脆弱性届出窓口としてはまだ機能していない」と鵜飼氏。組み込み機器に対する脆弱性報告は今後も増えると思われることから、体制の確立は急務であると述べている。

 ソフトウェアの脆弱性については、ユーザーを危険から守るため、セキュリティ研究者とベンダーにできることは何かという議論の末、現在の届出制度ができあがってきた。より多くの、幅広いユーザーに影響を及ぼす恐れのある組み込み機器全般のセキュリティ問題についても同様に、議論する時期が来ているのかもしれない。

 なおIPAでは、ISO/IEC 19790に沿って暗号アルゴリズムが適切に実装されているかどうかを確認する「暗号モジュール試験及び認証制度」という仕組みを2007年春をめどに開始する予定だ。ただし、この試験は開発者もしくはシステム調達側の申し出に基づき実施されるものになるという。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ