日経 xTECH Special 日経 xTECH 日経 xTECH Special

IoTセキュリティを国産の特許申請技術で

IoT(インターネット・オブ・シングズ)環境に対するサイバー攻撃の脅威が高まっている。一般のIT機器と異なり、運用管理者が事実上不在というケースも少なくないからだ。こうした課題を解決するためのモデルも提案されているが、コストの増大やシステムの複雑化などの課題がある。アイビーシーが、これらを克服する新たな技術を開発。同社の上原敏幸氏が解説した。

 ネットワーク監視プロダクトを中心にビジネスを展開しているアイビーシー。同社 IoTセキュリティ事業部の上原氏が、IoTデバイスのセキュリティ対策の課題を解説した上で、これを解決するために同社が開発したテクノロジーを紹介した。

現状の手間とコストをどう削減するか

アイビーシー
IoTセキュリティ事業部 担当部長 エバンジェリスト
上原敏幸 氏

 IoTの急激な発展に伴って、IoTデバイスのセキュリティ対策が喫緊の課題として浮上している。デバイスの稼働から年月が経過すると、脆弱性の発見や保護用のパッチ更新が停滞する例が多いからだ。上原氏は「人的な運用面での脆弱性がセキュリティ上の脅威を招いています。運用管理者が事実上不在である、いわゆる『野良IoT』への対応が大きな課題となるでしょう」と指摘する。

 こうした課題を解決するため、セキュリティ上の堅牢性を高めるモデルが提案されている。最近は、専用チップと認証局(CA)を組み合わせたモデルが注目されているという。

 アイビーシーでは、このモデルの有用性を確認するために、実際にシステムを構築して検証を行っている。過去に大規模DDoS(分散型のサービス妨害)攻撃の踏み台にされたことがある監視カメラを適用デバイスとして、LinuxなどのOSS(オープン・ソース・ソフトウエア)を採用した評価環境を構築した。

 同社では、この検証から人的なセキュリティ運用の排除には有効な手段であるものの、製造コストや運用コストの増大、システムの複雑化、ベンダーロックインによる汎用性の低下などが課題であると結論づけている。このほか、IoTサービスサーバーに対するマルウエア対策が必要になるという課題もあった。

[画像のクリックで拡大表示]

IoTセキュリティの更新を効率的に

 「専用チップ+CA」モデルの課題を克服するために、同社では「kusabi(楔)」と名付けた新たなモデルを開発した。ブロックチェーンをはじめとする最新テクノロジーを駆使することによって、「3つの不要(専用チップが不要、CAが不要、マルウエア対策が不要)」を実現していることが大きな特徴だ。

 kusabi(楔)モデルは、セキュリティの基盤機能としてPKI(公開鍵暗号基盤)を採用。一般的なPKIの認証において、電子証明書(公開鍵)を発行する役割を担うCAの代わりに、独自の「電子証明システム(特許出願中)」を設置している。

 電子証明システムは、公開鍵を管理するデータベースにブロックチェーン技術を採用していることが特徴だ。ブロックチェーンは、中央のシステムを必要とせずにピア・ツー・ピア型のネットワークで台帳を管理できる技術である。ひとたびデータを登録すると、遡及的に変更することができない。つまり、論理的に公開鍵の改ざんが不可能になることから信用性が担保される。

 PKIでは、デバイスごとに秘密鍵をどのように割り当てるかが技術的な課題になる。「専用チップ+CA」モデルでは、専用チップにあらかじめ秘密鍵を仕込む必要があるため、これがベンダーへの負担となっている。対してkusabi(楔)モデルでは、「デバイスプロビジョニングシステム(特許出願中)」によって、任意のタイミングで秘密鍵を仕込めるようになるため、ベンダーへの負担は少ない。

 デバイスプロビジョニングシステムは、公開鍵と秘密鍵を生成し、それぞれを電子証明システムとIoTデバイスに登録する機能を備える。ARM系のCPUの場合では、標準のセキュリティ技術「TrustZone」により汎用OSからは隠蔽された領域があり、ここに秘密鍵を登録する。これにより、IoTデバイスで動作するアプリケーションの秘密鍵が改ざんされることを防ぐことができる。

 このような仕組みを持つため、IoTデバイスの出荷時に秘密鍵を埋め込む必要はない。IoTデバイスの設置後でも、人手を介さずに自動的に秘密鍵をセットすることが可能になる。こうした認証基盤を採用しているので、IoTデバイスに対するOTA(Over The Air=無線通信によるソフトウエアの更新)を実現できる。

 電子証明サービスシステムとデバイスプロビジョニングシステムを組み合わせた、ホワイトリスト方式のマルウエア対策の技術も開発済みで、現在、実証実験を進めているところだという。

[画像のクリックで拡大表示]

kusabi(楔)のエコシステムを形成

 現在、kusabi(楔)モデルを利用することを想定したSIer(システムインテグレータ)が日本IBMのクラウド上で実証実験を展開中だという。このシステムでは、SIerの環境に置かれたデバイスプロビジョニングシステムとkusabi(楔)フロントサーバーが、日本IBMのクラウド環境に置かれた電子証明システムとAPI(アプリケーション・プログラミング・インタフェース)で連携する仕組みだ。

 同社では今後、kusabi(楔)モデルを中核としたエコシステムを形成・拡大していきたいとしている。

 上原氏は「セキュリティの核となる技術は純国産のものを採用すべきです」と主張する。多くのセキュリティモデルが海外特許を包含しており、これがリスクとなる可能性を否定できないからだ。今後は、kusabi(楔)モデルを中核としたエコシステムやコンソーシアムの知財化を推進する特許戦略を展開していくという。

お問い合わせ