製品セキュリティソリューション
概要
さまざまなモノがIoT化することにより生成されるビックデータは、デジタルトランスフォーメーション(DX)の推進に寄与しています。一方でサイバー攻撃は激化しており、これまでクローズド環境で使用していた機器がネットワークにつながることで、脆弱性が顕在化しサイバー攻撃を受けるケースが増加しています。このような情勢を受け、製品ライフサイクル(Product Lifecycle)を通してのサイバーセキュリティ対策を義務化する法規・ガイドラインの制定が進んでおり、設計・開発段階でのセキュリティ要件の実装はもとより、ソフトウェアの構成を把握した製品リリース後の脆弱性管理が求められます。
こんな課題に
- SBOM※1の作成や、脆弱性情報の収集・整理を手動で行っている。また、提供される膨大な脆弱性情報の対応要否を開発現場が判断しており負担が大きい
- サイバーセキュリティに関連する法規への対応ができていない
- これまでセーフティ優先だったため、セキュリティ要件を満たすための知見が現場に不足している
※1 SBOM(Software Bill of Materials):ソフトウェア部品表
法規制定による対象製品の拡大
自動車や医療機器業界では、他業界と比較してサイバーセキュリティ対策の国際基準が先行して定められており、日本国内の規定にもその国際基準※2がすでに取り込まれています。サイバーレジリエンス法(EU Cyber Resilience Act)ではEUで販売されるハードウェア・ソフトウェアを問わずデジタル要素を備えたすべての製品が対象※3となるため、自動車、医療機器以外の業界でもセキュリティ対策の取り組みが拡大していくと考えられます。
同法は2022年9月に草案が提出され審議が続いていましたが、2024年3月12日に欧州議会が承認したとのプレスリリースがあり、早期の発効が見込まれています。発効から適用までは36カ月の経過措置期間が設定されていますが、攻撃者がよく悪用している脆弱性を発見した際の、製造者による欧州連合のサイバーセキュリティ当局への報告義務については発効後21カ月後には有効となります。残された時間はそれほど多くなく、早めの対策が必要です。
また、今後EU域外でも同様の規制が制定される可能性があります。自動車、医療機器以外の業界でも製品を市場に投入するためにセキュリティ対策が必須となる時代が近づいてきています。
日本では「IoT製品に対するセキュリティ適合性評価制度」が公表されました。今後、経済産業省では重要インフラ事業者、地方公共団体などにおいてIoT製品調達ルールに本制度が活用されるよう働きかけを行う予定です。
※2 主な国際基準
- 自動車:サイバーセキュリティ基準のUN-R155、およびソフトウェアアップデート基準のUN-R156を満たすことがEUでの販売許可の条件に。国内でも段階的に運用が開始されており、2026年5月には継続生産車も含む全車種に適用される。
- 医療機器:国内ではIMDRF※4ガイダンスをもとにした内容が、医薬品、医療機器などの品質、有効性および安全性の確保などに関する法律(薬機法)の医療機器基本要件基準に取り込まれた。2023年4月から適用され、経過措置期間も終了し、対応必須となっている。
- デジタル製品全般:EUではサイバーレジリエンス法が2024年初めに発効され、36カ月後に適用される予定。
※3 自動車、医療機器など、ほかの規則ですでにサイバーセキュリティの要件が定められている製品は例外
※4 IMDRF(International Medical Device Regulators Forum):国際医療機器規制当局フォーラム
IoT製品を取り巻く事情
サイバーセキュリティ対策の各法規において共通して求められることは、製品ライフサイクル全体でのセキュリティ対策です。設計・開発時にはセキュリティ機能の実装が必要となります。しかしIT製品と違い、これまで組込み機器はネットワークへの接続を前提とせずセーフティ最優先で開発されてきた傾向があり、IoT化にあたり必要なセキュリティ対策を実施しようとしても、開発現場の知見が不足している可能性があります。
また、そもそも機器のリソースに制限があり、セキュリティの実装方式は限定されます。さらに、開発時だけではなくリリース後も脆弱性管理が求められますが、サプライヤー納品のコンポーネントについては、ソースコードを保持しておらず管理が困難なケースも想定されます。
またIoT製品はフィールドに設置された数が多い、さまざまな場所に配置されているといった事情により「脆弱性を突かれる可能性がある」というだけで、簡単にパッチを適用することができません。
日立ソリューションズは、サイバーセキュリティに関連する法規への対応に向け、IoT製品の設計・開発時のセキュリティ実装から販売後の脆弱性管理まで、現場目線でトータルに支援します。
ソリューションの特長
SBOMの生成、脆弱性情報との突き合わせ、対応が必要な脆弱性の絞り込みにより、PSIRT活動を支援し、現場の負担を軽減
製品企画から設計、リリース後まで、IoT製品の開発ライフサイクル全体のセキュリティ対策を支援するプラットフォームを提供
これまでのセキュリティ製品開発やIoT機器のセキュリティ対策支援で培ったノウハウを生かし、サイバーセキュリティに関連する法規への対応に関する現場の困りごとを解決
主な対策
IoT製品セキュリティプラットフォーム Cybellum(サイベラム)
IoT製品の開発ライフサイクル全体のセキュリティ対策を支援するプラットフォームです。IoT製品、組込み機器に特徴的な、マイクロコンピュータなどのアーキテクチャーを幅広くサポートしています。
Cybellumはソフトウェアの構成情報を管理するSCA(Software Composition Analysis)ツールに分類されますが、収集する情報はソフトウェアに留まりません。アーキテクチャーやインターフェースなどのハードウェアやOS設定の情報を含むサイバーデジタルツイン※5を生成し、収集した脆弱性情報との突き合わせを実施します。サイバーデジタルツインにより、検出された脆弱性の深刻度や関連性を評価し、本当に対策が必要な脆弱性を見極めます。またバイナリに含まれる認証情報、IPアドレスやEメールアドレスなども収集し、不適切な情報が意図せず混入していないかをチェックできます。公開脆弱性情報の管理以外にも、実装時の脆弱性の作りこみチェックや、業界準拠チェックの支援機能を提供します。
※5 製品全体の構成情報を再現したデジタルレプリカ
脆弱性の深刻度スコアはもとより、前提となるアーキテクチャーの条件などにより、対策が必要な脆弱性を絞り込み(トリアージ)
脆弱性の対応状況のバージョン間での比較や、製品を横断した全社での一元管理により、PSIRT運用を強力に支援
JenkinsやGitLabなどのCI/CD※6ツールや、チケット管理ツールJira Softwareとの連携をサポートし、脆弱性情報の管理の自動化・効率化を実現
※6 CI/CD(Continuous Integration/Continuous Delivery):継続的インティグレーション/継続的デリバリー
セキュリティ設計支援コンサルティング
製造業や重要インフラで培ったセキュリティ対策の豊富なノウハウを生かし、IoT製品の各開発プロセスに求められるセキュリティ対策を支援します。セキュリティの課題を洗い出し、どこまでどのようにセキュリティを確保すればいいかをコンサルティング可能です。
脅威分析・リスクアセスメントを実施し、セキュリティ対策を提案
海外顧客向けの製品に対してIEC 62443など国際規格への適合についてコンサルティングを実施
IoT製品の開発製造に求められるセキュリティ対策の基礎知識、業界動向を学べるワークショップを開催
IoTセキュリティライブラリ
IoT製品のセキュリティを支援するための部品ライブラリです。PKI証明書の配布や管理機能を提供するほか、軽量暗号化により、リソースが少ない製品でもデータ暗号化・改ざん検知機能を実現可能です。デバイスに組み込んで利用できる部品をAPIで提供するので、急にセキュリティ機能が必要になった場合でも、早期に対応できます。
デバイス認証に使用する証明書の発行・配布・管理機能を提供
鍵管理により暗号鍵を安全に配信することが可能
低リソースでも動作する軽量暗号アルゴリズム(ISO/IEC 29192-6)によるデータ暗号化・改ざん検知機能を提供
サイバーレジリエンス法対応支援コンサルティング
サイバーレジリエンス法の準拠に向けて、組織の構築や対応方針などをコンサルティングします。そもそも何から始めればいいのかわからないという方は、こちらをご覧ください。
SCA(ソフトウェアコンポジション解析)ツール
当社取り扱いのSCA(Software Composition Analysis)ツールについては、こちらをご覧ください。
