著者:Brian Condell、Conal Watterson
現在は、潜在的なセキュリティの脅威が高まっている状況にあります。それに伴い、エッジ・デバイスとそれによって供給されるデータの真正性(Authenticity)を保証することがますます重要になっています。本稿は、リモートIOブログ・シリーズの5回目の記事です。今回は、産業分野におけるサイバー・セキュリティについて解説します。現在では、あらゆる種類のデバイスがネットワークに接続されるようになりました。それらのデバイスは、IPアドレスによって指定することが可能です。その結果、ハッキングやシステム攻撃に対する懸念が拡大しているのです。例えば、多くの工場では、エッジからクラウドまでがネットワークで結ばれるようになりました。そうした工場では、離れた場所のあらゆる個所で大量のデータが生成されます。その結果、数年前には問題にならなかった様々な事柄が懸念事項として浮上しました。オートメーション分野のベンダーは、そうした問題について検討し、試練を乗り越えなくてはなりません。
いま、なぜセキュリティが問題になっているのか?
読者のほとんどは、未来のコネクテッド・ファクトリについて耳にしたことがあるでしょう。その未来は今や現実のものになりつつあります。現在では、あらゆる種類のセンサーやアクチュエータがネットワークに接続され、様々な情報が共有されるようになっているのです。その目的は、工場をできる限り効率的かつフレキシブルに稼働させられるようにすることです。インダストリ4.0を実現するには、工場でのエッジ・デバイスへのアクセスを拡大しなくてはなりません。また、それらを制御するためのアクセシビリティも必要になります。その結果として得られる透過性と、データを基にした知見により、ネットワークに関する計画の必要性が軽減されます。また、それらはCapEx(Capital Expenditure:設備投資)やOpEx(Operating Expense:運用コスト)の削減にも貢献します。更に、帯域幅の拡大と機械の相互作用の最適化にも役立ちます。ここで筆者の脳裏に浮かんだのは、映画「スパイダーマン」に出てくる「With great power, there must also come great responsibility.(大いなる力には大いなる責任が伴う)」という有名なセリフです。その言葉と同様に、上記のようなより賢明な意思決定を可能にする相互接続性の影響について考慮することなく、メリットだけを享受することはできません。
エッジからクラウドまでにわたるデータ・パスを設けると、新たな脅威が及ぶ可能性が生じます。そのため、産業用制御システム(ICS:Industrial Control System)に対するサイバー・セキュリティのリスクについて再評価しなくてはならなくなります。ICS向けのサイバー・セキュリティ・ソリューションは、変化するリスクに適応できるものでなければなりません。従来は、システムにファイアウォールを適用したり、施錠した部屋にデバイスを配置したりといった対策が行われていました。ただ、直観的に言えば、それらはインダストリ4.0の目的に反するはずです。つまり、よりセキュアな方法で機能性を高めるためには、デバイスのセキュリティを強化しなければなりません。データの信頼性を向上し、セキュアな運用を可能にするには、どうすればよいのでしょうか。そのためには、現場のあらゆるデバイスにおいて、アイデンティティとインテグリティ(完全性)を中核的な存在として位置づける必要があります。
オートメーション分野のシステム設計者やシステム・インテグレータは、システムの設計を計画する際、以下で説明するような課題に直面する可能性があります(図1、図2)。
図1. セキュリティに関連する設計上の課題(項目1~4)
真正性
サード・パーティによる複製品や偽造コンポーネントがシステムに混入すると何が起きるでしょうか。その場合、安全性に関するリスクが生じる上に、顧客の期待に応えられない、仕様を満たせないといった問題が起こり、システムの完全性と信頼性に影響が及ぶおそれがあります。したがって、以下のような方法により、真正性を確保しなければなりません。
図2. セキュリティに関連する設計上の課題(項目5~8)
IoTにおけるセキュリティ
適切な保護がなされていないインフラは、マルウェアによる攻撃の対象になり得ます。インフラ全体を保護するためには、以下に示すようなセキュリティ技術が使われます。
図3. エンドポイント・セキュリティ。データが生成されるエッジの近くにセキュリティ機能を設けます。
有用なソリューション
「MAXQ1065」は、ChipDNATMを採用した超低消費電力の暗号コントローラです。この製品は、組み込みデバイスのセキュリティを確保するための理想的なコプロセッサとして機能します。具体的には、ルート・オブ・トラスト(Root-of-Trust)、相互認証、データの機密性/完全性、セキュア・ブート、ファームウェアのセキュアなアップデート、セキュアな通信など、暗号を利用する場合のターンキー機能を提供します。それ以外に、汎用鍵交換の機能やバルク暗号化の機能を提供すると共に、TLSも完全にサポートします。
図4. MAXQ1065のブロック図
MAXQ1065には、DeepCover®が適用されています。これは、アナログ・デバイセズのエンベデッド・セキュリティ技術です。DeepCoverを利用すれば、複数のレイヤから成る高度なセキュリティ機能によって機密データを保護することができます。具体的なセキュリティ機能としては、アクティブ・ダイ・シールド、ChipDNATM PUF技術を使用した鍵用の暗号化ストレージ、外部呼び出しが可能なアルゴリズムのサブルーチンなどが用意されています。それに加えて、MAXQ1065は8KBのセキュア・フラッシュ・メモリを備えています。同メモリには、鍵、機密情報、証明書、ユーザ・データなどを保存できます。
「MAX32672」は、セキュアな機能を備えるマイクロコントローラです。ECDSA(Elliptic Curve Digital Signature Algorithm)、AES-256、SHA-256に対応する暗号化の機能とセキュア・ブートROMの機能を備えています。これらの機能も、侵入に対する保護を実現します。また、悪意のある処理が実行されないことを保証するルート・オブ・トラストをサポートしています。
システムの保護を実現するソリューション
ルート・オブ・トラストの実現は、安全性の高い鍵の管理から始まります。多くの場合、高度な侵入型の攻撃は、セキュアなICから暗号鍵を盗み出すことを目的として仕掛けられます。暗号鍵が盗まれると、そのICが提供するセキュリティ機能は完全に損なわれます。PUF(Physically Unclonable Function)によって生成される鍵は、メモリに保存された状態やその他の静的な状態で存在することはありません。そのため、侵入型の攻撃に対して比類のないレベルの保護が実現されます。
攻撃者は、存在しない鍵を盗むことはできません。ChipDNAは、暗号化/復号化のための対称鍵と、ECDSA/ECDHE(Elliptic Curve Diffie-Hellman Key Exchange)用の秘密鍵を提供します。この技術は、ICの詳細なアナログ特性に基づいて暗号鍵を生成するというものです。生成される鍵はPUFに基づくものであり、メモリに保存された状態や、セキュリティの侵害のおそれがある静的な状態で存在することはありません。ChipDNAによって生成される各ICに固有の鍵はPUFに基づくものであり、温度、電圧、ICの動作寿命などの条件にかかわらず再現することが可能です。
欧州では、間もなくEUサイバー・レジリエンス法(European Cyber Resilience Act)が施行され、ファクトリ・オートメーション用のデバイス/モジュールを製造する企業にサイバー・セキュリティ対策が義務づけられます。そうした法規制によって、セキュリティは今後ますます重要なものとして扱われるようになるでしょう。
参考資料