- Column
- 社会の成長を止めないIoTセキュリティの姿
厳格化するIoT機器の法制度や規格に対応するための“4A”とは
「IoTセキュリティフォーラム2023」より、IARシステムズの原部 和久 氏
- 提供:
- IARシステムズ
IoT(Internet of Things:モノのインターネット)機器に対し各国が、そのセキュリティを強化するための法整備を加速させている。組み込み開発と組み込みセキュリティの両ソリューションを提供するIARシステムズのカントリーマネージャーである原部 和久 氏が、「第8回IoTセキュリティフォーラム2023」(主催:横浜国立大学先端科学高等研究院、2023年8月31日)に登壇し、厳格化する法規制に対処するためのセキュリティ機能として必要な4つの“A”と、その実装について解説した。
「組み込み開発においてセキュリティに対する要求が厳しさを増している。その背景には、各国が強化している各種サイバーセキュリティ関連法への対応がある」――。組み込み開発と組み込みセキュリティの両ソリューションを提供するIARシステムズの日本法人でカントリーマネージャーを務める原部 和久 氏は、こう指摘する(写真1)。
例えば、2022年8月に発表された「欧州サイバーレジリエンス法案(EU Cyber Resilience Act)」は、デジタル要素を有する技術を用いる機器に対しサイバーセキュリティ対策を求めている。その機器にリスクがあると判定されれば、製品のリコールが求められ、違反事由があれば最高1500万ユーロまたは当該企業の全世界売上高の2.5%以内の罰金が課される。「欧州で製品を販売したい日本企業は、「2025年の適用に向けた準備を迫られる」(原部氏)
ほかにも欧州では、無線機器指令「RED(Radio Equipment Directive)」にサイバーセキュリティの必須要件としての追加が計画されている。米国では、サイバーセキュリティに関するラベル表示制度の運用開始を2024年内に目指す動きがある。原部氏は、「対応を迫られるメーカーは、1つの制度だけではなく、これら各国の各種制度への対応も視野にいれて対策していく必要がある」と強調する。
各国の規制・法律に個別でない効率的・効果的な実装が必要に
こうした複数の法制度対応においてメーカーは、「自社製品におけるセキュリティ機能を、いかに効率的・効果的に実装するかを考えなければならない」と原部氏は提言する。「各国の規制や法律に合わせて仕様をカスタマイズしたり、プラットフォームを準備したりしていては、設計コストが跳ね上がるほか、その後の運用も困難になる」(同)からだ。
では組み込み機器のサイバーセキュリティ対応としては具体的に何が求められているのか。原部氏は、「IARシステムズがサイバーセキュリティ関連法を読み解き、共通に求められる技術仕様をまとめた。それが“4A”だ」と説明する。すなわち、(1)Authentication(認証)、(2)Active IP Protection(アクティブIP保護)、(3)Anti-rollback(アンチロールバック)、(4)Anti-cloning(アンチクローニング)である。
Authentication(認証)
真正性の確保である。組み込み機器で稼働しているソフトウェアが本当に正当なものなのか、悪意のある第三者によって不正に作成したものなのかを電子的・暗号的に正しくチェックする。
Active IP Protection(アクティブIP保護)
重要なソフトウェアやデータを保護するために、セキュアな暗号鍵管理によって正規のデバイス上でしかアプリケーションが動作しないようにする。その動作も、セキュアなブートプロセスによって正しく実行された後のみに限定する。
Anti-rollback(アンチロールバック)
ソフトウェアの更新プロセスを管理する。人的ミスや管理ミスなどによってソフトウェアが旧バージョンに戻ってしまうと、旧バージョンに存在していた脆弱性を突いた攻撃を受ける恐れがある。そうしたロールバック攻撃を阻止しバージョニングを保護する。
Anti-cloning(アンチクローニング)
ソフトウェアやハードウェアに独自のIDを適用し、製造過程での偽造を防止する。