産業用イーサネットに求められるサイバー・セキュリティ

はじめに

現在、産業分野では、急激なデジタル化が進んでいます。その流れを受けて、製造の現場には常に変化がもたらされています。あらゆる部分がネットワーク化され、社内の異なる部門の間、あるいは社外との間でも、絶え間なく通信が行われるようになっています。人やマシンを対象とし、企業内外のあらゆるグループの間で、膨大な量のデータが活発にやり取りされています。従来のネットワークでは、個々のマシン同士が接続されているだけでした。将来的には、個々のセンサーやアクチュエータから、マシンあるいはシステム全体まで、あらゆるものがネットワーク化されると予想されます。インダストリ4.0やIIoT(Industrial Internet of Things)によってデジタル化が進んだことにより、製造に関わるすべての人がネットワークによってつながりを持てるようになりました。イーサネットや産業用イーサネットは、従来のフィールドバスよりも伝送レートや信頼性が高いという、明らかなメリットをもたらしてくれます。そのため、欠くことのできない通信規格として、イーサネットや産業用イーサネットの利用はますます拡大しています。特に、産業用イーサネットは、ネットワーク内のすべて(センサーからクラウドまで)の通信技術を網羅する固有の規格を作り出すことができるという可能性を示しています。その規格は、旧来のイーサネット規格にリアルタイム機能と確定性を追加することで実現されるはずです。現在、IEEEのタスク・グループによって、IEEE 802.1 TSN(Time-Sensitive Networking)という規格の策定が進められています。この規格は、遅延を最小化することが可能で、高い可用性を備えるデータ伝送のメカニズムを定義した複数のサブ規格で構成されます。ただ、TSNを採用したネットワークの構成要素は、無数のセンサーや機器、システムです。将来的には、これらの要素に人工知能が搭載されるようになり、自律的に意思決定が行われるようになるでしょう。そうした自律的システムの誕生と、それによってもたらされるデータ量の増加は、特にITとサイバー・セキュリティを要するオートメーション・システムのメーカーに対して、極めて難易度の高い課題を提示します。将来的には、十分に隔離されたマシンの領域にも、外界と通信するためのオープンなアクセス機能が求められるようになるでしょう。そうした領域と外界が相互に強く結びつくことになるため、一般的な処理の信頼性や製造の可用性だけでなく、サイバー・セキュリティがより重要な意味を持つことになります。サイバー・セキュリティに対する意識が高まった理由はそれだけではありません。「Stuxnet」や「Wanna Cry」といったワームの出現や、ドイツ連邦議会に対する攻撃など、最近の出来事が理由となって、サイバー・セキュリティの重要性が再度強く認識されたと言えます。

サイバー・セキュリティは、機密性、完全性、可用性を確保することを目的としています。まず機密性は、認証を得ることなく情報を修正することはできないようにすることで確保します。完全性には、データの正確さ(データの完全性)とシステムの正確な機能(システムの完全性)の両方が含まれます。可用性は、ITシステムの機能性のレベルに依存します。つまり、システムが常に利用できる状態にあるのか、また、データ処理が正しく実行されているのかといったことが問題になります。認証や認可による高度な保護手法を適用する目的は、ユーザのアイデンティティとセキュアなデータ源へのアクセス権を明確にすることです。また、コミットメントや否認不可は、通信の利用者がメッセージを拒否しないことを保証するために利用されます。

サイバー・セキュリティでは、常に変化する問題を扱うことになります。デバイス、システム、ネットワークのライフサイクルを通して、新たに生じる問題に対処しなければなりません。新たな脆弱性が継続的に見つかり、新たなハッキング方法が生み出される可能性があることから、デバイスやシステムのアップデートを繰り返し実施し、確認された脆弱性を排除する必要があります。そのため、重要な機能については、セキュア・アップデートを実施できるようにシステムを設計し、ライフサイクルの終了まで保護できるようにしなければなりません。実際、自動車メーカーなどは、このようなシステムを必要としています。ただ、そうしたシステムを開発する技術者が、常に変化するセキュリティ上の要件に対処できるようアプリケーションを実装するというのは、非常に困難です。対象とする領域が非常に広く、現実的な業務の範囲を超えてしまうからです。そのため、開発初期の段階で、IT/セキュリティの専門家と協業するというのが、合理的な方法になります。さもなければ、表面化していない脆弱性が原因で事業全体にダメージが及ぶリスクを回避することはできません。そうしたダメージの影響は、新製品や新技術によって得られるメリットよりもはるかに規模が大きく、最悪の場合、事業の継続が危ぶまれる状況に陥る可能性があります。

従来、サイバー・セキュリティは、セキュアなOS、ネットワーク、アプリケーション・プロトコル、ファイアウォールのほか、ネットワークへの侵入を防止するソリューションの実装を必要とするITの問題として捉えられていました。しかし、デジタル化が進むに従い、マシンにはできるだけインテリジェントで自律的であることが求められるようになります。また、より多くの機能を備え、より多くの接続が行われ、より多くのデータが同時にやり取りされるようにもなります。そうすると、システムに対するリスク・アセスメントの重要性が非常に高まることになります。以前は、安全性を確保するための機能など特に必要なかったのに、現在では、攻撃に対して非常に脆弱なため無力化されることが懸念されるシステムも存在します。今後、システムのメーカーは、潜在的な脆弱性を慎重に検討/評価して適切な対策を講じる必要があります。

セキュリティ機能は、システムにおける信号の流れの中でもできるだけ上流に適用すべきです。シグナル・チェーンの最初の部分、言い換えれば、現実の物理的な世界からデジタルの世界に情報を受け渡す部分に実装するべきだということです。この部分はスイート・スポットと呼ばれており、セキュリティの観点からは、シグナル・チェーンの中で最も重視すべきポイントだと見なされています。通常、このポイントにはセンサーやアクチュエータが配備されています。一般に、このポイントでは、データの信頼性を高めるために、それほど複雑なコーディングが必要になるわけではありません。また、このポイントでは、データに基づく意思決定を比較的高い信頼性で行うことができます。しかし、図1に示すように、このスイート・スポットでは、データに対する最高レベルのセキュリティを確保し、セキュアなデータに対するOSの高い信頼性を実現するために、ハードウェアのアイデンティティには高いレベルが求められると共に、データに対しては高いレベルの完全性が要求されます。ハードウェアのレベルで実装されたアイデンティティと完全性というのは、保護用の機能という形でICに組み込まれます。それらの機能は、データに対する適切なセキュリティを確保するための最も有効な手段を提供します。そのため、そうした仕組みは、いわゆる「信頼の基点(Root of Trust)」の開始点だと見なされています。

図1. スイート・スポットの概念図。スイート・スポットは、アナログの世界からデジタルの世界へ情報を引き渡す部分に存在します。ここに適切な保護機能を設けることで、セキュリティのレベルを最大限に高めることができます

図1. スイート・スポットの概念図。スイート・スポットは、アナログの世界からデジタルの世界へ情報を引き渡す部分に存在します。ここに適切な保護機能を設けることで、セキュリティのレベルを最大限に高めることができます

信頼の基点

信頼の基点とは、どのようなものでしょうか。明確に分離された演算ユニットのように、デバイスにおいて暗号化処理を制御する一連のセキュリティ機能がそれに当たります。通常、セキュアなデータ通信は、連続的に実行されるステップにおいて、ハードウェア・コンポーネントやソフトウェア・コンポーネントを制御することによって実現されます。シーケンスを構成する個々のステップは、図2に示すように、データの通信が期待どおりに問題なく進められることを保証します。このような仕組みを構築しておくことで、アプリケーションは十分に保護されているという仮定が成立するようになります。

図2. セキュアなアプリケーションの信頼性を構築するためのステップ。信頼の基点の考え方をベースにしています。

図2. セキュアなアプリケーションの信頼性を構築するためのステップ。信頼の基点の考え方をベースにしています。

信頼性が高く、脆弱性の存在しないアプリケーションを運用するには、まず、自身のアイデンティティまたはキーを使用します。このステップでは、デバイスや人に対するアクセス権限が与えられると共に、確認の処理が行われます。アイデンティティとキーを使用する手法はかなり前から広く採用されていますが、現在でも信頼の基点の考え方に基づく最初のステップにおいて、最も重要な要素となります。実際、デバイスのセキュリティは、キーが保護されているときだけ確保されます。キーのセキュアな保管と適切な受け手への適切な転送を保証するためには、追加の保護機能を実装しなければなりません。

デバイスの機能を不正なアクセスから守れるようにするためには、デバイスの起動時にセキュア・ブート処理を実施する必要があります。認証とそれに続くソフトウェアの解釈は、デバイスが攻撃や改ざんから守られていることを保証します。セキュア・ブート処理が行われていない場合、攻撃者が脆弱性を伴うコードにアクセスし、何らかの操作を行って実行するのは、さほど難しいことではありません。

セキュア・アップデートは、常に変化するアプリケーションの運用環境や新たに顕在化した脆弱性に対処するための重要なステップです。ハードウェアやソフトウェアの脆弱性が新たに見つかった場合、攻撃を受けて重大な損害が発生する前に、デバイスのアップデートを即座に行って、できるだけ早く修正しなければなりません。なお、セキュア・アップデートは、製品の不具合を修正したり製品を改良したりするためにも実行されます。

信頼できる環境を構築するためには、暗号化用のAPI(Application Programming Interface)などを使用してセキュリティ・サービスを追加する必要があります。追加のサービスには、暗号化や認証、完全性といったセキュリティを確保するための保護機能も含まれます。

上述したようなあらゆるセキュリティ機能は、コードのエラーによって装置に間接的に損害が及ぶ可能性を排除するために、装置本来のアプリケーションからは切り離し、保護された実行環境に配備するべきです。

サイバー・セキュリティが半導体メーカーにもたらす課題

アナログ・デバイセズは、IIoTやインダストリ4.0といったメガトレンドに対応しつつ、将来にわたって使用できる製品を提供しています。当社と同様の取り組みを行っている半導体メーカーは、かなり前からサイバー・セキュリティに注目していました。セキュリティに関する要件の増加に対応するために、アナログ・デバイセズは、製品そのものや開発作業の中に、信頼の基点の概念を取り入れるようにしています。目標としているのは、産業分野などの当社が注目している領域に向けて、攻撃に対する耐性を備えた適切な製品を提供することです。それにより、顧客が最高レベルの信頼性とアプリケーションの価値の大幅な向上を実現できるようにしたいと考えています。そのための主要な取り組みは、ネットワークへの接続個所にセキュリティ機能を導入することです。これは、主に通信分野、特に産業用イーサネットとTSNに対応する半導体製品に関連する事柄だと言えます。また、セキュリティを確保するための機能は、システムの主要な要素を集積したチップが存在する場所、言い換えれば、マイクロプロセッサが重要な機能を担う場所において、必要不可欠な要素です

メーカーにとって重要なことは、既にプロジェクトの定義段階に入った顧客との間で、なるべく早い段階で連携を図ることです。それにより、最も基本的なセキュリティの要件を設計に含めることができ、シグナル・チェーン全体の保護が可能になります。また、アイデンティティを物理レベルで直接シグナル・チェーンのセンサー・ノードに組み込み、データ通信において信頼性の高いセキュリティを確保できるようになります。こうした理由から、アナログ・デバイセズは、サイバー・セキュリティに関する専門技術を拡充するために、Sypris Electronicsのサイバー・セキュリティ・ソリューション(CSS:CyberSecurity Solutions)部門を買収しました。この買収によって、アナログ・デバイセズは、サイバー・セキュリティに向けた非常にセキュアな技術とセキュリティ・サービスを提供するメーカーへと進化を遂げたことになります。当社は近い将来、ICをベースとし、高い柔軟性と信頼性を備えるシステム・レベルのセキュリティ・ソリューションを顧客に提供できるようになります。セキュアなキーの生成/管理、セキュア・ブート、セキュア・アップデート、セキュアなメモリ・アクセス、セキュアなデバッグに対応する機能を追加することで、CSSのソリューションは、従来の暗号化技術を超えるレベルにまで拡張されます。そのソリューションは、従来の暗号化ソリューションを完全に置き換え、将来的には労力をかけることなく非常にセキュアなハードウェア・プラットフォームを実現することを可能にし、顧客に提供する製品の価値を大幅に高めることになるでしょう。

CSS技術をはじめとするあらゆるセキュリティ機能は、通常、本質的なアプリケーション機能と並列で実行される、FPGAをベースとしたサブシステムに実装されます。この種のサブシステムは、TEE(Trusted Execution Environment)と呼ばれています(図3)。

図3. FPGAをベースとするプラットフォーム。ハードウェアをベースとする暗号化技術を、アプリケーション機能から分離されたTEEに実装しています。

図3. FPGAをベースとするプラットフォーム。ハードウェアをベースとする暗号化技術を、アプリケーション機能から分離されたTEEに実装しています。

図3のように、FPGAを使ってシステムを実現することにより、配備済みデバイスのソフトウェアのアップデートを容易に行うことができます。また、製品の潜在的な脆弱性を、ほとんど労力をかけることなく排除することが可能になります。

ソフトウェア・ベースの暗号化技術とは異なり、こうしたハードウェア・ベースのソリューションでは、暗号化用のアルゴリズムの処理には、専用のプロセッサが使われます。また、セキュアなキーのホスティングのためには、専用のストレージが使用されます。加えて、専用のメモリには、専用のプロセッサを介した場合のみアクセスすることができるように設計されます。そうした専用のコンポーネントを使用することにより、TEEと機密性の高いすべての動作を、システムの他の部分から切り離すことができます。その結果、攻撃者にとって潜在的に標的になり得る領域を大幅に削減しつつ、暗号化用の関数の演算速度を高めることが可能になります。

このようにすることで、チップの他の部分への不正アクセスを防ぐと同時に、APIを介して暗号化用の機能にアクセスすることができます。その結果、非常に高いレベルのセキュリティを実現することが可能になります。

まとめ

昨今のシステムでは、サイバー・セキュリティを確保し、可能性のある攻撃からの保護を実現することが重要な課題となっています。特にオートメーション業界においては、この課題にいかに対処するかということが、デジタル化を進める上での鍵になります。不十分な規制や、サイバー・セキュリティに関する知識の不足によって、多くの企業は、現在もこの重要な課題への取り組み方について大きな不安を抱えています。

企業のプロセスについて、(許容可能な)リスクの評価を行うことは始まりにすぎません。ただ、そのことが主要なポイントでもあります。サイバー・セキュリティを企業や製品の中に根付かせるには、どうすればよいのか。すべては、専門家から得られるサポートとノウハウによって決まります。

アナログ・デバイセズは、かなり前からこの問題に取り組んできました。セキュリティ・ソリューションの導入を容易にするセキュアな製品群を開発することを、早い段階から目標として掲げています。そのため、インダストリ4.0やIIoTに対応するセキュアなシステムの導入を推進できるだけの信頼を構築することができています。

そうした取り組みの中には、顧客が自社の製品にデータに関するセキュリティ機能を容易に組み込むためのハードウェア・ベースのターンキー・ソリューションの開発が含まれています。この手法を採用すれば、ソフトウェア・ベースの暗号化技術を使うよりも多くのメリットを得ることができます。そのため、多くの半導体メーカーは、最先端の技術ソリューションをサポートし、攻撃に対する適切な保護を実現すべく、ハードウェア・ベースの暗号化ソリューションに更に力を注いでいます。その種のソリューションを活用することにより、産業用オートメーションや自動車、エネルギー、重要なインフラなどを対象とする分野において、セキュリティの確保と信頼性の高さが不可欠で、高い機密性が求められるアプリケーションに対して、最高レベルのセキュリティを提供することが可能になります。

Thomas Brand

Thomas Brand

Thomas Brand。2015年、修士論文作成の一環で、ミュンヘンのアナログ・デバイセズでのキャリアを開始。卒業後、アナログ・デバイセズのトレイニー・プログラムを受講。2017年、フィールド・アプリケーション・エンジニアとなる。中央ヨーロッパの産業分野の大型顧客をサポートすると共に、工業用イーサネットの分野を専門とする。モースバッハ産学連携州立大学で電気工学を専攻後、コンスタンツ応用科学大学で国際セールスの修士課程を修了。