組み込みシステム特有のセキュリティ問題を掘り下げる（1/2 ページ）

4月初めにIPAが開催した「IPA組み込みセキュリティワークショップ」では、組み込みシステムに特有の問題、そして汎用OSと共通の問題が語られた。

[ITmedia]

　「PCであればある程度、ユーザーにも使い方や脅威についての知識があると期待できる。しかしデジタル家電、ETCとなると、PCほどの知識は望めない。また、銀行のキャッシュカードに代表されるように、PCに比べ長期間利用されるものが多いことから、中長期的な視点から組み込みシステムにおけるセキュリティ対策を考えていく必要がある」――。

　4月初めに情報処理推進機構（IPA）が開催した「IPA組み込みセキュリティワークショップ」の中で、IPAセキュリティセンター、情報セキュリティ技術ラボラトリーの中野学氏はこのように述べ、PCとは異なる組み込みシステムの特質を踏まえた上で、情報セキュリティ対策の底上げを図っていく必要があるとした。

　IPAでは現在、組み込みシステムのセキュリティに関する調査報告書をまとめている最中だ。この報告書は、代表的な組み込みシステムとして「RFID」「ICカード」「情報家電」「携帯電話」「金融端末」「ETC」「カーナビ」という7つの分野を挙げ、それぞれにどういった脅威が存在し、どのような対策が考えられるかを整理、検討している。最終的な報告書は6月をめどにまとめられる予定という。

　その中でもICカードの分野では、SuicaやPasmoに代表されるとおり、複数の機能を備えた多目的ICカードが増加している。つまり、「極端に異なる要件を持つアプリケーションと異なる技術が1枚のカードに同居することになる」（中野氏）。こうした前提の元で、セキュリティ評価やプライバシー保護をどう進めるかが課題だという。

　「多目的ICカードを開発する際には、『こういう風に使うとこうなる』といった具合にその利用シーンを分析する必要がある。その上で、使いやすさや利便性とった運用要件を崩さないように、うまくセキュリティ要件を組み込んでいく必要がある」と同氏。将来的には、携帯電話とICカードのように、複数の組み込みシステムが組み合わさったときにどういった条件が生じるかについても検討する必要があるとした。

　また、HDDレコーダーをはじめとする情報家電分野では、「インターネット接続機能が搭載されるようになる。ただ、こちらから接続するということは、向こうからも接続可能ということ。この結果、PCと同様にウイルスなどが侵入してくる可能性がある」（同氏）。今後、情報家電のインターネット接続が一般化することにより、攻撃者の対象になることが考えられると述べた。

　さらに、情報家電の世界でも、PCと同様の脅威が発生すると考えられる一方で、「組み込みシステムの場合は小さく、安価にという条件の下で開発が進められることが多い。つまり、PCと異なり多くのリソースがない中で、どのようにセキュリティ要件を守っていくかが課題だ」（同氏）という。

　中野氏は講演の最後に、実際に使われている運用段階だけでなく、開発や製造、さらには廃棄段階まで考えたセキュリティ指針を設定する必要があると指摘。あらゆるステップでセキュリティ技術を考えていく必要があり、その前提として、開発者／技術者の意識共有に向けた活動を進めていきたいと述べている。

歴史を繰り返さないために

　このワークショップでは、米eEye Digital Securityのシニアリサーチエンジニア、鵜飼裕司氏も講演。PCにおける脆弱性と組み込みシステムの脆弱性の共通点および相違点を説明した。

　WindowsやUNIXといった汎用システムは、過去さまざまなインシデントを経験してきた。この結果、今では開発の面でも、またパッチ配布やインシデント対応と言った事後対応の面でも、安全性が向上してきたと鵜飼氏は言う。

　では組み込みシステムはどうか。過去のノウハウをしっかり生かした安全な製品がある一方で、残念ながら歴史を繰り返し、汎用システムと同様の古典的な脆弱性を作り込んでいる製品もあるという。いわば、二極化が進んでいる状態だ。