「組み込みの脅威」をなくそう――組み込みシステムのセキュリティレポートが公開

IPAは5月10日、仕様がブラックボックス化されている組み込みシステムのセキュリティ対策を推進すべく、具体的な調査報告書を公開した。

» 2007年05月10日 16時20分 公開
[ITmedia]

 情報処理推進機構(IPA)は5月10日、組み込みシステムの情報セキュリティ対策のガイドラインとしてセキュリティ技術マップを策定し、調査報告書としてWebサイトに公開した。

 組み込みシステムは業界団体やメーカーから仕様が公開されていないことが多く、事例情報が少ないため、脅威を分析するための枠組みを作り、それぞれのシステムに適した対策を検討する必要がある。

 IPAでは、「RFID」「ICカード」「情報家電」「携帯電話」「金融端末(ATM)」「ETC」「カーナビ」の7分野の代表的な組み込みシステムについて、(1)開発、(2)製造(実装や検証を含む)、(3)運用/保守、(4)廃棄の4つのライフサイクルにおける分析を行い、想定される脅威や対策をセキュリティ技術マップに整理した。

 IPAは、組み込みシステム特有の問題、あるいは汎用OSなどと共通の問題を踏まえた上でセキュリティ対策を考えていかなければならないとしている。そして、ライフサイクルの枠組みで分析したセキュリティの実態とその対策を、次のように挙げている。

  • RFID、ICカード、ETC、ATMなどは、認証用情報や暗号鍵情報をあらかじめ内部に格納しているため、実際の運用段階だけではなく、その前の開発段階、製造段階でシステム内部構造の情報などに配慮することが重要


  • 情報家電、携帯電話などの機器は、出荷後のソフトウェア更新や、ユーザー自身による情報の追加が行われる。それら運用中に蓄積された情報がユーザー個人を特定できる内容を含んでいる可能性があるため、運用段階だけでなく、廃棄段階での適切なフォーマット処理などが重要


  • 情報家電、携帯電話、カーナビなどは、利便性や付加価値を向上させるための高機能化や相互運用性により、PCと同様、ウイルス感染や踏み台にされるといったネットワークを介した脅威への対策の検討が必要となる

Copyright © ITmedia, Inc. All Rights Reserved.