ニュース
「組み込みの脅威」をなくそう――組み込みシステムのセキュリティレポートが公開
IPAは5月10日、仕様がブラックボックス化されている組み込みシステムのセキュリティ対策を推進すべく、具体的な調査報告書を公開した。
情報処理推進機構(IPA)は5月10日、組み込みシステムの情報セキュリティ対策のガイドラインとしてセキュリティ技術マップを策定し、調査報告書としてWebサイトに公開した。
組み込みシステムは業界団体やメーカーから仕様が公開されていないことが多く、事例情報が少ないため、脅威を分析するための枠組みを作り、それぞれのシステムに適した対策を検討する必要がある。
IPAでは、「RFID」「ICカード」「情報家電」「携帯電話」「金融端末(ATM)」「ETC」「カーナビ」の7分野の代表的な組み込みシステムについて、(1)開発、(2)製造(実装や検証を含む)、(3)運用/保守、(4)廃棄の4つのライフサイクルにおける分析を行い、想定される脅威や対策をセキュリティ技術マップに整理した。
IPAは、組み込みシステム特有の問題、あるいは汎用OSなどと共通の問題を踏まえた上でセキュリティ対策を考えていかなければならないとしている。そして、ライフサイクルの枠組みで分析したセキュリティの実態とその対策を、次のように挙げている。
- RFID、ICカード、ETC、ATMなどは、認証用情報や暗号鍵情報をあらかじめ内部に格納しているため、実際の運用段階だけではなく、その前の開発段階、製造段階でシステム内部構造の情報などに配慮することが重要
- 情報家電、携帯電話などの機器は、出荷後のソフトウェア更新や、ユーザー自身による情報の追加が行われる。それら運用中に蓄積された情報がユーザー個人を特定できる内容を含んでいる可能性があるため、運用段階だけでなく、廃棄段階での適切なフォーマット処理などが重要
- 情報家電、携帯電話、カーナビなどは、利便性や付加価値を向上させるための高機能化や相互運用性により、PCと同様、ウイルス感染や踏み台にされるといったネットワークを介した脅威への対策の検討が必要となる
関連記事
- 組み込みシステム特有のセキュリティ問題を掘り下げる
4月初めにIPAが開催した「IPA組み込みセキュリティワークショップ」では、組み込みシステムに特有の問題、そして汎用OSと共通の問題が語られた。 - 議論すべき時が来た組み込み機器のセキュリティ
非接触ICカード「FeliCa」の暗号が破られたという報道があった。その内容はさておき、組み込み機器に存在する脆弱性について、真剣に議論すべき時期が来たようだ。 - FeliCaの暗号が破られた?――ソニーは完全否定
非接触IC「FeliCa」の暗号が破られたとする雑誌記事に対し、ソニーは「事実無根だ」と真っ向から反論している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.