脆弱性はPCよりも面倒？ 組み込み製品のセキュリティ

PCでは当たり前のセキュリティ対策。組み込み製品でも高機能化とともにニーズが高まりつつある。

[國谷武史，ITmedia]

　PCにはアンチウイルスやファイアウォール、セキュリティパッチなど、さまざまなセキュリティ対策が存在する。だが、携帯電話やハードディスクレコーダー、ルータといった組み込み製品にはどのような対策が存在するのだろうか。そもそもセキュリティ対策の必要性はあるのだろうか。

鵜飼氏

　4月23〜24日に開催されたRSA Conference Japan 2008では、情報処理推進機構（IPA）の鵜飼裕司氏が組み込み製品のセキュリティ対策について講演した。

　近年の組み込み製品は多機能化やネットワークへの対応が進化し、一種のコンピュータとして多彩なアプリケーションの実行や高度な処理をできるものが増えている。外見は主機能や用途によって異なるが、内部はPCと同じようにOSやチップセット、そして、さまざまなソフトウェアが動いている。

　鵜飼氏は、「組み込み製品はスダンドアロンで動く時代からインターネットへの接続や機器同士が連携する時代に移り、セキュリティもPCと同様に考えるべきタイミングが来た」と話す。だが、汎用的なPCに比べて、用途や機能、ユーザー層もさまざまな組み込み製品ではセキュリティ対策が十分に検討されてこなかったという。

　組み込み製品で想定されるセキュリティリスクを製品のライフサイクルでみると、製品の「企画段階」では企画内容の情報漏えいが、「開発段階」では脆弱性の発生、「運用（利用）段階」や「廃棄段階」では情報漏えいの可能性がある。組み込み製品の脆弱性対策では、特にハードウェアリソースの制限や利用者によるリバースエンジニアリングがハードルとなると鵜飼氏は指摘する。

　これまで発生した組み込み製品の脆弱性を狙う事件では、Symbian S60プラットフォームを採用した携帯電話でのウイルス拡散、ATM装置やPOS端末、航空会社のチェックイン装置がウイルスに感染してサービス停止へ追い込まれたケースが報告されている。

　国内では、IPAセキュリティセンターとJPCERT コーディネーションセンター（JPCERT/CC）が提供する脆弱性の届出報告で、2007年6月までにルータや携帯電話など11件の組み込み製品に関する報告があった。

　鵜飼氏は、組み込み製品に脆弱性が見つかると内容によっては製品の回収・修理・発送までの対応を求められるケースがあり、ベンダーにとってはPCソフトよりも抱えるリスクが高いと指摘する。「PCソフトはWebサイトに修正プログラムを公開し、ユーザーに対応を任せることが常識化しつつあるが、組み込み製品においてはそれだけで済まないことも多い」（鵜飼氏）

　今後予測されるセキュリティリスクについて、鵜飼氏は向こう3年の間に組み込み製品のインターネット接続や汎用OSの採用が広がり、PC並みの脅威にさらされる環境へ近づくとみている。さらに、向こう5年間では製品同士の連携拡大やミドルウェアの共通化によって、ウイルス攻撃が増加すると予想。5年後以降は、コンテンツセキュリティや暗号化、ユーザー認証など、PCと同様の強固な対策が求められる環境になるとしている。

　鵜飼氏は、「PCではユーザーの利用形態や環境が類似しているが、組み込み製品は多岐にわたり、PCソフトを更新してもルータのファームウェア更新をしたことのないユーザーは多い」と話し、ユーザーの認識向上につながる啓蒙活動の必要性も指摘する。

　脆弱性への備えとしては、開発段階においては低リソースの環境でも有効となるセキュリティ対策の導入、リバースエンジニアリングがされにくい製品設計が求められると鵜飼氏。また、脆弱性が見つかった場合では「まず“攻撃がなければ損害は生まれない”という認識を持ち、必要以上に慌てないこと」という。

　「コストとシステムの性質から対策をどこまでするのかを適切に判断する。過度な情報公開はユーザーの混乱やさらなる脅威を招く。組み込み製品のセキュリティ対策ではビジネスの観点も重要だ。また、開発段階でセキュリティをプロセスに組み入れ、開発者のスキルアップも図るべき」（鵜飼氏）