ハードでもセキュアにする時代へ
セキュリティはこれまでのソフトウエアだけから、ハードウエアもセキュアにしてサーバーアタックを防ぐことを考えなければならない時代に入った。IoTやクルマなど様々なモノがインターネットにつながる時代を迎え、これまでのパソコンやスマホのような単純CPU+OSのシステムのセキュリティからマルチコアCPUや仮想化システム、マイコンを含む組み込みシステムでは、これまでのセキュリティをソフトウエアだけではなく、ハードウエアでも確立しなければならなくなってきた。OSだけではセキュリティを守りきれないからだ。
図 ドイツInfineon Technologies社Chip Card and Security部門PresidentのStefan Hofachen氏
すでに数年前からドイツのInfineon Technologiesはセキュリティビジネスの先頭に立ってきた。しかし、B2B(ビジネスからビジネスへ)ビジネスであるため、あまり知られていなかった。セキュリティは安全・安心で当たり前だということもある。しかし、この安全・安心が当たり前ではなくなりつつある。Infineonは6月に「IoT/インダストリー4.0 セキュリティフォーラム」セミナーを開催(図)、工業用IoTやクルマのセキュリティが問題になってくる時代を迎え、その問題を提起した。
これまでInfineonの独壇場だったセキュリティ分野だが、最近になり各社からセキュアにする技術やIP、半導体製品などが続出している。マイコンと自動車に強いルネサスエレクトロニクスがセキュリティ技術を強化したマイコンをリリースし、IPベンダーのImagination Technologiesはセキュアな仮想化システムに対応できるOmniShield技術を昨年発表した。ARMやImagination と同様なIPベンダーである台湾のeMemory(イーメモリと発音)社もセキュアな暗号カギを格納する技術を開発、売り込みに来ている。さらに、米国のマイコンメーカーであるMicrochip Technology社がアマゾンのクラウドサービス(AWS)向けに暗号技術を搭載したECC508A暗号コンパニオンチップをリリースした。
従来のセキュリティはOSで制御してコンピュータへの侵入を防ぐID・パスワードだけのソフトウエアベースのセキュリティだった。OSをアタックして、脆弱な所を狙って侵入するハッカー(日本IT関係者は悪意を持って侵入するモノをクラッカーと呼んでいるそうだが、海外ではクラッカーという言葉はあまり使われていない)は、ID/パスワードをスキャンして突破する試みなどを何年もやってきた。ハッカーとコンピュータシステムとの間で常にイタチごっこを繰り返してきた。このセキュリティシステムをさらにハードウエア(半導体)レベルにも適用しようというのが最近の動きである。
なぜ今ハードウエアまでセキュリティが必要か。そのきっかけは、インターネットにつなげたクルマでの実験だった。2015年7月21日の米Wiredのウェブページで紹介された記事(参考資料1)によると、米国車「Jeep Cherokee」を使った実験ではパソコンでクルマを遠隔操作できることがわかった。いわゆるクルマをパソコンから乗っ取ることができたのである。
この実験では、Wiredのベテラン記者が2人のハッカーに依頼し、クルマを乗っ取れるかどうかを調べたもの。ドライバーは高速道路を走行中に、カーコンピュータのタッチスクリーンを操作できなくなり、エアコンの空気の口からは冷気が流入し、座席の温度制御システムを通して衣服まで冷たくなった。さらにスピーカーからは最大ボリュームでパンクロック音楽が流れだし、ボリュームを回して音量を下げることができなくなった。挙句の果てに、フロントガラスのワイパーが勝手に動き出し、洗浄液まで出て窓を拭き始めた。
ドライバーはクルマ運転していただけなのに、こういった動作が勝手に始まったのである。最後には、ドライバーはアクセルを踏み続けているのにもかかわらず、パソコンからアクセルを遮断してクルマを止めた。これらは実験ではあるが、クルマのM2M(マシンツーマシン)通信モジュールを通してモバイルネットワークを経てインターネットとつながることで、クルマのコンピュータをハッキングできた。悪意を持ってサイバー攻撃すれば命にかかわる。
スイカやパスモのようなICカードは、常時つながっていないため、セキュリティは守られやすい。たとえ、つながったとき(改札口や支払いリーダーにタッチした時)でさえ、カードのセキュリティはハードウエアで守られている。カード情報を盗むとしたら、改札口のリーダーそのものから情報を奪うしかなく、これはほとんど不可能に近い。駅員や乗客など常に人の目にさらされているからだ。
クルマは、NFCカードとは違って、常にインターネットとつながるようになるからこそ、堅固なセキュリティが望まれている。しかもクルマにはECU(電子制御ユニット)と呼ばれるコンピュータが1台に何十個も搭載されている。これらのコンピュータを外部から遮断し、侵入を防がなければならない。また、セキュリティのレベルを整理しておく必要性もある。クルマの安全性は機能安全という規格で安全レベルを規定したが、セキュリティに関しては残念ながらまだ規定はない。もし各社バラバラにセキュリティを勝手に定義すれば、セキュリティシステムをゼロから組まなくてはならなくなる。このため、ある程度、セキュリティレベルを定義し、規格化しなければコスト的に見合わなくなる。
チップメーカーは、セキュリティ対策を行い始めた。日本企業でそのトップを切ったのはルネサスである。今後は、セキュリティを上げる、レベルの標準規格を決める、などセキュリティの中身は各社各様であっても、それがセキュアであるかどうかをテストできる仕組み作りも必要になる。
参考資料
1. Hackers Remotely Kill a Jeep on the Highway - with Me in It.