IoT Next Special powered by ITpro & 日経テクノロジーオンライン
ITpro 日経テクノロジーオンライン

IoT機器をサイバー攻撃から守る

アドソル日進

IoT機器をサイバー攻撃から守る
ベアメタル型のハイパーバイザー

IoTの普及拡大とともに深刻化する、組み込み系システムを標的としたサイバー攻撃──。人命や社会システムに大きな影響が及ぶ可能性があることから、今、対策が急がれている。そのためのセキュリティ対策プラットフォームとして米国で生まれたのが、仮想システムの技術を使って“隔離”と“遮断”を実現した「LynxSecure」だ。国内でも既に技術検証サービスが始まっている。

アドソル日進株式会社
セキュリティ・ソリューション推進部
部長
山西 正則

 「IoTの広がりにつれて、これまでは対処の必要がないと考えられていた機器についてもサイバー攻撃への対策が求められています」

 アドソル日進の山西正則氏は、こう警鐘を鳴らす。1976年創立の同社は、ユビキタスソリューション開発を事業の3本柱の一つに据えるシステムインテグレーターとして、IoTの基礎となる組み込みソフトと無線通信機器についての長い経験と深い知見を持つ。国内の事業所は、東京・大阪・福岡・仙台の4カ所。2015年8月には米カリフォルニア州サンノゼ市にセキュリティR&Dセンターを設立すると発表した。

 さらに、「現状のままでは重大事故につながりかねません」と続ける山西氏。IoT機器のセキュリティリスクを極小化するには、同社が国内独占販売権を持つセキュリティ対策プラットフォーム「LynxSecure」をIoT機器に搭載するのがよいと勧めた。

 実際、IoT機器にワイヤレスネットワーク経由で侵入できることは既に実証されている。海外報道によれば、2015年7月に米国のセキュリティ研究者が行った実験では、自動車の電子制御ユニット(ECU)を攻略してエンジン、ステアリング、ワイパーなどを外部から自由に操作できたとのこと。同じことが国内でも発生することは十分に考えられるのである。

 もっとも、組み込み系や制御系のシステムに対するサイバー攻撃の手法が、一般のエンタープライズシステムに対するアタックと本質的に異なっているわけではない。他のシステムの場合と同様に、システムがインターネットに接続されていると、その接続点のすべてがマルウエアの侵入口となりうる。そこで、IoTが拡大する社会では、組み込み系や制御系のシステムについても、内部の機器をサイバー攻撃から守るための対策が必須になるわけだ。

制御系システムをサイバー攻撃から守る2つのポイントは、隔離と遮断

 では、どのような対策をとれば、これまでインターネットとの接続を想定していなかった機器をサイバー攻撃の脅威から守れるのか──。

 山西氏が示したポイントは2つある。

 まず、「隔離」すること。具体的には、ソフトウエアとハードウエアを重要度に基づいてグルーピングし、そのグループごとに別々の領域で稼働させればよい。重要な機能をマルウエアから隔離してしまえば、攻撃を受けることもなくなるわけだ

 また、攻撃を防げなかった場合の被害拡大を防ぐ「遮断」も必要だ。「重要度ベースの隔離を細かいレベルでしておけば、被害が他のグループに拡大することも防げます」と山西氏は言う。

仮想システムのドメインを利用してIoT機器をサイバー攻撃から守る

 アドソル日進が販売するLynxSecureでは、この2つの目標を仮想システムの仕組みで達成している。

 LynxSecureの本体はハードウエアのすぐ上で動作するベアメタルのハイパーバイザーになっていて、CPUコア・メモリー・入出力装置などの振る舞いをハードウエアに近いレベルでコントロール。これらのハードウエア要素を重要度別のグループに割り当てることによって、ハードウエアの隔離を実現している。

 また、OS・ミドルウエア・アプリケーションなどのソフトウエアについては、重要度別のグループごとに設けたドメイン(区画)内で稼働させる方式を採用。あるグループで動作するソフトが他の区画にアクセスできないようにすることで、ソフトウエアの隔離と遮断を確実にしている。

 LynxSecureには4つの特長がある、と山西氏は説明する。

 第1に、Intel VTのVT-x(IA-32仮想化支援機構)とVT-d(I/O仮想化支援機構)を利用した「セキュア・セパレート・カーネル」が実現されている。ハードウエア・OS・ミドルウエア・アプリケーションの全レイヤーにわたる“壁”があるので、マルウエアによる不正操作はシャットアウトされてしまうのだ。

 第2に、LynxSecureのハイパーバイザー層は必要最小限の機能だけを含んだ「Small Trusted Code Base」になっている。フットプリントはきわめて小さいから、メモリー容量の制限が厳しい組み込み系システムへの適用も容易だ。

 第3の特徴は、ハイパーバイザー層のすぐ上でOSレスで動作する「LynxSecure Application」(LSA)だ。OSの脆弱性を突いた攻撃を受けるリスクがなくなるので、それだけ安全なシステムを構築できるのである。

 第4に、暗号鍵を安全に管理するための「LSA.connect」がある。これはハイパーバイザー内に形成されたセキュアな通信経路となるもので、専用ドメインに格納された暗号鍵をアプリケーションやOSが参照するのに最適。マルウエアが暗号鍵を盗み出してしまうことは完全に防げる。

社会・産業向け装置での実績も多数 技術検証サービスも提供されている

 このような特徴を持つLynxSecureは、さまざまな組み込み系/制御系システムに適用できる。

 例えば、自動車に搭載された制御システムが外部から不正操作されることを防ぐためには、遠隔操作システムとの間でやり取りされる制御コマンドやデータを暗号化する仕組みがしばしば使われる。そこで、遠隔操作システムと制御システムがネットワークと接する場所にLynxSecureを組み込んだゲートウエイ装置を配置して、暗号鍵を隔離。マルウエアが暗号鍵を不正に利用できないようにして自動車の安全性を確保するのである(図1)。

図1 LynxSecure活用例(自動車)
ネットワークと接するゲートウエイ装置内で暗号鍵を隔離してマルウエアによる不正利用を防ぐ
[画像のクリックで拡大表示]

 また、IoT機器の側では、内部の制御システムをLynxSecureベースで構築することによって重要機能をしっかりとガードできる。内部ネットワークを使う重要機能とインターネットを利用する一般機能を設計段階できちんと分け、それぞれを別々のドメインで動作させるように実装すれば、インターネットからのサイバー攻撃を受けても、その影響が重要機能に及ぶことは避けられるわけだ(図2)。

図2 LynxSecure活用例(EndPoint)
IoT 機器内で、内部ネットワークを使う重要機能をLynxSecureでガード。サイバー攻撃による被害が及ばないようにする
[画像のクリックで拡大表示]

 「当社はIoT機器メーカー様向けに技術検証サービスを提供することを通じて、日本の社会インフラの発展に貢献していく所存です」と、山西氏。社会や産業向けの装置などに多数採用されているアメリカと同様、わが国においてもLynxSecureは急速に普及していきそうだ。

お問い合わせ