「サイバー攻撃に強い」組み込みシステム、どう構築する？：DigiKeyが半導体メーカーと議論（1/2 ページ）

コネクテッドデバイス／IoT機器の数が増加する中、組み込みシステムにおいてサイバーレジリエンスはどう向上させられるのか。DigiKeyが半導体メーカー数社と議論した。

[Shawn Luke（DigiKey），EDN Japan]

　コネクテッドデバイスが生活に浸透する中、堅牢な組み込みセキュリティへのニーズがこれまで以上に高まっている。DigiKeyは、Analog Devices、STMicroelectronics、NXP Semiconductors（以下、NXP）、Microchip Technologyからエキスパートを招いて組み込みセキュリティをめぐる動向や現代のコネクテッドワールドで組み込みセキュリティが果たす重要な役割について話を聞いた。

　データセンターは物理的なセーフガードがある管理された環境で稼働するが、組み込みデバイスは車両、家電製品、医療機器といった“過酷な現場”で動作する。組み込みデバイスは、集中型データセンターと異なり、サイドチャネル攻撃などの物理的な改ざんに弱いため、堅牢で分散型の保護戦略が求められる。組み込みデバイスは分散型という特性を持っているため、セキュリティを後付けするのではなく、設計段階で組み込む必要がある。

　組み込みシステムのセキュリティ確保、新しいグローバル規制や先進的なコンセプトへの対応に関する意見を聞いた。

サイバーセキュリティの向上を図る「サイバーレジリエンス法」

NXP SemiconductorsのCarlos Serratos氏

　NXPのCarlos Serratos氏は、サイバーレジリエンス法（CRA）の施行によって製造業者がサイバーセキュリティに対する責任を負うようになった状況を説明した。CRAへの対応は、欧州だけでなく世界中の製造業者に影響を及ぼしている。ハードウェアとソフトウェアに対するリスク評価、特定された脅威への対策、製品ライフサイクル全体を通じた脆弱性の報告が求められるからだ。CRAを順守するため、マイクロコントローラーから最終製品に至るまで、バリューチェーンのあらゆるレイヤーで、新しいセキュリティ要件を満たさなくてはならない。順守しなければ、罰則が科せられるだけでなく、企業の評判にも影響を与える可能性があるため、セキュリティ対策は単なるベストプラクティスではなく法的義務事項と見なされている。

Analog DevicesのDoug Gardner氏

　Analog DevicesのDoug Gardner氏は、NIST、PSA、IEC 62443、ISO 21434などの規制によって、さまざまな業界で新たな開発ワークフローが形成されていると付け加えた。企業は、暗号プリミティブ、分離メカニズム、安全なID管理をエンジニアリングプロセスに統合しなければならない。このように次々と増えていく要件項目に対応しなくてはならない開発者をサポートするため、半導体メーカーはコンプライアンスを簡素化し、実装エラーのリスクを低減するツール、SDK、ライフサイクル監視ソリューションを提供している。こうしたソリューションを使用することにより、開発者は過度な複雑さに悩まされることなくセキュリティを統合する作業に集中できる。

　Microchip TechnologyのXavier Bignalet氏は脅威モデリングの概要を説明した。脅威モデリングとは、1つ1つのデバイスやアプリケーションのリスク状況を定義する作業である。同氏の説明によると、現代の開発では生産後のライフサイクル管理も取り込む必要がある。定期的な更新、監視、インシデント対応を通じて、デバイスを展開した後もその安全性を保証しなくてはならない。Bignalet氏は「セキュリティは展開で終わりではない」と強調している。進化する脅威に対するレジリエンスを維持するには、継続的な監視、ファームウェアの更新、インシデント対応が不可欠だからだ。