偽造部品のリスク ~ 企業価値や製品の安全性に対する深刻な問題 ~
IoT向けの偽造部品は市場と信用に大きな打撃を与える
消費者向け機器メーカーは、偽造品やクローニングという問題を長く抱えてきました。一方、コネクティッドデバイスの世界では、偽造部品による影響はさらに深刻で、市場、ブランドの信用、安全性もが大きく損なわれる恐れがあります。
IoTは、ほとんどすべての業界において、ビジネスプロセスの改善、効率化の推進、ダウンタイムの短縮といった多くの面で有用であることは明らかです。しかし、多数のデバイスがインターネット接続されているということは、ネットワーク内に他者からの影響を受けるポイントが無数に存在することを意味します。
つまり、メーカーがサプライチェーン内でデバイスや製品の真正性を完全に把握できていない場合、それ自体が重大な懸念事項となります。2018年のデロイト社による39カ国の調達部門リーダ500人に対する調査注1では、サプライチェーンの透明性は低く、調査対象の65%が、Tier1サプライヤ以降は、監視が部分的にしか、あるいは全くできないことが判明しました。
偽造部品は安全性に対するリスク
さらに、偽造部品は安全を脅かすリスクにもなります。これは、最終製品であるデバイスに実装されたソフトウェアIPに一切変更がなされていないこと、また基盤となるハードウェアがOEMで指定されたとおりの信頼性と堅牢性を有していることを保証できないためです。盗み取られたIPは不正な方法で改ざんが可能で、バックドアやサイドチャネルが作られている可能性もあります。完全性の欠如とは、改ざんされたソフトウェアIPが、たとえば現代の自動車のようなセーフティクリティカルなコネクティッドシステムに侵入し得ることを意味します。万一、偽造部品が入り込み、しかもそれが真正部品の仕様を満たしていなかった場合、とりわけ、その偽造部品の性能が本来のデバイスより劣っていた場合は、モニタリング対象である機器が最終的に必要な動作要件を満たせなくなる可能性もあります。
このような偽造部品に依存するシステムやアプリケーションは、場合によっては、意図しない重大な悪影響をもたらす恐れがあります。たとえば、自動車では、自動運転システム注2において最重要視されるセーフティクリティカルな機能の故障につながるかもしれません。事故防止に不可欠な環境パラメータや公差のモニタリングが不正確であることが原因で、このような故障が引き起こされる可能性があるからです。
また、ヘルスケア分野での影響も懸念されます。万一、身体的パラメータの正確な測定を前提とするデバイスが改ざんされた場合、薬剤用量が不正確となり、患者が深刻な障害を被る可能性があります。さらには、改ざんされたソフトウェアIPが出した不正確な検査結果により、患者が死亡する恐れすらあります。
一般に、分散型のサプライチェーンは、ソフトウェアIPがハッカーによってインターセプトされ、バックドアや悪性コードを仕込まれるというリスクをはらんでいます。
図1 攻撃側は、完全保護されていないソフトウェアIPを改ざんすることができます
部品の真正性はセキュアな開発環境により確保
C-Trustは、Secure Thingzの最新技術に基づく効果的なIP保護を提供します。Secure ThingzのSecure Boot Manager (SBM)にデジタル署名をバインドすることで、ファームウェアの完全性と真正性が確保されます。SBM自体は、チップハードウェアによって改ざんから守られ、公開鍵によってカスタマイズされています。これにより、セーフティクリティカルなファームウェアの完全性の確認および真正性の検証が可能となります。
さらに、セーフティクリティカルなファームウェアを暗号化する機密保護メカニズムを追加することも可能です。これにより、リバースエンジニアリングやソフトウェアIPの盗難を防止できます。エンドツーエンド暗号化によって、開発環境(IARシステムズのC-Trust搭載Embedded Workbench)から、ソフトウェアがSystem-on-Chip (SoC)でブート、実行されるポイントに至るまで保護されているからです。
図2 ソフトウェアIPをデジタル署名で封印することで不正な変更から効果的に保護します
C-Trustにより、強固なセキュリティを簡単に実装可能
C-Trustの重要な設計要件の1つに、開発プロセスの簡素化があります。開発者は、IP保護機能をアプリケーションに追加するために暗号の専門家になる必要もなければ、暗号鍵の管理に関する知識を持つ必要もありません。そのまま使える簡単なウィザードで、IP保護機能をわずか数ステップで設定できます。ソフトウェアIPを改ざんから守り、真正ファームウェアだけをブートさせる「Basic signature checking」などのIP保護のための各種設定が可能です。
ファームウェアの「Full encryption」を選択すれば、リバースエンジニアリングやIP盗難に対する保護を追加して、さらに機能を強化することができます。
図3 IP保護機能を設定するウィザード。真正性と完全性のチェック(Basic signature checking) あるいは機密保護(Full encryption)を選択可能
他の設定オプションとして、ファームウェアの古いバージョンへのダウングレード防止(アンチロールバック)があります。「Version number check」を設定することで、セキュリティの脆弱性が疑われる旧バージョンへのファームウェアの更新を防止します。この機能により、旧バージョンの使用を回避でき、古いバージョンのファームウェア上のセキュリティ欠陥を突いた攻撃を防止することができます。
図4 旧バージョンのファームウェアを利用した攻撃を回避するためにバージョンNo.のチェックを設定するウィザード
企業資産の中核を成す知的財産をどのようにして守るかは、多くの企業にとってますます大きな課題となっています。一般に、組込みアプリケーションの開発作業は欠かすことができない投資であり、製品をリリースするまで数年に及ぶリソースと労力を費やすものと考えられています。企業は、C-Trustを使って、署名やコードベースの暗号化といった基本的なセキュリティ対策を行い、ファームウェアのダウングレードを防止するアンチロールバック策を講じることにより、投資保護を容易に実現し、大幅に増強することができます。
注1 https://www2.deloitte.com/global/en/pages/strategy-operations/articles/global-cpo-survey.html